コンテンツにスキップ

ISPおよび通信ネットワークをDDoS攻撃から保護する

はじめに

インターネットサービスプロバイダー(ISP)や通信会社(T-MobileやBritish Telecomなど)は、ネットワークDDoS攻撃に対して脆弱であり、これらの攻撃はしばしばエンドカスタマーをターゲットにしています。たとえば、ブロードバンドインターネットサービスプロバイダーを介してインターネットに接続された企業やリモートワーカーを攻撃しようとするものです。これらの顧客を保護するために、サービスプロバイダーは歴史的に自社のオンプレミス緩和システムをホスティングすることに依存してきました。このアプローチは、常に進化する攻撃に効果的に対抗するために大規模な投資を必要とし、攻撃の規模が拡大する中でキャパシティは有限です。

Cloudflareは、公共のウェブサイトやAPIを保護するDDoS緩和サービスでよく知られており、同じ技術を使用してネットワーク全体を保護することもできます。Cloudflareでは、四半期ごとのDDoS攻撃レポートで強調されているように、ハイパーボリューメトリックで非常に高度な攻撃の急増を目の当たりにしています。これらの攻撃は、その膨大な量のために、オンプレミスのDDoS緩和システムを圧倒し、出し抜くことができます。その結果、これらのオンプレミス緩和システムは、より大きな攻撃に対応するために常にメンテナンスとアップグレードが必要となり、継続的な投資と予測不可能な攻撃サイズによる無限のコストが発生します。

Cloudflare Magic Transitは、サービスとしてのクラウドベースのネットワークDDoS緩和を提供します。サービスプロバイダーは、Cloudflare Magic Transit on-demandを使用して、補完的なソリューションまたは既存のセットアップの代替として、進化する脅威からネットワークインフラを保護しています。

サービスプロバイダーのネットワークを攻撃から保護する

このソリューションを展開するための主なステップは2つあります。まず、Cloudflareを設定してネットワーク上のDDoS攻撃を監視および検出します。次に、DDoSイベントが観測された場合、トラフィックをCloudflareを介して再ルーティングし、DDoS緩和を行います。

図1: ユーザーアクセス制御と機密データの発見の全体的なソリューション。

最初のステップは、サービスプロバイダーのネットワークに対して発生している攻撃を可視化することです。上記の図は次のことを示しています:

  1. Cloudflareは保護すべきネットワークを認識します。サービスプロバイダーは、保護したいプレフィックス(例:203.0.113.0/24)を特定し、これらのプレフィックスをCloudflare Magic Transitサービスにオンボードするための一度限りのタスクを開始します。このステップは前提条件であり、実際のネットワークトラフィックフローには影響しません。Cloudflareは、サービスプロバイダーがインターネットに広告するものに比べて、より具体的なプレフィックスのオンボードを推奨します。この例のように、203.0.113.0/24がCloudflareにオンボードされた保護されたプレフィックスである場合、203.0.112.0/23のように、112.0/24および113.0/24プレフィックスの両方を含む、より具体性のないプレフィックスを上流ISPに広告できます。
  2. サービスプロバイダーのネットワークデバイスは、すべてのトラフィックフローデータ(Netflow、IPFIX、またはsFlow)をCloudflare Magic Network Monitoringサービスに送信します。Cloudflareはこのフローデータを分析してDDoS攻撃を検出します。
  3. Cloudflareは、可能な場合、Cloudflare Network Interconnect(CNI)を設定してCloudflareネットワークに接続することを推奨します。これにより、ルーティングされたユーザートラフィックの1500バイト最大転送単位(MTU)を遵守できます。あるいは、インターネット経由でGeneric Routing Encapsulation (GRE)トンネルを使用してCloudflareネットワークに接続することもできます。
  4. 平時には、トラフィックはISPネットワークとその上流トランジットおよびピアネットワーク間で通常通り流れ、Cloudflareネットワークをバイパスします。

図2: サービスプロバイダーのトラフィックを監視し、ボリューメトリックDDoS攻撃を検出した際の全体的なソリューション。

上記の図は、Cloudflareがサービスプロバイダーのトラフィックを監視し、ボリューメトリックDDoS攻撃の可能性を検出した際に、Cloudflareのグローバルネットワークからインターネットに最も具体的な保護されたプレフィックスを自動的に広告する方法を示しています。これにより、この保護されたプレフィックスへのすべてのトラフィックがCloudflareネットワークを介して再ルーティングされ、悪意のあるトラフィックが緩和されます。

  1. ボリューメトリックDDoS攻撃の可能性を検出すると、Cloudflareは自動的にアラートを生成します。サービスプロバイダーは、メールやWebhookを介してアラート通知を受け取ることができます。さらに、アラートは、サービスプロバイダーによるMagic Transitの設定に従って、Cloudflareネットワークからインターネットへの自動プレフィックスアナウンスをトリガーすることができます。
  2. Cloudflareは、すべてのCloudflareのポイントオブプレゼンスから保護されたプレフィックスを広告します。Cloudflareがより具体的なプレフィックスを広告するため、攻撃されたプレフィックスに向けられたトラフィックのみがCloudflareネットワークを介して再ルーティングされます。
  3. Cloudflareのネットワークは攻撃トラフィックを緩和し、正当なトラフィックをサービスプロバイダーのネットワークに通過させます。サービスプロバイダーは、Cloudflare Network Interconnect(CNI)を使用する際に、1500バイトのMTUを持つ元のパケットを受け取ります。
  4. 保護されたプレフィックスのアウトバウンドトラフィックや他のプレフィックスのトラフィックは影響を受けず、サービスプロバイダーの上流リンクを介してインターネットにルーティングされ続けます。
  5. 信頼できるネットワークとのプライベートピアリングは影響を受けず、これらのコンテンツプロバイダー(Facebook、Netflix、YouTubeなど)からのトラフィックはCloudflareを介して再ルーティングされることはありません。

関連リソース

Cloudflare DashboardDiscordCommunityLearning CenterSupport Portal
Cookie Settings