iptablesでDDoS対策?

最近はDDoSなんかが流行りのようですが、たまにDDoS対策としてiptablesで防御するとかいうことを聞いたりします・・・でも、iptablesではDDoSは遮断できません。

iptablesでの対策はOS上のフィルタなので普通のDoS(サービス不能)攻撃には有効ですがDDoSには無意味です。というかフィルタする分CPU負荷を上げるだけ逆効果かも。

知っているようで意外と知らない、DDoSの基礎知識

DDoSについては少し違ってるとこもありますが、このサイトで解説されてるようにReflection DoSは主にUDPで攻撃が行われます。DNS ampやNTP ampなど・・・。UDPはTCPと違ってステートレスなプロトコルなのでパケットを遮断しても全てのデータは遮断しているポイントまでは到達します。そしてそれを全て破棄することになりますが、全てのデータが遮断しているサーバのネットワークインターフェースまで到達している以上、そのサーバでいくらパケットを破棄してもそのサーバまでのトラフィックは全く減りません。

そもそも開いてもいないポートにUDPパケットが送りつけられているので、iptablesを設定してもしなくてもパケットはどうせ破棄されます(もし、ウェルノウンポートが攻撃されてるならそれはDDoSじゃなくて、あなたリフレクターにされてます・・・それか普通のDoSです)。

攻撃者の意図は過大なトラフィックを発生させて攻撃対象の存在するネットワークの帯域を溢れさせてサービス不能にするのが狙いなので、攻撃対象がパケットを破棄してもそこまで到達しているので意味がありません。

なので、攻撃を遮断するなら溢れているネットワークの上位接続先で遮断しないといけません。普通はDDoSといえば数十Gbpsにも達することになるのでフィルタでは対応できずにターゲットのIPアドレスをブラックホール設定するなどしてターゲットへの通信経路を全て無くして遮断するしかないです。

 

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です