Archive

Category Archives for "Networking"

The Future of Connectivity: Wi-Fi 6 and Smart Homes Explained

Wi-Fi has transformed the way we live, allowing us to work from any location, shop from the comfort of our armchairs, and benefit from a wide range of connected devices that would have been impossible if we were constrained by cables.The number of connected devices is growing faster than the number of global Internet users with  smart home devices like thermostats, smoke alarms and lighting systems making life more comfortable, safer, and more convenient.By 2023, Internet of Things (IoT) will account for half of the global device market and connected home applications will be the largest category. This is a huge opportunity for Communications Service Providers (CSPs) to offer additional services and generate revenues.To read this article in full, please click here

Feedback Requested: Chartering the MANRS Community

While MANRS has gone from strength to strength since its beginning in 2014, gaining attention, interest, and credibility from network operators worldwide, for the initiative to be sustainable and impactful in the long run there should be a stronger sense of ownership by the community. MANRS is an industry-led initiative whose participants set and develop […]

The post Feedback Requested: Chartering the MANRS Community appeared first on Internet Society.

Start building your own private network on Cloudflare today

Start building your own private network on Cloudflare today
Start building your own private network on Cloudflare today

Starting today, your team can create a private network on Cloudflare’s network. Team members click a single button to connect to private IPs in environments that you control. Cloudflare’s network routes their connection through a data center in one of over 200 cities around the world. On the other side, administrators deploy a lightweight software connector that replaces traditional VPN appliances.

Cloudflare’s private network combines IP level connectivity and Zero Trust controls. Thick clients like RDP software, SMB file viewers, or other programs can connect to the private IPs already in use in your deployment without any additional configuration. Coming soon, you’ll be able to layer additional identity-based network-level rules to control which users, from which devices, can reach specific IPs.

We are launching this feature as a follow-up to Cloudflare’s Developer Week because we are excited to give your development team, and your entire organization, a seamless platform for building and connecting your internal resources. We built this solution based on feedback from customers who want to move to a Zero Trust model without sacrificing some of the convenience of a private network.

We’re excited to give any team the ability to run their internal network on Cloudflare’s global Continue reading

Using Unequal-Cost Multipath to Cope with Leaf-and-Spine Fabric Failures

Scott submitted an interesting the comment to my Does Unequal-Cost Multipath (UCMP) Make Sense blog post:

How about even Large CLOS networks with the same interface capacity, but accounting for things to fail; fabric cards, links or nodes in disaggregated units. You can either UCMP or drain large parts of your network to get the most out of ECMP.

Before I managed to write a reply (sometimes it takes months while an idea is simmering somewhere in my subconscious) Jeff Tantsura pointed me to an excellent article by Erico Vanini that describes the types of asymmetries you might encounter in a leaf-and-spine fabric: an ideal starting point for this discussion.

Using Unequal-Cost Multipath to Cope with Leaf-and-Spine Fabric Failures

Scott submitted an interesting the comment to my Does Unequal-Cost Multipath (UCMP) Make Sense blog post:

How about even Large CLOS networks with the same interface capacity, but accounting for things to fail; fabric cards, links or nodes in disaggregated units. You can either UCMP or drain large parts of your network to get the most out of ECMP.

Before I managed to write a reply (sometimes it takes months while an idea is simmering somewhere in my subconscious) Jeff Tantsura pointed me to an excellent article by Erico Vanini that describes the types of asymmetries you might encounter in a leaf-and-spine fabric: an ideal starting point for this discussion.

