最小ルールセット
推奨される最小ルールセットは、DDoS攻撃の一般的なベクターのいくつかをブロックし、他のすべてのESP、TCP、UDP、GRE、およびICMPトラフィックを許可します。
これは推奨リストであり、網羅的なリストではありません。環境を確認し、必要に応じてルールを追加してください。
Rule ID: 1
Description: 攻撃に使用されるUDPソースポートまたはMagic Transitのイングレスで無効なポートを持つすべてのトラフィックをブロックする単一のルール。
Match: (udp.srcport in {1900 11211 389 111 19 1194 3702 10001 20800 161 162 137 27005 520 0})
Action: ブロック
Rule ID: 2
Description: ソースポート0およびTCP SYN/ACKリフレクション攻撃で使用される一般的なポートを持つTCPトラフィックをブロックします。
Match: (tcp.srcport in {21 0 3306})
Action: ブロック
Rule ID: 3
Description: HOPOPT(プロトコル0)をブロックするか、プロトコルが{ESP, TCP, UDP, GRE, ICMP}に含まれない場合はブロックします。これはあくまで例です。環境に関連するプロトコルを許可してください。
Match: (ip.proto eq "hopopt") or (not ip.proto in {"esp" "tcp" "udp" "gre" "icmp"})
Action: ブロック
以下の情報は、トラフィックの種類、ポートの使用方法、およびポートをブロックする理由をカバーしています。
| トラフィック | ポートの使用 | ブロックする理由 |
|---|---|---|
UDPソースポート 0 | 予約ポート。アプリケーションによって使用されるべきではありません。 | 正当なトラフィックソースポートとして無効。DDoS攻撃で一般的に使用されます。 |
UDPソースポート 1900 | シンプルサービスディスカバリプロトコル(SSDP)。ユニバーサルプラグアンドプレイデバイスが情報を送受信できるようにします。 | SSDP DDoS攻撃 ↗はユニバーサルプラグアンドプレイプロトコルを悪用します。 |
UDPソースポート 11211 | Memcached。ウェブサイトやネットワークの速度を向上させるために設計されたデータベースキャッシングシステム。 | Memcached DDoS攻撃 ↗。 |
UDPソースポート 389 | コネクションレス軽量ディレクトリアクセスプロトコル(CLDAP)。 | リフレクション攻撃で使用される ↗。 |
UDPソースポート 111 | SunRPC | 一般的な攻撃ベクター。リフレクション攻撃で使用される ↗。 |
UDPソースポート 19 | CHARGEN | 増幅攻撃ベクター ↗。 |
UDPソースポート 1194 | OpenVPN | 環境で承認されたVPNでない限り、この一般的なVPNはブロックするべきです。 |
UDPソースポート 3702 | ウェブサービスダイナミックディスカバリマルチキャストディスカバリプロトコル(WS-Discovery) | DDoS攻撃に悪用される可能性があります。 |
UDPソースポート 10001 | Ubiquiti UniFiディスカバリプロトコル | Ubiquitiデバイスが悪用され、このポートでDDoS攻撃を実施されました。 |
UDPソースポート 20800 | Call of Duty | 攻撃で一般的に使用される ↗。 |
UDPソースポート 161 と 162 | SNMP | DDoS攻撃に悪用される可能性があります。 |
UDPソースポート 137 | NetBIOS | NetBIOSはネットワーク上でファイル共有を可能にします。適切に構成されていない場合、ファイルシステムを露出させる可能性があります。 |
UDPソースポート 27005 | SRCDS | 増幅攻撃で使用される ↗。 |
UDPソースポート 520 | ルーティング情報プロトコル(RIP) | 内部ルーティングプロトコル。インターネットWANアクセスには必要ありません。 |
TCPソースポート 0 | 予約ポート。アプリケーションによって使用されるべきではありません。 | DDoS攻撃で一般的に使用されます。正当なトラフィックソースポートとして無効。 |
TCPソースポート 0 | FTP | 攻撃に一般的に使用されます。 |
TCPソースポート 3306 | MYSQLオープンソースデータベース | DDoS攻撃の攻撃ベクターとして使用されます。 |
以下のリストは、ブロックまたは制限することを検討すべき一般的なトラフィックタイプのリストです。
- SFTP、TFTP
- SSH、Telnet
- RDP
- RCP
- SMCP
- NTP
- リフレクション攻撃の一般的なベクター。可能であれば、Cloudflare Gateway、1.1.1.1のDNS over HTTPS (DoH)または内部DNSサービスの使用を検討してください。ファイアウォールルールを制限して、DNSトラフィックのソースと宛先のみを許可することを検討してください。
- MS-SQL
- 一般的なベクターであり、DDoS攻撃のベクターとしてますます使用されています ↗。未使用の場合はブロックするか、必要なソースIPアドレスのみに制限することを検討してください。
- HTTPおよびHTTPS
- Magic Transitプレフィックスにサーバーのみがある場合、外部からのTCPソースポート80および443のイングレストラフィックをブロックすることを検討してください。Magic Transitプレフィックスにエンドポイントがある場合、ソースポートでのトラフィックを許可できますが、リフレクション攻撃に応じて必要に応じてアクティブ化できる無効なルールを作成することを検討してください。
環境に関連する場合、GeoIPに基づいてブロックすることを検討してください。これは、エンドユーザーのIPアドレスがGeoIPデータベースに登録されている場合に、国またはユーザーに基づいてトラフィックをブロックします。
セッション初期化プロトコル(SIP)バリデーション ↗のベータ版に参加することに興味がある場合は、実装マネージャーに連絡してください。