「DDoSはもう解決できない」と思っていたあなたへ
正直なところ、私はDDoS攻撃は解決できない“厄介な問題”だと思っていました。
なにしろ、個人でも簡単に実行できるし、年々その手口は巧妙になっています。
かつてのDDoS攻撃は、どこが狙われているのか比較的明確なものが多かったのですが、最近では“攻撃対象を特定することすら難しい”ケースも増えてきました。
そして怖いのは、インターネット上で公開しているすべてのサービスが攻撃の対象になる可能性があるという点です。
そもそもDDoS攻撃とは?
DDoS(分散型サービス妨害)攻撃とは、複数のコンピュータやデバイスから一斉に大量の通信を送りつけ、特定のサーバーやネットワークを機能不全に追い込むサイバー攻撃の一種です。
攻撃者は「ボットネット」と呼ばれるマルウェア感染済みの端末群を使い、ターゲットとなるサービスに同時アクセスを仕掛けます。これにより、サーバーが処理しきれなくなり、サービスが一時的に停止してしまうのです。
攻撃手法も多様化している
代表的なDDoS攻撃の種類は以下の3つ:
・ボリューム攻撃:大量のトラフィックで帯域を圧迫
・プロトコル攻撃:ネットワーク機器のリソースを枯渇させる
・アプリケーション層攻撃:Webアプリやサーバーに直接負荷をかける
さらに厄介なのが、同じインフラを共有している他のサービスまで巻き添えにされること。自分のサービスが直接狙われていなくても、影響を受けて停止することがあります。
CDNだけでは防げないDDoSもある
DDoS対策としてまず挙げられるのが「CDN(コンテンツデリバリネットワーク)」の導入です。
CDNは、Webコンテンツを世界中の複数サーバーに分散させることで、ユーザーが最も近いサーバーからデータを取得できる仕組み。これにより、DDoSによる集中アクセスをある程度緩和できます。
実際、多くの企業やサービス(おそらく、はてなさんも?)がCDNを導入しています。
でも、CDNだけでは対応できないタイプのサービスもあります。
Magic Transitという選択肢
そんな中で注目されているのが、
**Cloudflareの「Magic Transit」**というサービス。
このサービスは、CDNではカバーできないようなレイヤーのDDoS攻撃に対しても、ネットワークの入り口で防御できるのが特徴です。
どうやって守るのか?(ざっくり解説)
企業が保有しているIPプレフィックス(ネットワークの住所みたいなもの)を、CloudflareがBGP(経路制御プロトコル)経由で広報
インターネット全体のトラフィックがCloudflareに流れるようになる
仕組みの流れ(ざっくり)
企業が持っているIPプレフィックスを、Cloudflareが BGP経由でアナウンス。
インターネット上のトラフィックがCloudflareに流れ込む。
Cloudflareが DDoS攻撃などを除去。
正常なトラフィックのみ、Cloudflareから企業ネットワークに送信(VPNやGREトンネルなどで接続)
正常な通信だけを企業のネットワークへ転送(VPNやGREトンネルで接続)
この仕組みによって、IPアドレスを変更せずにDDoSを高い確率で防げるというのが強みです。
インフラエンジニアにとっての“時代の変化”
Cloudflare Magic Transitは、いわゆる“法人向け”のサービスではありますが、驚くほど高額というわけではありません。
そして何より、DDoSに怯えずにインフラを運用できるというのは、インフラエンジニアにとって大きな安心材料になるはずです。
「DDoSは仕方ない」と諦めていた時代から、ちゃんと“守れる時代”に突入しています。
あわせて読んでね!