Water-authority network upgrade spots problems faster

The Albuquerque water authority says recent network upgrades give it greater visibility and control over its remote sites and makes for faster responses to leaks and other problems.The Albuquerque Bernalillo County Water Utility Authority manages more than 3,000 miles of water-supply pipeline covering more than 650,000 users. The authority manages 135 remote locations, which include well sites, tanks, and pump stations, all of which have programmable logic controllers (PLC) connected to a dedicated, fixed-wireless network running at 900MHz back to the core network.[Get regularly scheduled insights by signing up for Network World newsletters.] “The [main treatment] plant was built [about] 15 years ago,” said Kristen Sanders, the authority’s chief information security officer. “So if a piece of equipment went out, replacing it would be about shopping on eBay.” Also the authority’s fiber backbone that connects the sites with the main plant was past it’s service life and had to be replaced.To read this article in full, please click here

Water-authority network upgrade spots problems faster

The Albuquerque water authority says recent network upgrades give it greater visibility and control over its remote sites and makes for faster responses to leaks and other problems.The Albuquerque Bernalillo County Water Utility Authority manages more than 3,000 miles of water-supply pipeline covering more than 650,000 users. The authority manages 135 remote locations, which include well sites, tanks, and pump stations, all of which have programmable logic controllers (PLC) connected to a dedicated, fixed-wireless network running at 900MHz back to the core network.[Get regularly scheduled insights by signing up for Network World newsletters.] “The [main treatment] plant was built [about] 15 years ago,” said Kristen Sanders, the authority’s chief information security officer. “So if a piece of equipment went out, replacing it would be about shopping on eBay.” Also the authority’s fiber backbone that connects the sites with the main plant was past it’s service life and had to be replaced.To read this article in full, please click here

Get Smart About Cloud Networking – A Packet Pushers Livestream Event, April 22

There are lots of reasons to get educated about cloud networking. You might: Be responsible for connecting end users to numerous cloud services Have to link an application in Cloud A to services and data in Cloud B Support a hybrid application that has one foot in your DC and another in AWS, Azure, or […]

The post Get Smart About Cloud Networking – A Packet Pushers Livestream Event, April 22 appeared first on Packet Pushers.

How to Publish AVS Workloads on the Internet

Azure VMware Solution (AVS) is a VMwarevalidated private cloud solution, managed and maintained by Azure. It runs on dedicated, bare-metal Azure infrastructure. AVS allows customers to manage and secure applications across both VMware environments and Microsoft Azure resources with a consistent operating framework. It supports workload migration, VM deployment, and Azure service consumption.  

 As AVS private cloud runs on an isolated Azure environmentby default it is not accessible from Azure or the Internet. Users can use either ExpressRoute Global Reach (i.e., from on-prem) or a jump box (i.e., on an Azure VNet) to access AVS private cloud. This means AVS workload VMs are confined within AVS private cloud and not accessible from the Internet. If customers want to make AVS Private Cloud resources, such as web servers, accessible from the Internet, Public IP needs to be deployed. There are couple of ways to do this: (1) Destination NAT or DNAT via Azure Virtual WAN/Azure Firewall; and (2) Azure Application Gateway. This article focuses on DNAT with Azure Virtual WAN/Azure Firewall. 

Continue reading

A Networking Perspective On Zero Trust Architecture (ZTA)

Zero Trust Architecture (ZTA) is a security point of view that has gathered enough momentum in 2020 and 2021 to frequently appear in marketing literature. The big idea of zero trust in network computing is roughly, “I confidently know who you are and have applied an appropriate security policy, but I still don’t trust you.”

My understanding of ZTA continues to evolve. This post represents my understanding today, with an emphasis on what ZTA means for network engineers.

How Is ZTA Different From Firewall Rules?

At first glance, zero trust sounds mostly like a firewall policy. Of course I don’t trust you. That’s why we apply all these filtering rules to the VPN tunnel, network interface, etc. Yes, but simple filtering implies a level of trust. The trust comes in the assumption that if you get through the filter, what you’re saying is trustworthy.

Zero trust does away with that assumption. For example…

  1. ZTA could mean that just because a VPN user passed a complex authentication scheme, their transactions are not assumed to be wholesome. Well done–your username and password check out, and we’ve applied a filtering policy to your tunnel. With that completed, we’re now going to monitor Continue reading

Tech Bytes: Optimizing Performance And IT Support For Your Distributed Workforce (Sponsored)

On today’s Tech Bytes episode, sponsored by AppNeta, we explore how IT can optimize performance and support for a highly distributed workforce and develop a sustainable strategy for a Work From Anywhere reality. Our AppNeta guests are Adam Edwards, Chief Customer Officer; and Mike Hustler, CTO.

