|
負荷分散/QoS制御 機能ガイド
|
目次
索引
 
|
2.3.2 サービス妨害攻撃の防御
サーバやネットワークの安定運用を阻害するさまざまな悪意のある攻撃が知られています。Traffic Directorのアクセス制御機能では、サーバやネットワークの安定運用を阻害するサービス妨害攻撃からネットワークシステムを防御するための機能を提供します。
- SYNフラッド攻撃
送信元IPアドレスを偽ったTCPコネクション要求を短時間に大量に発行することで、サーバ資源を消費させ、サーバのスローダウンやシステムダウンを発生させる悪質な攻撃です。Traffic Directorのアクセス制御機能は、この攻撃からネットワークシステムを保護する機能を提供します。
- IP Spoofing
パケットの送信元IPアドレスを偽装し、そのパケットがあたかも安全なネットワーク上から送信されたパケットのように見せかけてサーバやネットワークに不正にアクセスする手法です。IP Spoofingだけでは害はありませんが、SYNフラッド攻撃や後述のサービス妨害アタックと一緒に使用されると脅威となります。Traffic Directorのアクセス制御機能は、IP Spoofingパケットを検出して廃棄する機能を提供します。
- サービス妨害アタック
TCP/IPプロトコルのメカニズムを巧みに利用した悪意のある攻撃です。サービス妨害アタックの代表的なものには、送信元IPアドレス、ポート番号と宛先IPアドレス、ポート番号を同じにしたパケットを送信して目的のシステムをクラッシュさせる「Land攻撃」、大量の重複IPフラグメントパケットを目的のシステムに送り付けてシステムをパニックにする「Teardrop攻撃」などがあります。Traffic Directorのアクセス制御機能は、このようなサービス妨害アタックからネットワークシステムを防御する機能を提供します。
- Ping of Death
64Kバイトより大きなサイズのパケットを受信すると、システムがクラッシュしたり、再起動が必要となるシステムが存在します。Traffic Directorのアクセス制御機能は、64Kバイトより大きなサイズのパケットを廃棄する機能を提供します。
- パケットを廃棄する機能を提供します。
Traffic Director(Solaris版)では、以下の防御機能のみサポートします。
- SYNフラッド攻撃
- サービス妨害アタック
- Ping of Death
All Rights Reserved, Copyright (C) 富士通株式会社 2000-2006