戻る

DDoS 攻撃のトラブルシューティングのコツ

著者注 by マーク・ハリス 2017 年 6 月 8 日

次の記事は、DDoS 攻撃のトラブルシューティングに関する 1 部構成のシリーズの第 3 部であり、Matt Conran によるゲスト投稿です。 ネットワークインサイトこの記事では、マットが NetBrain DDoS へのアプローチと、効果的なチームコラボレーションが攻撃のエスカレーションに打ち勝つ唯一の方法である理由について説明します。

DDos 攻撃

概要

最近の DDoS 攻撃では連敗が続いており、既存のアプローチは明らかに遅れています。早期検出のための独創的なマシン アルゴリズムや軽減ソリューションの進歩だけが問題ではありません。チームがこのようなイベントにどのように対応するかを含め、DDoS ソリューション全体を総合的に検討する必要があります。

DDoS を阻止するための重要な要素はトラブルシューティングです。これは、自動 API アプローチの検出および軽減ソリューションに組み込む必要があります。 NetBrain このソリューションは、あらゆる種類の DDoS を効果的にトラブルシューティングするための不足している部分を提供します。

NetBrainのソリューションにより、エンジニアはあらゆる種類のトラフィック フローをマッピングして、開放型システム間相互接続モデル (OSI) モデルのすべての層を対象とするセキュリティ イベントを追跡するために必要なレベルの可視性を実現できます。これらはすべて数秒で実行できるため、サイバー犯罪者に対抗する強力なツールとなります。

チームコラボレーション

で武装 NetBrain ツール セットを使用すると、ネットワーク チームとセキュリティ チームは、あらゆるネットワーク タスクやワークフローを自動化できます。さまざまなチームが協力して、ネットワークの任意の部分をオンデマンドで視覚化し、そのセクションの詳細な側面を表示できます。

DDoS攻撃に勝つには、技術的な戦いだけでは不十分です。 NetBrain チームのコラボレーションを改善し、同様に重要な準備を促進します。 NetBrain 非常に重要な役割を果たし、DDoS 攻撃を受けたときのパニックを解消します。

ネットワーキングの芸術

ネットワークの技術により、さまざまなインテリジェント ネットワークが作成されます。2 つのネットワークが同じになることはありません。このため、DDoS のトラブルシューティングは、エンジニアの才能を最も発揮する個別のプロセスになります。 NetBrain トラブルシューティング情報を一元化されたデータベースに抽出するツールが組み込まれているため、DDoS イベントに自動的に対処することが容易になります。このプラットフォームの名前が Adaptive Network Automation であるのはそのためです。つまり、あらゆるネットワークとタスクに適応するということです。

NetBrain DDoSの協力活動を開始した最初の企業です。 NetBrain 顧客は実行ファイルをプールして共有できる runbookDDoS 攻撃に対抗するために使用されるソリューション。コラボレーションは DDoS 攻撃に打ち勝つための重要な要素です。

システムを教えてください。

このソリューションはダイナミックに基づいています ネットワークマッピング、 実行可能 Runbookすぐに使える統合。 1つの完全なDDoSソリューションを形成できます。エンジニアは dynamic map ネットワークの任意の部分を数秒で分析するには、2 つのポイントを選択するだけで、マップが分析を実行します。

この runbook 読み取り専用の分析を実行し、ネットワークからカスタマイズされたデータを取得することで、さらに強力なツールとなります。これにより、詳細をすぐに把握できます。抽出される詳細は無限であり、ネットワークへの完全なインターフェイスを持っているようなものです。これは、Google が数十億の Web サイトに対して検索ブランケットを提供しているのと似ています。

APIの統合

この NetBrain 豊富なすぐに使用可能な統合機能により、プラットフォームはあらゆる DDoS 検出および軽減ソリューションと完全に統合できます。 NetBrain アプリケーション プログラム インターフェイス (API) により、一時的な移行が可能になり、DDoS パズルの欠けているピース (トラブルシューティングとワークフロー チームのコラボレーション) が補われます。

Dynamic Map

この dynamic map エンジニアが重要なフローをマッピングし、任意のデータ ポイントを検索してその周囲を完全に可視化できるようにする重要なコンポーネントです。すべての構成、パフォーマンス データ、統計、イベント、ログを 3 つの画面で管理し、他のサードパーティ システムからデータを取得することもできます。

ファイアウォールルール、負荷分散ログ、ルーティングテーブル、VRF設計などのソースからデータを抽出し、すべてのデバイスに再帰的にログインして、グラフィカルユーザーインターフェイス(GUI)で簡単に表示できます。 traceroute これまで不可能だった、手動アプローチでは何時間もかかるような詳細レベルを抽出します。 NetBrain これらすべてをわずか数秒で実行します。