The post Tech Bytes: Optimizing Performance And IT Support For Your Distributed Workforce (Sponsored) appeared first on Packet Pushers.

Cisco tool opens telemetry for advanced network, security analytics

Cisco is offering a new tool that it says democratizes the use of key telemetry streams to help customers more effectively populate analytics applications and efficiently run enterprise network management systems.Telemetry metrics are generated from enterprise resources, such as switches, routers, wireless infrastructure and IoT systems, and used by business and technology applications to monitor trends and help IT respond to threats or react to changing network conditions. Read more: Top metrics for multicloud management As use of monitoring and analytics programs grows, so does the need to grab advanced, dependable telemetry data to help feed those applications.To read this article in full, please click here

Cisco tool opens telemetry for advanced network, security analytics

Cisco is offering a new tool that it says democratizes the use of key telemetry streams to help customers more effectively populate analytics applications and efficiently run enterprise network management systems.Telemetry metrics are generated from enterprise resources, such as switches, routers, wireless infrastructure and IoT systems, and used by business and technology applications to monitor trends and help IT respond to threats or react to changing network conditions. Read more: Top metrics for multicloud management As use of monitoring and analytics programs grows, so does the need to grab advanced, dependable telemetry data to help feed those applications.To read this article in full, please click here

Complexity Reduction?

Back in January, I ran into an interesting article called The many lies about reducing complexity:

Reducing complexity sells. Especially managers in IT are sensitive to it as complexity generally is their biggest headache. Hence, in IT, people are in a perennial fight to make the complexity bearable.

Gerben then discusses two ways we often try to reduce complexity. First, we try to simply reduce the number of applications we’re using. We see this all the time in the networking world—if we could only get to a single pane of glass, or reduce the number of management packages we use, or reduce the number of control planes (generally to one), or reduce the number of transport protocols … but reducing the number of protocols doesn’t necessarily reduce complexity. Instead, we can just end up with one very complex protocol. Would it really be simpler to push DNS and HTTP functionality into BGP so we can use a single protocol to do everything?

Second, we try to reduce complexity by hiding it. While this is sometimes effective, it can also lead to unacceptable tradeoffs in performance (we run into the state, optimization, surfaces triad here). It can also make the system Continue reading

Network Break 329: Dell, VMware Consciously Uncouple; Aruba Networks Lives On The Edge

This week's Network Break podcast examines Dell's plans to spin off VMware for a healthy dose of cash, reviews Aruba Networks' Atmosphere keynotes, and dives into NVIDIA announcements around SmartNICs/DPUs and an AI security framework. We also cover a whopping-big acquisition by Microsoft, and what a drought in Taiwan means for the silicon supply chain.

Network Break 329: Dell, VMware Consciously Uncouple; Aruba Networks Lives On The Edge

This week's Network Break podcast examines Dell's plans to spin off VMware for a healthy dose of cash, reviews Aruba Networks' Atmosphere keynotes, and dives into NVIDIA announcements around SmartNICs/DPUs and an AI security framework. We also cover a whopping-big acquisition by Microsoft, and what a drought in Taiwan means for the silicon supply chain.

The post Network Break 329: Dell, VMware Consciously Uncouple; Aruba Networks Lives On The Edge appeared first on Packet Pushers.

The Week in Internet News: Starlink Plans Broad Rollout

Internet from space: StarLink, the satellite-based Internet service from Elon Musk’s SpaceX, may exit its beta release around the middle of this year, Teslarati reports. Musk says the service is rapidly improving “service uptime, bandwidth, and latency.” Starlink should be broadly available later this year, with service also available for vehicles. A ban for all […]

The post The Week in Internet News: Starlink Plans Broad Rollout appeared first on Internet Society.

