はじめに

本ブログでは、F5社のF5 Distributed Cloud Services Web Application & API protection（以降、F5 XC WAAPと表記）について、いくつかの機能を紹介してきました。F5 XC WAAPについて知りたい方は下記をご覧ください。

>>他F5 XC WAAP ブログはこちらから
 
今回は、F5 XCで実現できる「DDoS対策」をご紹介させていただきます。

DDoS攻撃とは

長年にわたり発生している攻撃であり、様々な媒体でDDoS攻撃について紹介されているため、ここでは簡単に説明させていただきます 。
DDoS（Distributed Denial of Service）攻撃とは、複数のクライアントマシンを用いる等で複数のIPアドレスから同時/大量アクセスを行うことでサーバやネットワークに過大な負荷をかけ、サービスを利用不可能な状態に陥らせるサイバー攻撃手法の一種です。
残念ながら、様々なDDoSツールやDDoS SaaS、DDoS代行業者が存在し、ツールや代行を用いることで手軽に行える攻撃手法であることもあり、年度ごとの発生件数に多少の増減はあるものの、近年でも依然として対策を必要とする攻撃となります。
 
なお、DDoS攻撃は対象とするレイヤの違いによりL7 DDoS、L3 / L4 DDoSに分類することができ、下記表のようにそれぞれ攻撃内容が異なります。

Webサイトを公開していたり、SaaSを提供している企業様の場合、サービスが利用できないことによる機会損失、SaaSの利用不可時間が発生することによるSLAに違反する可能性、などDDoS攻撃を受けることによるリスクは多々あります。そのため、DDoS対策は必須と考えられます。

F5 XCにおけるDDoS対策

F5 XCで提供しているDDoS対策サービスとしては以下の2つがあります。
・WAAP DDoS
・Routed DDoS
 
※F5 XC WAAPについて知りたい方は、前項に記載のリンクからF5 XC WAAPの各機能についての記事をご覧ください。

• WAAP DDoS
  WAAP DDoSは、お客様サイトへのアクセスをF5 XCのHTTP Load Balancer（以降、LBと表記）経由にすることでL3 / L4 / L7 DDoS対策が行えるF5 XC WAAPの機能の一つとなります。
  DNS切り替えか、F5 XCへのDomain委任が必要となりますが、F5 XC LB経由のアクセスに変更するだけで、F5の所有するスクラビングセンター(※1)でDDoS攻撃に対応することが可能です。攻撃元から最寄りのスクラビングセンターで軽減を行います。DDoS対策をオンプレデータセンター内のアンチDDoS機器等で行う場合に比べ、DDoSによる影響を大幅に抑えることができます(※2)。
  また、Slow DDoS 防御もデフォルトで実行されます。Slow DDoSはDDoS攻撃の一種であり、非常に遅いトラフィックを攻撃対象に送ることでリソースを占有させ、正規のクライアントからの接続を妨害する攻撃です。WAAP DDoSでは、このようなクライアントからの低速のHTTPリクエスト/ヘッダを検出し、閾値を超えた場合にリクエストを破棄することでSlow DDoSからの防御を行います。

※1
悪意あるトラフィックを検出/遮断し、正常なトラフィックのみを転送する処理を行う拠点。F5 XCでは全世界に20箇所以上展開されており、日本には東京と大阪に存在。
 
※2
オンプレ機器でDDoS対策を行う場合、オンプレ機器にDDoSによる攻撃が着信してから動作するため、着信時点で一定のリソースが消費されることによる通信影響が発生する可能性があります。また、オンプレ機器の場合、お客様回線からDDoS対策機器までの攻撃通信には対応できないため、その間の攻撃は軽減できない可能性もあります。
 
図：WAAP DDoS イメージ

• Routed DDoS
  Routed DDoSは、お客様が利用しているBGPのASN/IP Prefixをお客様サイトのルータから広報するか、F5 XCから広報するかを切り替えることにより、お客様サイトへ直接アクセスか、F5 XC経由でアクセスさせるかを切り替えます。このように、F5 XC経由でアクセスさせることで、F5の所有するスクラビングセンターにてL3 / L4 DDoS対策を行う方式となります。
  
