DoS/スプーフ防御

スプーフィング攻撃を防止するには、トラフィックに制限を適用して、識別できる IP アドレス、信頼できる MAC アドレス、および IP–MAC ペアと一致したトラフィックだけを許可します。また、トラフィック制限とフラグを設定することによって、DoS 攻撃を防止したり、DoS 検査を迂回するためのルールを作成したりすることができます。破棄されたトラフィックの情報は、ファイアウォールに記録されます。

  • スプーフィング攻撃を防止するには、「スプーフ防御の有効化」を選択し、設定とゾーンを指定し、「適用」をクリックします。信頼できる MAC アドレス上で、未知の IP アドレスからのトラフィックを破棄するには、「信頼する MAC で不明な IP を制限」を選択します。
  • 信頼する MAC アドレスを追加するには、「スプーフ防御 - 信頼する MAC」にスクロールし、「追加」をクリックします。アドレスをインポートするには、「インポート」をクリックします。
  • DoS 攻撃を防止するには、「DoS の設定」にスクロールし、設定を指定し、「適用」をクリックします。DoS 攻撃の現在のステータスを表示するには、表示されたリンクをクリックします。
  • 特定の IP アドレスまたはポートで DoS 検査を省略するには、「DoS のバイパスルール」にスクロールして「追加」をクリックします。

スプーフ防御 - 全般設定

スプーフ防御の種類と、保護したいゾーンを指定します。

IP スプーフィング
パケットの送信元 IP アドレスがファイアウォールのルーティングテーブルのいずれのエントリとも一致しなかった場合や、パケットが直接サブネットから送信されたものでない場合は、パケットを破棄します。
MAC フィルタ
パケットに指定されている MAC アドレスが、信頼する MAC アドレスのリストと一致しない場合は、パケットを破棄します。
注: MAC フィルタを選択するには、少なくとも 1つの信頼できる MAC アドレスを追加する必要があります。
IP-MAC ペアフィルタ
IP–MAC は、IP アドレスと、それにバインドされた信頼できる MAC アドレスのペアです。受信パケットの IP と MAC アドレスの両方が IP–MAC ペアと一致することが条件となります。IP または MAC アドレスがどのペアとも一致しなかった場合は、パケットを破棄します。

スプーフ防御 - 信頼する MAC

信頼できる MAC アドレスを MAC フィルタの設定と併用することで、特定のホストでトラフィックを許可することができます。

信頼できる MAC アドレスと IP アドレスをベアにすると、トラフィックが IP–MAC ペアと照合され、IP–MAC ペアフィルタに指定された設定に基づいてフィルタリングされます。

DoS の設定

送受信トラフィックの上限を指定したり、DoS 攻撃のフラグをつけることによって、ネットワークホストへのフラッド攻撃を防止することができます。

ヒント: ネットワークの仕様に基づいて上限を指定します。利用可能な帯域幅またはサーバー容量を超える値を指定すると、パフォーマンスに影響することがあります。また、これらの値が低すぎる場合、有効なリクエストがブロックされることがあります。
表 1. 攻撃の種類
名前 説明
SYN フラッド SYN リクエストを大量に送信することによって、サーバー上で半開接続を増加させます。
UDP フラッド UDP パケットを大量送信することによって、ホストのポートでアプリケーションリスニングの確認を強制的に実行させ、ICMP パケットを大量に返信させます。
TCP フラッド TCP パケットを大量に送信します。
ICMP/ICMPv6 フラッド ICMP/ICMPv6 エコーリクエストを大量に送信します。
送信元ルートが指定された破棄パケット パケットルートを指定するパケットを破棄します。
ICMP/ICMPv6 リダイレクトパケットの無効化 ICMP/ICMPv6 リダイレクトパケット (ホストに代替ルートを通知するパケット) を無効にします。
ARP ハードニング 送信元および宛先の IP アドレスが同じサブネット上にある場合に限り、エンドポイントがローカルの宛先 IP アドレスにのみ ARP 応答を送信できるようにします。
パケットレート
各ホストが 1分あたり送受信できるパケット数。
バーストレート
時々発生するトラフィックスパイクに限り、許可されるパケットレート。
注: バーストレートでは、通常のパケットレートを上回るレートを指定して、時々発生するトラフィックスパイクを許可することができます。ただし、頻繁に発生するスパイクや、スパイクが一定期間続くような状態は許可されません。
フラグの適用
プロトコルに対してトラフィックの上限を適用します。
ドロップされたトラフィック
破棄された送信元または宛先パケット数。

パケットレートとバーストレート

送信元あたりのパケットレート: 12000 パケット/分 (200 パケット/秒)。

送信元あたりのバーストレート: 300 パケット/秒。

ホストは 1秒あたり最大で 200パケット送信することができます。トラフィックが 1秒で 250パケット (バーストレート以下) に急上昇した場合も、許可されます。ただし、パケットレートを超えている状態が数秒間続く場合は、そのトラフィックは破棄され、200パケット以下のトラフィック (通常のパケットレート) のみが許可されます。トラフィックが破棄されてから 30秒後、パケットレートとバーストレートのカウンターはリセットされます。

DoS のバイパスルール

既知のホストの特定のポートやプロトコルで、DoS 検査を省略することができます。たとえば、VPN ゾーンのトラフィックや、VPN ゾーンの特定のホストについて、DoS 検査を省略することができます。