多くのWebサイト管理者にとって,おそらく侵入や改ざんといった問題以上に頭が痛いのがDoS(denial of service:サービス妨害)攻撃だろう。そんなDoS対策の“現実解”が現れた。米国で開催中のN+I Interop2001 Las Vegasの会場では,米キャプタス・ネットワークスがDoS攻撃を自動防御できるネットワーク・デバイス「CaptIO」を展示。同機を使って,実際にDoS攻撃をリアルタイムに防ぐデモを実演した。
Webサイトに対するDoS攻撃は,Webサーバーに対して過剰な接続要求を作り出し,一般のユーザーがアクセスできないようにする手法が一般的。これがやっかいなのは,Webサーバー側から見ると,あるアクセスが一般ユーザーによる正当なアクセスか,それともDoS攻撃なのかを判断するのが難しい点にある。最近では,インターネット上にある多数のマシンから同時にDoS攻撃をかけるDDoS(分散型DoS)攻撃と呼ばれる攻撃手法も盛んに使われるようになってきた。こうなると,ほとんどお手上げ状態である。
会場で実演されたデモの内容は,Webサーバーとクライアントの間にCaptIOを置き,同時に1000本のTCPコネクションを張っている状態から,別のマシンを使ってDoS攻撃をかけ,それをCaptIOで防御するというもの。DoS攻撃をしかけた瞬間はコネクション数が半減するが,10秒ほどすると元通りに回復する。
しくみは単純で,ユーザーがCaptIOにあらかじめ単位時間当たりにTCP接続を許可する“しきい値”などをポリシーとして設定しておき,特定のIPアドレスからこれを上回る接続要求が一定時間続いた場合,しばらくの間CaptIO側でアクセスを遮断する。しきい値や遮断時間,IPアドレスの範囲,プロトコル種別などのパラメータはユーザーが自由に設定できる。さらに,CaptIOにはアクセスの“くせ”を見抜いてDoS攻撃を判断する機能も備わっているという。
ADSLなどブロードバンド・サービスの普及に伴って,一般ユーザーが利用できる伝送帯域はどんどん増加しており,WebサーバーはますますDoS攻撃を受けやすくなっている。先日も,ADSLサービスが日本よりずっと普及している韓国から日本のWebサイトに対して“ネット・デモ”と称するDDoS攻撃があったばかり。今後,こうしたDoS対策機器が必要になる場面は増えそうだ。
◎ネットワークの総合展示会「NetWorld+Interop 2001 Las Vegas」関連の記事は,特番サイト(http://itpro.nikkeibp.co.jp/NI2001/)でもお読みいただけます。
