効果的なフィルタ設定でDoS攻撃対策を実現,ジュニパーがデモ

【国内記事】 2001.06.07

 ジュニパーネットワークスは,「M40」を皮切りに,コアバックボーンルータ製品をキャリアやサービスプロバイダー向けに提供している。ASICベースの高速な処理を武器に市場を開拓してきた同社だが,今年はその上で展開されるセキュリティやマネジメント,課金など,ISPのニーズに沿ったソリューションについても紹介している。

 さて,最近ネットワークに対する大きな脅威となっているのがDoS(Denial of Service)攻撃だ。ICMPパケットやSYNパケットを大量にターゲットのサーバに送り付けてCPUを限界まで浪費させ,それ以上の処理続行を不可能にする攻撃だが,今のところ,なかなか有効な対策がない。強いて対策を挙げるとすれば,負荷分散装置を導入し,送り付けられるパケットを分散させる程度だろう。

 ジュニパーネットワークスでは,このDoS攻撃に対する対策をルータレベルで提供できるという。Mシリーズの高速な処理能力と適切なパケットフィルタリング設定によって,DoS攻撃のためのパケット転送を拒否し,サーバを保護することが可能になる。

 具体的には,Mシリーズのルータのフィルタ設定によって,DoS攻撃を仕掛けるためのパケットを検出し,それらしき不要なパケットを叩き落とすことができる。また,ポリシー設定と組み合わせれば,すべてのパケットを拒否するのではなく,サーバに影響を与えない程度に帯域を生かしつつ,不必要なパケットを拒否するといった運用も可能だ。ジュニパーネットワークスのM5を用いて行われたデモでは,ビデオストリーミングサーバに対するDoS攻撃を検出し,不要なパケットを拒否して通信を継続させる様が実演された。

 同社では,こうしたDoS攻撃に対する説明をPOC(Proof of Concept)と呼ばれるネットワークが構築されている施設で,ISPなどの顧客を中心に40〜50分程度の説明会の場を設けて行っているという。今回のデモンストレーションでは,同社のM5ルータにアジレントテクノロジー社のルータテスターを接続し,NTサーバから4MbpsのMPEG2の動画をクライアントに配信するという構成で行われた。

 ファーストイーサネットのポートに4Mbpsの動画を配信し,ギガビットイーサネットのポートに60MbpsのICMPリクエストを送る。すると,サーバのCPUリソースがICMPのリクエスト処理に大きく占有され,正常に動画の配信が行えなくなるというもの。このパケットにフィルタを掛け,必要なトラフィックのみを転送,もしくは一定量のトラフィックのみをサーバにフォワーディングして円滑な動画再生を試みるというのが主な内容である。

 これらのフィルタ設定は,コマンドラインからの入力によっても可能なほか,同社が用意しているXMLベースのスクリプト「JunoScript」を利用することもできる。特にJunoScriptの場合,サービスプロバイダーが自社のネットワークに合った,柔軟な設定・運用が行えることが特徴だ。

 DoSと基本的に同じ仕組みを使い,複数のソースアドレスから攻撃用パケットを送信してサーバを攻撃するDDoSについても,同様の対処によって,被害を食い止められるという。ただしこの場合,根本的な攻撃をシャットダウンするために,IPアドレスの発信元を突き止める作業が必要となるだろう。

 同社技術本部システムエンジニアの兵頭弘一氏は,「DoS攻撃を100%確実になくすことは現実的に不可能だし,ルータ本来の機能からいえばそれはできない」としながらも,フィルタの効果的な活用によって,攻撃をあらかじめ検出し,被害を最小限に食いとどめることができるという。

 このDoS攻撃対策に代表されるように,ジュニパーネットワークスでは,ルータを提供する立場で,ISPやデータセンターのニーズに応えうる解決策を提供していく方針だ。そして,それが同社の掲げる「Smart IP Networks」につながるという。

関連リンク

▼ジュニパーネットワークス

▼N+I Tokyoの公式Webサイト

[高橋睦美,N+I Magazine & 藤山徳元 ,INTEROP EYE]