Dos/DDos攻撃の調査を迅速化するフロー技術

NetFlow・sFlow対応 フローコレクター

DoS攻撃/DDos攻撃の検知に必要な運用とは

DoS攻撃(Denial of Service attack)やDDos(Distributed Denial of Service attack)攻撃は、主にWebサーバーなどの標的となるサーバーに対してネットワークを介して大量のトラフィックを送り付けることでそのサーバーに大きな負荷を与え、ダウンさせることを目的とした攻撃です。

例えば、同じ時間にWebサイトに大量のアクセスを行うと、そのサイトが置かれたWebサーバーはサイト表示のために多量のリクエストを処理することになります。DoS攻撃やDDoS攻撃に遭ったWebサイトにアクセスできなくなる理由は、Webサーバーが多量のリクエストの処理に耐えきれずにダウンしてしまった状態になるためです。

DoS攻撃/DDos攻撃による被害を防ぐには?

近年では、通常のユーザーによる正規のリクエストとの見分けが付けにくいトラフィックによる攻撃なども増加しています。攻撃手法の多様化により、DoS攻撃/DDoS攻撃から完全にサイトやサーバーを守る方法は存在しないと言えます。しかし、適切な対処方法を取ることで攻撃に遭った場合の被害を抑えることが可能です。

DoS攻撃/DDoS攻撃を検知して被害を最小限に抑えるための手法は、例えば以下のものが挙げられます。

  • 特定IPアドレスからのアクセスを遮断
  • WAF・UTM・IDS/IPS等を導入
  • ネットワークトラフィックの監視システムを導入

例えばネットワークトラフィックの監視システムを導入してDoS攻撃/DDoS攻撃を検知する場合、普段と比較して異常な量の通信がネットワークで流れていることがリアルタイムにわかれば、素早くDoS/DDos攻撃を疑うことができます。その際、その通信の送信元IPアドレスやアプリケーション、プロトコルを確認し、攻撃か否かを判断する必要があります。

従って、Dos/DDos攻撃を検知するには、ネットワークトラフィックを迅速に分析し可視化できる運用を保有しておく必要があります。

DDoS/DoS攻撃の振る舞いも検知できるフローコレクター

ManageEngineが提供するNetFlow Analyzerは、運用に乗せやすいシンプルで分かりやすい管理画面が特長のNetFlow、sFlowに対応したフローコレクターです。DDoSやDoS攻撃と考えられる通信の振る舞いを検知する機能を持つ「Enterprise Edition」も提供しています。

DoS/DDoSの検知ツールについて詳しく知りたいという方はこちら

製品概要資料製品紹介セミナー無料評価版

アドバンストセキュリティ分析

NetFlow Analyzer Enterprise Editionのアドバンストセキュリティ分析機能は、ネットワークフローを元にしてセキュリティ分析や異常検知を行います。ManageEngineが開発した技術である「Continuous Stream Mining Engine」を使用してネットワークへの不正侵入を検出・分類し、セキュリティの脅威にリアルタイムで対処します。アドバンストセキュリティ分析機能により、外部/内部の広範囲のセキュリティの脅威を検知し、継続的なネットワークセキュリティの総合的な判断を可能にします。

sam benefitsアドバンストセキュリティ分析モジュール 技術的意義

NetFlow Analyzerでは、問題としてグループ化された脅威/異常を一覧表示します。さらに、問題を3クラスに分類します(無効な送信元/宛先、DDoS、容疑フロー)。問題の分類に利用されているクラス一式は、問題分類カテゴリー(英語)ページをご参照ください。円グラフと線グラフによって、ネットワークセキュリティの全体像を一目で把握することができます。ネットワーク管理者はNetFlow Analyzerのフロー解析情報をドリルダウンで表示し、より詳細なネットワークの分析ができます。

※アドバンストセキュリティ分析モジュールはNetFlow Analyzerのオプション機能です。 

導入メリット

  • 中央集中型エージェントレストラフィックデータ収集、分析、管理
  • 外部/内部のセキュリティ脅威をシームレスに可視化
  • コンテクストに応じた不正侵入/異常検知
  • 継続的な総合セキュリティ姿勢評価
  • 先見的なフィードバック主導型 評価/トラフィックポリシー決定
  • すぐに実施可能なリアルタイム決定支援システム

技術性能

  • 高い処理能力と待ち時間の少ないストリーム処理
  • 非同期並行型データ処理
  • 高速ルールエンジンと柔軟な条件設定が可能なプロファイル
  • 状況からのリソースのモデル化と問題解決
  • イベントの相関と検索の高度なアルゴリズム

DoS/DDoSの検知ツールについて詳しく知りたいという方はこちら

製品概要資料製品紹介セミナー無料評価版

NetFlow Analyzerのアドバンストセキュリティ分析機能

自動廃棄フロー自動廃棄フロー  [※英語版]

自動廃棄フロー

  • 特定の問題に対する特定のフローのホワイトリスト
  • 豊富なフローフィルタ設定
  • 統合廃棄フィルタ設定レポート
イベントトラブルシューティングレポートイベントトラブルシューティングレポート

イベントトラブルシューティングレポート

  • フォレンジック特別調査と分析
  • 迅速にパターン認識のためのフローのグループ化
  • 発信ルーターによるセグメントフロー
問題管理のカスタマイズ問題管理のカスタマイズ

問題管理のカスタマイズ

  • 特定の問題とアルゴリズムの有効化/無効化
  • 利害に関連する問題への集中
自動廃棄フロー非検知フィルタ設定  [※英語版]

自動非検知イベント

  • 特定のリソース、特定の問題のホワイトリスト
  • 無視したイベントの監査目的の保管
  • 総合非検知フィルタ設定レポート
セキュリティスナップショットセキュリティスナップショット

セキュリティスナップショット

この画面では、グループ化された脅威 / 異常 を問題として一覧表示します。問題は3つの主要な問題クラスに分類されます(無効な送信元/宛先、DDoS、容疑フロー)。

セキュリティイベントリストセキュリティイベントリスト

セキュリティイベントリスト

アドバンストセキュリティ分析モジュール リスト内のセキュリティイベントリストでは、攻撃になる可能性のあるイベントをすべて分類して整理します。さらに、アドバンストセキュリティ分析モジュール ではイベントの重大度を割り当てます。これにより、アクションの優先度付けが可能です。

セキュリティイベント詳細セキュリティイベント詳細

セキュリティイベント詳細

イベントの詳細情報は、問題の完全な詳細を提供します。詳細情報には、ネットワーク、ポート、プロトコル、TCPフラグなどが含まれます。ルーター名をクリックすると、位置づけられた宛先と送信元のIP アドレス、アプリケーション、ポート、プロトコルなどの詳細情報が表示されます。このレポートは、ワンクリックでPDF形式でエクスポートするか、メールで送付することができます。

DoS/DDoSの検知ツールについて詳しく知りたいという方はこちら

製品概要資料製品紹介セミナー無料評価版