DoS攻撃(Denial of Service attack)を大別した場合、以下の 2 つの攻撃方法があります。
- 脆弱性を攻撃することでサービスの提供を阻害する方法
- アクセス過多などでリソース枯渇、高負荷状態を発生させサービスの提供を阻害する方法
前者については、当該脆弱性に対する侵入防御ルールが存在すれば Deep Security により検知、防御が可能です。
また後者のような DoS / DDoS攻撃は、以下のように分別できます。
- サーバのリソースを枯渇させるアプリケーション層の攻撃
- ネットワークリソースを枯渇させるネットワーク層の攻撃
Deep Seucurityでは、上記の「1.」のような攻撃に対応すべく、指定時間内にしきい値を超過したアクセスが発生した場合にイベントとして報告するような侵入防御ルールをいくつか用意しております。
Deep Security は、サーバ上にインストールするアプリケーションであるのに対して、上記の「2.」のような攻撃は、サーバにネットワークトラフィックが到達する前の段階で攻撃が成立しているため、ネットワーク前段でのDDoS攻撃対策製品の導入等をご検討下さい。
以下は、 DoS / DDoS攻撃に対応した侵入防御ルールの一例です。
NTP Server Linux
- 1006239 - Detected Too Many NTP Traffic Amplification Requests
SNMP Server
- 1005949 - Detected Too Many SNMP GETBULK Requests
Suspicious Server Application Activity
- 1005957 - Identified SNMP Reflected Denial Of Service
- 1005974 - Identified DNS Reflected Denial Of Service
- 1006240 - Identified NTP Reflected Denial Of Service
- 1006560 - Identified Microsoft SQL Server Resolution Service Distributed Denial Of Service
Universal Plug And Play Service
- 1006746 - Detected Too Many SSDP Traffic Amplification Requests
Web Application PHP Based
- 1005979 - Identified Too Many WordPress XML-RPC Pingback Requests
Web Server Common
- 1006049 - Identified Too Many Incoming HTTP Requests
- 1006067 - Identified Too Many HTTP Requests With Specific HTTP Method
Web Server Micellaneous
- 1005982 - Identified Too Many Pingback Initiated Requests
-
上述のルールは全てスマートルールに該当し、推奨設定の検索による自動適用には対応しておりません。ルールの種類については、以下の製品Q&Aを参照してください。
- これらのルールは初期設定で「検出のみ」となっており、しきい値を超過しても通信はブロックされません。設定変更によってしきい値を調整したり、しきい値を超過した場合に通信をブロックさせる事も可能ですが、正常なリクエストがブロックされた結果としてサービス拒否攻撃が成立しかねない点にご注意ください。
- Deep Securityで検出可能なDoS / DDoS攻撃であっても、場合によってはサーバリソースを大きく消費する恐れもあります。その場合、DDoS攻撃対策製品をご検討下さい。