ネットワークスペシャリスト試験 令和6年度 春期 午後1 問1
【出典:ネットワークスペシャリスト試験 令和6年度 春期 午後1 問1(一部、加工あり)】
[配信拠点の保護]
D社ではDDoS攻撃を受けることが何度かあった。そこでXさんは、コンテンツ配信サーバへのDDoS攻撃対策について、どのような対策を行っているかE社の担当者に確認したところ、E社ではRFC 5635の中で定義されたDestination Address RTBH(Remote Triggered Black Hole)Filtering(以下、RTBH方式という)のDDoS遮断システムを導入しているとの回答があった。E社POPの概要を図3に示す。
E社のDDoS遮断システムは、RFC 3954で定義されるNetFlowで得た情報を基にDDoS攻撃の宛先IPアドレスを割り出し、該当IPアドレスへの攻撃パケットを廃棄することで、ほかのIPアドレスへの通信に影響を与えないようにする。DDoS検知サーバは、E社POP内の各BGPルータとIBGPピアリングを行っている。
E社のBGPルータは、インターネット側インタフェースから流入するパケットの送信元と宛先のIPアドレス、ポート番号などを含むNetFlowパケットを生成する。生成されたNetFlowパケットはDDoS検知サーバに送信される。DDoS検知サーバは、送られてきたNetFlowパケットを基に独自アルゴリズムでDDoS攻撃の有無を判断し、攻撃を検知した場合はDDoS攻撃の宛先IPアドレスを取得する。
DDoS検知サーバは、検知したDDoS攻撃の宛先IPアドレスへのホスト経路を生成しRTBH方式の対象であることを示すBGPコミュニティ属性を付与して各BGPルータに経路広告する。RTBH方式の対象であることを示すBGPコミュニティ属性が付いたホスト経路を受け取った各BGPルータは、そのホスト経路のネクストホップを廃棄用インタフェース宛てに設定することで、DDoS攻撃の宛先IPアドレス宛ての通信を廃棄する。
DDoS遮断システムの今後の開発予定をE社技術担当者に確認したところ、RFC 8955で定義されるBGP Flowspecを用いる対策(以下、BGP Flowspec方式)をE社が提供する予定であることが分かった。
BGP Flowspec方式では、DDoS検知サーバからのiBGPピアリングで、DDoS攻撃の宛先IPアドレスだけではなく、DDoS攻撃の送信元IPアドレス、宛先ポート番号などを組み合わせてBGPルータに広告して該当の通信をフィルタリングすることができる。
Xさんは、⑤BGP Flowspec方式の方が有用であると考え、E社技術担当者に早期提供をするよう依頼した。
Xさんは、E社CDNとDDoS遮断システムを導入する計画を立て、計画はD社内で承認された。
今回は、令和6年度 春期 ネットワークスペシャリスト試験 午後1 問1の中から、特に実践的な知識が問われる【設問3】DDoS対策について、詳しく解説していきます。
【出題趣旨】や【採点講評】 でも触れられているように、CDNやDDoS対策は、現代のWebサービス運営において避けては通れない重要なテーマです。単なる知識だけでなく、「なぜこの技術が有効なのか?」をアーキテクチャから読み解く力が試されています。
この記事を読んで、RTBHやBGP FlowspecといったDDoS対策技術への理解を深め、得点力をアップさせましょう!🚀
なぜ今、DDoS対策が重要なのか?
本問のD社のように、コンテンツ配信ビジネスがグローバルに展開されると、世界中からアクセスが集まる一方で、悪意のある攻撃に晒されるリスクも増大します。 中でもDDoS攻撃は、サービス停止に直結する深刻な脅威です。
E社のようなCDN事業者は、コンテンツを高速かつ安定的に配信するだけでなく、こうした脅威から顧客のサービスを守るための高度な防護システムを備えています。 今回の設問は、その防護システムの仕組みと有効性を問う、非常に実践的な内容となっています。
【設問3 (1)】FW vs RTBH – どこで止めるのが効果的?
