A DRDoS Attack Avoidance Method Based on the Request Filtering of a Reflector Neighborhood

DRDoS攻撃のうちDNSamp攻撃では，リフレクターと呼ばれる踏み台サーバによってデータ量が大幅に増幅され，標的サーバやそのネットワークに負荷をかける．本研究では，増幅発生前の不正クエリの段階で攻撃パケットを遮断することが可能な，ISPが実装することを想定したシステムを開発した．本システムでは，プロバイダネットワークと利用者の境界に同じ機能を持つ機器を設置する．これらの機器の中で，リフレクター近傍の機器ではDNSクエリの増加を検知し，フィルタリングを行う．しかし，これにより標的サーバからリフレクターへの正規クエリを遮断する可能性がある．そのため，標的サーバ近傍の機器で正規通信に対してポート番号の変換を行うことにより，リフレクター近傍の機器での攻撃通信と正規通信の識別を可能とした．これにより，通信増加が正規クエリであった場合には通信を阻害することなく，DNSamp攻撃を約1.2秒程度で回避することができた．