DDoS CDNとは、DDOS対策機能を持つCDNです。
DDoS
DDoS (Distributed Denial of Service attack)とは、多数のコンピュータからサーバに対し過度のトラフィックを送信し、サーバのサービス提供を停止させる攻撃です。
DDoS CDN実装
CDNにおけるDDOS対策は、以下の4レベルに分類されます。
CDN単体
カジュアルな(簡易なDDoS攻撃ASPを使った1回きりの)攻撃であれば、CDN単体でもDDoS対策として有効です。
つまり、CDNでは複数拠点に配信サーバを配置しており、いくつかの配信拠点がDDoSによりサービス不能となっても、残った配信拠点によりサービスを継続できます。そのため、攻撃者がすべての配信拠点を把握できていない場合においては、CDN単体でも十分なDDoS対策であると言えます。この意味で、配信拠点数を多数持つCDNがDoS対策においては優位となります(少数の配信拠点しかない場合、攻撃者は容易にすべての配信拠点を把握=攻撃できる)。
ただし、それぞれの配信拠点が持つ攻撃トラフィックへの耐性は高くありません。たとえば、100Gbpsの上位リンクをもつ配信拠点であっても、1Gbps程度のDDoS攻撃でサービス停止に追いやることができます。
CDN+iDCのDDoS対策サービス
攻撃者の本気度が上がった(事前にターゲット調査を行う)攻撃に対しては、CDN単体では不十分になります。
つまり、前述のように配信拠点単位で見ると、CDNと言えどもDDoS対策は十分と言えません。そして、攻撃者は、事前に標的ホストリストを用意し、漏れなく攻撃を仕掛けてきます。
そのため、配信拠点にiDCが提供するDDoS対策を投入し、単独の配信拠点で数十Gbps程度のDDoS対策に耐える構成にします。ただし、すべての配信拠点に対して行う必要はなく、特定の配信拠点だけでも効果があります。つまり、同じ100GbpsのDDoS攻撃であっても、配信拠点が10箇所あれば(それぞれは10Gbpsの攻撃となり)、9箇所の配信拠点は潰されても、1箇所の配信拠点(DDoS対策されている)でサービスを継続できます。
また、通常のCDNはレイヤ4以上の攻撃(TCP Synアタック、httpリロード攻撃等)に対する防御機構を持ちません。こららの攻撃に対する防御(Bot排除)を行うために以下のような技術が使われます:
- クッキー挿入
- チャレンジレスポンス(Javascript実行の強要)
CDN+広域DDoS対策サービス
さらに攻撃者の本気度が上がると、攻撃の結果分析(生き残った配信拠点の洗い出し)および重点攻撃が行われます。
これに対しては、真の攻撃耐性アップが必要になります。このアプローチとして、DDoS対策を導入した配信拠点を増やす(防御帯域:数十Gbps*配信拠点数)こと以外に、広域DDoS対策サービスの導入があります。広域DDoS対策サービスは、以下のような特徴を持ち、単体で数百Gbps程度のDDoSを防御できます。
- 専用のASを持つ
- 外部に対して十分な帯域で接続されている
- エニキャストによる攻撃分散が行われる
また、複数のDDoS対策サービスをCDNと組み合わせることにより、DDoS対策をさらに強化することができます。
究極の実装(マルチCDN+マルチ広域DDoS対策サービス)
マルチCDNと複数の広域DDoS対策サービスを組み合わせたものが、究極のDDoS対策と言えます。ただし、ここまでの防御を行ったサイトは、現在ありません。
DDoS対策付CDNのMitigation実績
配信サービスにおいてAkamaiは巨人ですが、DDoS対策については同程度の防御ネットワークがいくつもあります:
- Akamai
- 実攻撃:620Gbps@2016年9月
- 防御帯域:?
- Incapsula
- 実攻撃:470Gbps@2016年6月
- 防御帯域(公式発表):2Tbps
- CloudFlare
- 実攻撃: 400Gbps@2016年3月
- 防御帯域:?