  Always On/ Always Availableの2つの方式があり、Always Onは継続的にF5 XCを経由して通信を行う方式です。Always Availableは、通常時のクライアントからのアクセスは直接お客様サイトに行い、DDoS 攻撃発生時にF5 XC経由に切り替えを行う方式です。どちらの方式でもF5 XC経由とすることで、DDoS対策を行います。

なお、F5 XCをご利用される場合は、Base Packageの契約が必須となります。
この契約にDDoS対策であるWAAP DDoSが含まれますので、XCをご契約頂いたお客様は追加のオプション契約等を必要とせずにWAAP DDoSをご利用頂くことが可能です。
 
本ブログの後半では、前述の2つのサービスのうち、WAAP DDoSについて、ご紹介します。

F5 XC WAAP DDoS 設定方法

L3 / L4 DDoS攻撃は、F5 XCを契約頂きF5 XC経由の通信に切り替えを行う事で自動的に保護が行われます。具体的には、DDoS攻撃のアクセス元に近いF5のスクラビングセンターに通信が誘導され、検出されたDDoS通信をブロックします。
 
L7 DDoS攻撃については、LB内のL7 DDoS Auto Mitigation設定に従い動作します。
デフォルトでは”Default”が設定されており、F5のトラフィック分析によりsuspiciousと判定された送信元からの通信を動的にブロックします。
 
＜L7 DDoS Auto Mitigation 設定箇所＞

設定可能な項目としては他に”Block”、”JavaScript Challenge”があります。
”Block”はデフォルトと同様疑わしき送信元からの通信を動的にブロックします。
”JavaScript Challenge”は疑わしき送信元からの通信に対し、JavaScript を利用したBot判定機能により正常なアクセスか否を判別する設定となります。
 
なお、Auto Mitigationによるブロックは動的に行われますが、ここで作成されるブロックルールは一時的なものになります。恒久的に特定の送信元からのDDoSをブロックしたい場合は、DDoS Mitigation Ruleの設定が必要となります。
このルールは、IPアドレスだけでなく、ASN(AS番号)や国単位でのブロック設定が可能です。
検知した攻撃のIPアドレスやASNの確認方法は、後述の検知の確認の項に記載しております。
 
＜ASN/Country設定箇所＞

F5 XC DDoS 検知の確認

F5 XCのコンソールにはWAAP DDoS専用に用意されたダッシュボードがあり、DDoS攻撃を検出した場合はここから検出内容を確認し、攻撃状況を把握することができます。

どこからどこへ攻撃が発生しているのかがマップ上に描画されますので、攻撃の発生 / 検出状況を視覚的に確認することが可能です。
マップ上の攻撃元をクリックすることで、攻撃元の情報（IPやASNなど）を確認することができます。

おわりに

今回は、F5 XCで利用できるセキュリティ機能のうち、DDoS防御についての機能をご紹介しました。

DDoS対策は多くのサービス、製品が既に多く存在します。
F5 XCでDDoS対策を行うメリットとして、冒頭でも述べたようにF5 XCを契約するのに必須となるBase Packageで利用できることが挙げられます。
このパッケージには、WAF防御、API保護、Bot対応も含まれるため、F5 XCを導入することで1つのサービスでWAAPのコア機能全てを利用することが可能です。
API保護はA社、WAFはB社、といったように複数社のセキュリティサービスを導入している場合、サービスコンソールが異なる、サービスごとに契約が必要、といった運用上の課題が生じます。
F5 XCを導入することで、各セキュリティ機能を1コンソール/1契約で行えることは上記のような課題の解決にも役に立つかと考えています。
 
もしDDoS攻撃などWebサイトのセキュリティに関する課題や不安がございましたら、F5 XCの導入を一つの案として考えていただけますと幸いです。

他にも弊社ブログでは様々なWAAP機能をご紹介しておりますので、こちらも是非ご覧ください。

F5 XC WAAPにご興味ございましたら、以下サイトからお気軽に弊社までお問い合わせください。

「F5 Distributed Cloud Web Application and API Protection (F5 XC WAAP)」