データポイント検索

NetBrain エンジニアは、数秒で任意のデータ ポイントを検索して、詳細かつカスタマイズされたネットワークの可視性を得ることができます。たとえば、Open Shortest Path First (OSPF) 隣接関係に問題を引き起こしている DDoS イベントをトラブルシューティングする場合、独自のカスタマイズされたマップをドリルダウンして、さまざまな情報レイヤーをオンにしてさらに分析することができます。また、特定のサイトで DDoS が疑われる場合は、その特定の領域をドリルダウンして詳細情報を取得できます。

事実上無限の詳細

データ ポイントを選択すると、パフォーマンス メトリック、設計、セキュリティ機能、さらには構成チェックなど、ほぼ無限の詳細にズームインできます。

実行可能ファイル Runbooks

さらに詳細なレベルに進むには、エンジニアは 実行ファイル runbookこれにより、事実上あらゆるネットワーク管理タスクを自動化できます。実行可能ファイル runbookは自動的にトリガーされ、拡張可能で、結果を追跡し、コミュニティによってサポートされており、リアルタイムの視覚化と DDoS 影響分析を可能にします。

A runbook 優れた方法論を提供し、自動化のためのコンテナです。 runbook ワークフローのオートマトンの一部です。実行可能なので、外部システムや外部イベントによってトリガーできます。DDoS検出システムは、 runbook トラフィック異常検出後。

より詳細な粒度については、 runbook Qappとして知られている QappはPythonで動いていますが、これはすべてウィザード駆動型のGUIによって抽象化されています。プログラマーである必要はありません。これらは複数のコンポーネントを持つファイル拡張子のようなもので、各コンポーネントには 「声明」 コマンド。

合理化された DDoS の例

DDoSイベントが発生すると、Adaptive Networkからすべてのリソースが引き出されます。 自動化技術セット。外部IDSシステムが攻撃を知らせ、イベントを報告します。これにより、実行可能な一連の攻撃が自動的に開始されます。 runbook検出された攻撃の種類に応じて異なります。

例 Runbooks

Runbookは OSI モデルのどのレイヤーでも動作し、最も高度な DDoS 攻撃のトラブルシューティングに役立ちます。ロード バランサーまたは Web サーバーのログを抽出して、伝送制御プロトコル (TCP) ヘッダーの特定のエラーを探すことができます。手動では、これにはかなりの時間がかかります。すべての show コマンドが実行され、視覚的に表示されます。すべてのホップでリアルタイム分析が実行されます。

さまざまな段階 runbook 不規則なトラフィック パターンからトリガーされ、追加の Qapps によるより詳細なネットワーク分析が可能になります。たとえば、インターフェイス カウンターが増加している場合や、HTTP DDoS 攻撃によりバックエンド サーバーで HTTP プロセスのレベルが高い場合、一連の Qapps を自動的にトリガーしてさらに検査することができます。これらはすべて、人間の介入なしで実行されます。

断続的な問題

一部の DDoS 攻撃はより静かに行われ、断続的なネットワーク問題を引き起こします。攻撃発生時にデータをキャプチャするためにその場にいなければならないため、トラブルシューティングが困難です。 自動的にトリガーされる runbookは、ネットワークのあらゆる側面をチェックし、断続的な問題を捕捉する一般的なネットワーク全体の健全性もチェックできます。これにより、 誤検知を減らす 人間との関わりがほとんどありません。

閉会のコメント

Runbookは、チームに一連のアクションを実行させる強力な方法です。 runbookはエンジニアの頭から抽象化され、誰でも使用、学習、実行できます。ネットワークヒーローはしばしば過労状態にあり、今ではその人物は一連のネットワークにすべての知識を提供することができます。 runbookより広範なチーム統合が可能になります。 Runbookは、チームのコラボレーションとワークフローの統合の改善に最適な方法です。 学んだ教訓や途中で追加された教訓によって、何度も強化することができます。

チームのコラボレーションは、効率的な DDoS トラブルシューティングに不可欠な要素です。多くの場合、ネットワーク、セキュリティ、アプリケーションなど、複数のチームが関与します。複数のチームからのトラブルシューティング イベント中に、どのように変更を追跡しますか? または、複数の垂直分野からの診断データをプールしますか? NetBrain エンジニアが 1 つのマップ上で共同作業できるように、コラボレーション メディアを提供します。すべてのアクティビティが追跡され、相互に連携します。たとえば、すべての診断データ、メモ、アクションが保存され、関係者全員が確認できます。すべての DDoS トラブルシューティングに、1 つの信頼できる情報源を提供します。

 

関連記事