2021年第1四半期におけるDDoS攻撃の傾向

2021年第1四半期におけるDDoS攻撃の傾向
2021年第1四半期におけるDDoS攻撃の傾向

先週、Developer WeekがCloudflareで開催されました。この1週間、当社のチームは数々の新製品をリリースしました。その中には、大幅に改善されたWorkersもありました。Workersでアプリをデプロイするのを好むのはユーザーだけなく、当社のエンジニアチームもそうです。WorkersはCloudflare Radarでインターネットトラフィックと攻撃の傾向を明らかにします。本日、分析ブログを深く掘り下げるとともに、JypyterClickhouseWorkers上に構築した当社初の完全自動化データノートブックである新しいRadar DDoSレポートページを発表できることを非常にうれしく思います。

先月、当社の自律型エッジDDoS(分散サービス妨害)対策システムを発表し、パフォーマンスに影響を与えることなく、超高速で攻撃数を低下させる方法をご説明しました。ネットワークのエッジで実行しながら、トラフィックを非同期的に分析することで、パフォーマンスへの影響を回避し、攻撃を検出するとすぐに軽減ルールを割り込ませます。これを全て自律的に行います。つまり、一元化されたコンセンサスを必要としないということです。

このブログ投稿では、2021年第1四半期にCloudflareシステムが軽減した攻撃に基づく最新のDDoSに関する洞察と傾向についてお話ししたいと思います。攻撃を分析する際、「DDoSの活動」レートを計算します。これは、総攻撃数(攻撃+クリーン)に対する攻撃のトラフィックの割合です。この計算を使うと、データポイントを正規化できるため、例えば、「あるデータセンターにはより多くのトラフィックが確認できるため、攻撃数も多い」といったバイアスを回避することができます。

要点:

アプリケーション層DDoS攻撃

  • 2021年第1四半期で、HTTP攻撃のトラフィックの割合が最も高かったのは中国でした。そして米国、マレーシア、インドがこれに続きました。
  • 第1四半期に最も攻撃を受けたのは通信業界で、次に消費者サービス、セキュリティと調査、インターネット、仮想通貨という順番でした。
  • 最も攻撃を受けたインターネットプロパティは中国と米国、モロッコに拠点を置く企業でした。

ネットワーク層DDoS攻撃

  • Cloudflareネットワークにおいて、最も活発なDDoS活動が見られたデータセンターはルワンダ、中国、ブルネイに位置しています。
  • 第1四半期に発生した全攻撃のうちおよそ44%が1月に発生しています。
  • 新たな脅威の上位には、JenkinsサーバーとTeamSpeak3サーバーを対象にした攻撃も含まれており、それぞれ前四半期と比べて940%と203%の増加となっています。
  • 他の新しい脅威に、QUICのバージョンネゴシエーションパケットのフラッドがあります。これは、Cloudflareのインフラストラクチャを混乱させる試みであった可能性があります。

アプリケーション層DDoS攻撃

アプリケーション層DDoS攻撃(HTTP DDoS攻撃とも呼ばれる)は、リクエスト処理ができないようにすることで、HTTPサーバーの中断を狙う攻撃です。サーバーが処理できる量を超えるリクエストで攻め立てられた場合、サーバーは正当なリクエストをドロップせざるを得なくなり、さらにクラッシュすることさえあります。

2021年第1四半期におけるDDoS攻撃の傾向

業界別のDDoS攻撃活動

顧客の業界ごとにDDoS活動を分けてみると、第1四半期に最も攻撃を受けたのは、通信業界であることが分かります。そして、これは2020年第4四半期の第6位から大きく順位をあげています。第2位は消費者サービス業界で、第3位に入ったのはセキュリティと調査業界でした。