まずは最初の問題を見ていきましょう。
【設問3 (1)】
図3において、インターネットからBGPルータ1を経由してLB11にHTTPS Flood攻撃があったとき、FW1でフィルタリングする方式と比較したRTBH方式の長所は何か。30字以内で答えよ。
✅ 解答
攻撃パケットを攻撃元に近いところで遮断できる。
💡 解答への道のり
この問題を解くカギは、「攻撃トラフィックをどこで食い止めるか」という視点です。図3の構成をもう一度見てみましょう。
- FW (ファイアウォール) の位置
BGPルータよりも内側に設置されています。 - RTBH (Remote Triggered Black Hole) の仕組み
DDoS検知サーバが攻撃を検知すると、攻撃先のIPアドレス(ホスト経路)への通信を破棄するよう、BGPルータに指示します。
これを踏まえて、それぞれの方式で攻撃トラフィックがどこまで到達するかを考えてみましょう。
- 1. FWでフィルタリングする場合
- 攻撃パケットはインターネットからISPを経由し、E社POPの入り口にあるBGPルータを通過します。
- その後、内部のルータを経由して、FW1に到達したところでようやくフィルタリング(遮断)されます。
- 課題
攻撃トラフィックがFWに到達するまでのネットワーク帯域(BGPルータ ~ FW間など)を消費してしまいます。また、FW自体も大量のパケット処理で高負荷に陥る可能性があります。
- 2. RTBH方式の場合
- DDoS検知サーバからの指示を受けたBGPルータが、攻撃パケットをネットワークの入り口で即座に破棄します。
- 長所
攻撃パケットがPOPの内部ネットワークに侵入することを防ぎます。これにより、FWやLB、さらにその先のサーバ群といった内部リソースを保護し、ネットワーク帯域の消費も防ぐことができます。
この比較から、RTBHの長所は「より攻撃元に近い、ネットワークの入り口で遮断できること」だとわかりますね。これが解答に繋がります。
【設問3 (2)】RTBH vs BGP Flowspec – より賢く止めるには?
次に、さらに進んだDDoS対策技術に関する問題です。
【設問3 (2)】
本文中の下線⑤において、RTBH方式と比較したBGP Flowspec方式の長所は何か。30字以内で答えよ。
✅ 解答
より細かい条件で選別して破棄することができる。
💡 解答への道のり
この問題のポイントは、「何を基準に通信を破棄するか(フィルタリングの粒度)」の違いを理解することです。本文の記述から、それぞれの特徴を整理しましょう。
- RTBH方式
- フィルタリングの基準:DDoS攻撃の宛先IPアドレス
- 本文には「DDoS攻撃の宛先IPアドレスへのホスト経路を生成し…通信を廃棄する」とあります。
- 課題
これは、特定のIPアドレス(例えば、https://alpha.example.net/ が使うIPアドレス)への通信をすべて破棄することを意味します。つまり、攻撃パケットだけでなく、同じ宛先への正常なアクセスまで巻き添えで遮断してしまいます。
- BGP Flowspec方式
- フィルタリングの基準
宛先IPアドレスだけでなく、送信元IPアドレス、宛先ポート番号などを組み合わせた条件 - 本文には「DDoS攻撃の送信元IPアドレス、宛先ポート番号などを組み合わせてBGPルータに広告して該当の通信をフィルタリングすることができる」とあります。
- 長所
例えば、「特定の送信元IPアドレスから」「特定の宛先IPアドレスの443番ポートへの」通信だけを破棄する、といった柔軟なルールを作成できます。これにより、攻撃トラフィックだけを狙い撃ちし、正常なユーザーの通信への影響を最小限に抑えることが可能になります。
- フィルタリングの基準
XさんがBGP Flowspec方式の早期提供を依頼したのも、この「フィルタリング精度の高さ」がビジネスインパクトを最小化する上で非常に有用だと考えたからですね。
RTBHが「建物ごと封鎖する」方法だとすれば、BGP Flowspecは「怪しい人物だけを特定して建物から締め出す」ような、より洗練された方法と言えるでしょう。この違いが「より細かい条件で選別して破棄することができる」という解答になります。
まとめ:DDoS対策技術の進化とネスペ試験の傾向
今回の設問を通じて、DDoS対策技術がどのように進化してきたか、その一端が見えたのではないでしょうか。
- RTBH
ネットワークの入り口で攻撃を遮断し、内部リソースを保護する効果的な手段。 - BGP Flowspec
RTBHの課題であった巻き添え遮断のリスクを、より詳細なフィルタリング条件で解決する次世代の技術。
ネットワークスペシャリスト試験では、こうした技術の仕組みを正しく理解し、構成図と関連付けてメリット・デメリットを説明できる能力が求められます。【出題趣旨】にある通り、これはまさに「実業務に活用できる水準」の知識です。
今後も、BGP Flowspecのような新しい技術や、関連するRFC(本文中にもRFC 5635, RFC 8955などが出てきましたね) にアンテナを張っておくことが、合格への近道となるでしょう。
引き続き、頑張っていきましょう!応援しています!