インターネットにおけるDDoS対策が難しい理由（その2）：DDoS攻撃クロニクル（3）（1/4 ページ）

連載目次

　DDoS攻撃の技術的な背景や手法の変遷をたどりながら、有効なDDoS攻撃対策について考える本連載。第1回、第2回では、DDoS攻撃がインターネット上で発生し始めてから現在に至るまで、攻撃者にとって有効な攻撃手段であり続けている理由を説明した。

　3回目となる今回は、「実際に攻撃を受けたWebサイト側でどのような状況が発生するのか」を、典型的な攻撃手法と攻撃対象ごとに紹介し、Webサイト側で採ることのできる対策と、その限界について解説する。

Webサイトは複数の構成要素からできている

　図1は、一般的なWebサイトの構造を示したものである。ここでは全体のシステムを自社で所有するケースを想定しているが、現実にはホスティング事業者やクラウド事業者のサーバ上にサイトを構築するケースなど、さまざまなバリエーションが考えられる。

　重要なのは、複数のコンピュータやネットワーク機器が組み合わさってWebサイトが構成されているという点であり、「これらの構成要素の全てが正常に動作して初めてWebサイトが機能する」ということである。

図1　一般的なWebシステム

Webサイト構築時の容量設計

　Webサイトを構築する際には、必ず「設備容量設計作業」を行う必要がある。これは大まかに言えば「Webサイトの大きさを決める」作業で、もう少し具体的に説明すると、「そのWebサイトが同時にサービスを提供できるユーザー数」あるいは「単位時間当たりの処理可能数」といったシステムの処理能力目標を定めた上で、それを満たすようにシステムの各構成要素の容量や処理能力を決め、適切なハードウェア／ソフトウェアを導入する作業である。

　システムの各構成要素はその性格によって、容量、処理能力を表すために異なる「パラメータ」（単位と言い換えてもよい）が用いられる。例えば、回線の容量（速度）の単位として、「Mbps」「Gbps」など、「1秒間に流すことができるビット数（bps：bit per second）」がある。また、Webサーバでは、サイトの人気を表す指標である「ページ閲覧数（PV：Page View）」や、サーバ負荷を直接的に表す「秒間リクエスト数（req/s）」が用いられる。ルーターなどのネットワーク機器であれば、1秒間に処理できるパケット数を表す「pps（packet per second）」が使用される。

　実際の設備容量設計の流れはおおむね以下のようなものである。まず、Webサイトが処理可能とする「システム全体としての目標値」を定める。これは、最も混雑する時間帯の負荷である「ピークトラフィック」を基に決めるケースが多い。

　次に、各構成要素で全体の目標値を下回ることのないよう「部分目標値」を決め、それを満たす個々の設備を用意する。上述のように各構成要素のパラメータはそれぞれ異なる単位を持つことから、システム全体の目標値から各構成要素の部分目標値への変換を行わなければならない。そこには一律の変換ロジックは存在しないため、Webサイトの性格に応じて各パラメータ間の連携関係のモデル化などを行う。

　例えば、「業務トランザクションが1つ生まれるときに閲覧される平均的なページ数」を想定し、それを処理するための「パケット数」や「ネットワーク負荷」をモデル化して、これらの連関を導き出す。そして、実際の構成要素の設備は、このようにして求められた部分目標値にある程度の余裕を持たせて導入されることとなる。