2021年第1四半期におけるDDoS攻撃の傾向

配信元国別のDDoS活動

ネットワーク層攻撃とは対照的に、HTTP攻撃では、送信元IPがスプーフィングできません。接続を確立する必要があります。クライアントの送信元IPのロケーションを調べることで、当社は送信元国を特定できます。特定の国においてDDoS活動率が高いということは、その国で大規模なボットネットが稼働していることを示しています。2020年第4四半期と2021年第1四半期の両方で中国がトップとなり、すぐ後に米国が続く結果となりました。

2021年第1四半期におけるDDoS攻撃の傾向

攻撃対象となった国別のDDoS活動

どの国が最もDDoS攻撃の対象となったのかを特定するために、お客様の請求先国ごとに見てみました。攻撃発生国の内訳と同じように、中国が1位で米国が2位となりました。前四半期で興味深かったことは、首位だった中国からインドがトップの座を奪ったことです。もしかすると、これはインドの選挙が2020年第4四半期に行われたことが影響したかもしれません。

2021年第1四半期におけるDDoS攻撃の傾向

ランサム攻撃

ここまで見てきたように、Enterpriseプラン以外のお客様が一番のDDoS攻撃の標的となりました。こうしたお客様からの報告をみると、攻撃数が多いだけでなく、ランサムDDoS 攻撃(RDDoS)数が最多だったことがわかります。2021年第1四半期にDDoS攻撃を受けたCloudflareのお客様を対象にした調査によると、その13%がRDDoS攻撃で金銭を要求された、または事前に脅迫を受けたと報告しています。そのうち、33%がProプランのお客様で62%がBusinessプランのお客様でした。これは、2020年第1四半期から続く傾向で、金銭を要求されたお客様は17%でした。これには、ラザルスグループと名乗るグループに狙われたFortune Global 500に入る企業も含まれますが、当社がオンボーディングし、保護しました。

2021年第1四半期におけるDDoS攻撃の傾向

ネットワーク層DDoS攻撃

アプリケーション層攻撃は、エンドユーザーがアクセスを試みるサービスを実行するアプリケーション(OSI参照モデルのレイヤー7)を狙いますが、ネットワークレイヤー攻撃は、ネットワークインフラストラクチャ(例えばインラインルーターや他のネットワークサーバー)とインターネットのリンクそのものを攻撃対象とします。

攻撃数

月単位を見ると、第1四半期に攻撃者が最も活発だったのは1月でした。四半期全体で観察された総攻撃の42%がこの月に発生しています。その次に多かったのが3月の34.2%で、さらに2月の23.8%が続きます。

2021年第1四半期におけるDDoS攻撃の傾向

しかし、2月は第1四半期最大の攻撃が発生し、そのピークが300~400Gbpsだったことが分かっています。

2021年第1四半期におけるDDoS攻撃の傾向

攻撃の規模

L3/4 DDoS攻撃の規模を測定するために、さまざまな方法があります。1つは送信するトラフィックの量で、ビットレート(具体的にはギガビット/秒)で測定されます。もう1つは配信するパケット数を使い、パケットレート(具体的には、1秒あたりのパケット数)で測定されます。ビットレートが高い攻撃ではインターネットリンクを飽和状態にする一方で、パケットレートの高い攻撃ではルーターやその他のインラインハードウェアデバイスを過負荷状態に陥れようとします。

2021年第1四半期に観察されたL3/4攻撃の大部分(97%以上)が、1mppsと500Mbpsを下回る規模でした。

これは、昨年1年間を通して観察された傾向が継続している形です。しかし、こうした攻撃が無害であることを意味するわけではありません。

500Mbps以下の攻撃は、クラウドベースのDDoS攻撃対策サービスが保護するインターネットプロパティを中断させるのに十分な大きさの威力を持つことがあります。多くの企業がサービスプロバイダーから1Gbps未満の帯域幅容量が提供されるアップリンクを使用しています。公開されているネットワークインターフェースも正当なトラフィックを送信すると仮定すると、500Mbps未満のDDoS攻撃であっても、インターネットプロパティに対して十分危害を加えることができてしまいます。

