ビジネスサポートポータルアカウントでログイン
DoS、DDoS攻撃の検出や防御について  

DoS、DDoS攻撃の検出や防御について

    • 更新日:
    • 4 Jul 2019
    • 製品/バージョン:
    • Trend Micro Deep Security 10.0
    • Trend Micro Deep Security 11.0
    • Trend Micro Deep Security 12.0
    • Trend Micro Deep Security 9.5
    • Trend Micro Deep Security 9.6
    • Trend Micro Deep Security as a Service All.All
    • OS:
    • Linux すべて
    • Solaris すべて
    • UNIX すべて
    • Virtual Appliance すべて
    • Windows すべて
概要
Deep Security DoS DDoS 攻撃の検出や防御は可能ですか。
詳細
Public

DoS攻撃(Denial of Service attack)を大別した場合、以下の 2 つの攻撃方法があります。

  • 脆弱性を攻撃することでサービスの提供を阻害する方法
  • アクセス過多などでリソース枯渇、高負荷状態を発生させサービスの提供を阻害する方法

前者については、当該脆弱性に対する侵入防御ルールが存在すれば Deep Security により検知、防御が可能です。

また後者のような DoS / DDoS攻撃は、以下のように分別できます。

  1. サーバのリソースを枯渇させるアプリケーション層の攻撃
  2. ネットワークリソースを枯渇させるネットワーク層の攻撃

Deep Seucurityでは、上記の「1.」のような攻撃に対応すべく、指定時間内にしきい値を超過したアクセスが発生した場合にイベントとして報告するような侵入防御ルールをいくつか用意しております。

Deep Security は、サーバ上にインストールするアプリケーションであるのに対して、上記の「2.」のような攻撃は、サーバにネットワークトラフィックが到達する前の段階で攻撃が成立しているため、ネットワーク前段でのDDoS攻撃対策製品の導入等をご検討下さい。

以下は、 DoS / DDoS攻撃に対応した侵入防御ルールの一例です。

NTP Server Linux

  • 1006239 - Detected Too Many NTP Traffic Amplification Requests

SNMP Server

  • 1005949 - Detected Too Many SNMP GETBULK Requests

Suspicious Server Application Activity

  • 1005957 - Identified SNMP Reflected Denial Of Service
  • 1005974 - Identified DNS Reflected Denial Of Service
  • 1006240 - Identified NTP Reflected Denial Of Service
  • 1006560 - Identified Microsoft SQL Server Resolution Service Distributed Denial Of Service

Universal Plug And Play Service

  • 1006746 - Detected Too Many SSDP Traffic Amplification Requests

Web Application PHP Based

  • 1005979 - Identified Too Many WordPress XML-RPC Pingback Requests

Web Server Common

  • 1006049 - Identified Too Many Incoming HTTP Requests
  • 1006067 - Identified Too Many HTTP Requests With Specific HTTP Method

Web Server Micellaneous

  • 1005982 - Identified Too Many Pingback Initiated Requests
  1. 上述のルールは全てスマートルールに該当し、推奨設定の検索による自動適用には対応しておりません。ルールの種類については、以下の製品Q&Aを参照してください。

  2. これらのルールは初期設定で「検出のみ」となっており、しきい値を超過しても通信はブロックされません。設定変更によってしきい値を調整したり、しきい値を超過した場合に通信をブロックさせる事も可能ですが、正常なリクエストがブロックされた結果としてサービス拒否攻撃が成立しかねない点にご注意ください。
  3. Deep Securityで検出可能なDoS / DDoS攻撃であっても、場合によってはサーバリソースを大きく消費する恐れもあります。その場合、DDoS攻撃対策製品をご検討下さい。
Premium
Internal
評価:
カテゴリ:
機能/仕様
Solution Id:
1310174
ご提案/ご意見
このソリューションはお役に立ちましたか?

フィードバックありがとうございました!

いただいたご提案/ご意見に関して、トレンドマイクロから詳細確認のため、Eメールを送付させていただく場合がありますので、Eメールアドレスを入力してください:
入力いただいたEメールアドレスはソリューション改善のためだけに使用いたします.

*こちらに技術的なご質問などをいただきましてもご返答する事ができません.

何卒ご了承いただきますようお願いいたします.


To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
We will not send you spam or share your email address.

*This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.


ユーザーガイド