10/25/2016

どのようにすればDDOS攻撃を防ぐことができるか?

Slashdotより

つい先月、Brian Krebsが「欠けているようにみえるものは、組織的でグローバルスケールのDDoS脅威を解決するための切迫感である。」と書き、多くのISPが、なりすましトラフィックをフィルタするために "十数年以上前に" 公開されたBCP38セキュリティ標準をまだ実装していないことを警告している。それが一つの可能な解決策である。しかし、Slashdotの購読者dgallardは、Don CohenによるPEIPとFair Service案を提案する:
PEIP (Path Enhanced IP)は対象ホストに送るパケットのルータパスを決定できるようにするため、IPプロトコルを拡張する。現在、送り先(DDOSの標的)への途中でどのルータが通過したかを示すための情報がなく、パケットフラッドで標的を攻撃するのに送信元IPアドレスを偽造することが可能である。攻撃パケットを防ごうとするより、PEIPが送り先へのルータパスをベースに全てのパケットに帯域制限する方法を提供する
私は"とにかくプラグを全てを抜け"という提案も聞いている。しかし、金曜日のウォール・ストリート・ジャーナルのChristopher Mimはもう一つの核心(point of leverag)を、「我々は安全ではないシステムを販売する企業に行政上・刑事上の罰を認めるための法律が必要である」というツイートで示している。最善の解決策は技術的あるいは法的なものか? また、ハードウェアあるいはソフトウェアに関連するか? コメントにあなたの最善の考えを残してほしい。どのようにすれば大量のパケットを送りつけるDDOS攻撃を防ぐことができるか?

まずは、全てのプロバイダにBCP38/BCP84/uRPFを法的に義務付け、ルータベンダにもっと簡単に設定できるように実装させることかな。