さくらインターネット研究所 松本です。今回はクラウド中でVyattaを使ったHTTP DoS(サービス妨害)対策について解説してきます。
クラウド・コンピューティング環境においても、Webサービスを外部公開する場合、DoS(Denial of Service Attack: サービス妨害)の脅威に晒されることになります。ここでは仮想ルーターとして動作させたVyatta上でDoS対策設定を行い、背後にあるWebサーバーを保護しています。この設定では閾値として20秒間に99回以上同一IPアドレスからのアクセスを越えた場合に、以降のパケットを破棄するという設定にしています。これにより、DoS(サービス妨害)に代表されるような、同一ホストから連続的にアクセスが行われるようなケースに対応するようになっています。
set firewall name STOP-HTTP-DoS rule 99 protocol tcp set firewall name STOP-HTTP-DoS rule 99 destination port 80 set firewall name STOP-HTTP-DoS rule 99 recent count 99 set firewall name STOP-HTTP-DoS rule 99 recent time 20 set firewall name STOP-HTTP-DoS rule 99 action drop set firewall name STOP-HTTP-DoS rule 99 state new enable set firewall name STOP-HTTP-DoS default-action accept set interfaces ethernet eth0 firewall in name STOP-HTTP-DoS
Fig 1. HTTP DoS Prevention and Dynamic Blacklisting Configuration.
閾値を越えたIPアドレスを持つホストからのパケットは破棄されますが、それ以外の閾値を越えていない正常なパケットはアクセスに支障を及ぼすことなく利用できていることが確認できました。閾値の設定に関しては、保護すべき背後のサーバーの性能に強く依存するところがあります。通常サーバーへ同一IPアドレスを持つホストからアクセスは増加傾向にあります。また受けるサーバー側の性能も仮想マシンの性能向上により、当然増大してきています。これらを加味した上で適切な閾値を設定することが、円滑なサービス提供に欠かせないことになるでしょう。
次回以降もクラウド環境中で起こる様々な課題の発見と解決法について、皆様と情報共有していければと思います。
[…] This post was mentioned on Twitter by 豊月 and 杉田 正, 鷲北 賢. 鷲北 賢 said: さくらインターネット研究所ブログ VYATTAでつなぐインター・クラウド接続 (3) http://research.sakura.ad.jp/2010/11/04/vyatta-3/ […]
[…] Fakt ist aber, das seoFred ein Fan der Seite: http://research.sakura.ad.jp/2010/11/04/vyatta-3/ ist […]