写真1●OpenFlowを活用してDDoS攻撃を防ぐ仕組み
[画像のクリックで拡大表示]
写真2●OpenFlow ShowCaseでのラドウェアの装置
[画像のクリックで拡大表示]
写真3●DefenseProでDDoS攻撃をフィルタリングする様子。グラフで青い部分が装置(DefensePro)に入ってきたトラフィック、赤い部分が廃棄されたトラフィックを示している。しきい値を超えた分だけが装置に転送されてくるので、間欠的なグラフになっている
[画像のクリックで拡大表示]
日本ラドウェアは、2012年6月13日から15日まで開催している「Interop Tokyo 2012」の「OpenFlow ShowCase」において、OpenFlowを活用したDDoS攻撃対策を展示している(写真1、2)。
具体的な仕組みは次のようになっている。まずOpenFlowコントローラー(OFC)が各OpenFlowスイッチ(OFS)から収集したトラフィック情報を、「Radware OpenFlow Service Delivery Application」(以降SDA)が監視する。トラフィックが一定のしきい値を超えると、SDAはOFCと連携し、OFSに対してトラフィックを「Radware VAS Security Fabric Cleaning Center」(具体的には同社製品DefencePro)に転送する。ここで攻撃パケットを廃棄し、正常なパケットのみをOFSに戻す。こうした仕組みを使って、DDoS攻撃のトラフィックをうまくフィルタリングできることをデモで示していた(写真3)。
なお同社は6月12日、OpenFlow/SDNにおけるセキュリティソリューション開発についてNECと協業すると発表している。DDoS攻撃に対する従来の防御手法は、NetFlowやBGPなど比較的複雑なプロトコルを使ったり、GREなどのトンネリング技術を使ったネットワークを構築したりする必要があったという。これに対し、OpenFlowを活用することで、非常にシンプルな手法でDDoS攻撃に対する防御を施すことが可能になるとしている。
[発表資料]