2021年第1四半期におけるDDoS攻撃の傾向
2021年第1四半期におけるDDoS攻撃の傾向

攻撃の持続時間

攻撃の90%以上で、持続時間は1時間未満でした。短い攻撃は、DDoS検出システムによって検出されずにダメージを与える可能性があります。手動で分析と軽減対策が行われているDDoSサービスは、この種の短い攻撃に対して役に立たない可能性があります。なぜなら、アナリストが攻撃のトラフィックの識別すら終えないうちに攻撃が終了してしまうためです。

2021年第1四半期におけるDDoS攻撃の傾向

攻撃が短くても、ターゲットのサイバー防御体制に探りを入れることができます。ダークウェブ上で広く普及している負荷テストツールと自動DDoSツールは、SYNフラッドなどの短いバーストを生成し、代替攻撃ベクトルを使用して別の短い攻撃を追加で仕掛けることができます。これにより、サイバー攻撃者は大規模な攻撃をより大きなレートを使って、より長い攻撃期間で仕掛けるかどうかを決める前に、ターゲットのセキュリティ体制を把握することができます。

攻撃ベクトル

攻撃のベクトルとは、攻撃者が利用する攻撃方法のことです。2021年第1四半期、SYN攻撃は攻撃者の間で最も使用頻度の高い攻撃ベクトルであり続けました。次に使用頻度が高かったのは、RST、UDP、DNS増幅攻撃でした。

では、SYNフラッド攻撃とは何かと言うと、TCP接続の基盤を悪用するDDoS攻撃のことです。クライアントとサーバー間にあるステートフルなTCP接続で3ウェイTCPハンドシェイクから始まります。クライアントが同期フラグ(SYN)で初期接続リクエストパケットを送信します。そして、サーバーが同期確認応答フラグ(SYN-ACK)を含めたパケットで応答します。最後にクライアントが、確認応答(ACK)パケットで応答します。この時点で、接続が確立され、データは接続が終了するまで交換することができます。このステートフルの処理を、サービス拒否イベントを引き起こすために攻撃者が悪用する可能性があります。

SYNパケットを繰り返し送信することで、攻撃者はサーバーまたはTCP接続の状態を追跡するルーターの接続テーブルを過負荷にしようと試みます。ルーターは、SYN-ACKパケットで応答してから、所定の接続ごとに一定量のメモリを割り当て、クライアントが最終ACKで応答するのを偽装して待機します。ルーターのメモリを接続が占有してしまうと、ルーターは正規のクライアントにメモリを追加で割り当てることができなくなり、これがルーターのクラッシュを引き起こしたり、正規のクライアントによる接続に対応できなくします。サービス拒否イベントなどがその例です。

同様に、RSTアンプリフィケーションフラッド攻撃では、その時に行われているセッションで、標的にするサーバーの受信パケットを検索するために使うシステムリソースを枯渇させることで、そのサーバーを疲弊させます。

2021年第1四半期におけるDDoS攻撃の傾向

新たな脅威

2021年第1四半期におけるDDoS攻撃の傾向

SYN攻撃の勢いが依然として衰えないまま、この四半期にJenkinsサーバーを狙った攻撃で940%の急上昇が見られました。Jenkinsは無料オープンソースの自動化サーバーで、エンジニアチームがソフトウェア開発するサポートをします。サーバーの古いバージョン(Jenkins 2.218以前)の脆弱性が、DDoS攻撃のきっかけとなったのです。この脆弱性は、初期設定でUDPマルチキャスト/ブロードキャストメッセージを無効にすることで、Jenkins 2.219では修正されました。ところが、まだ脆弱で露出したデバイスがUDPベースのサービスを実行しており、増幅型アンプリフィケーション攻撃を生成するために利用されています。

また、CloudflareはUDPで実行される、初期設定で暗号化される新しいインターネットトランスポートプロトコルであるQUICプロトコルで発生するL3/4 DDoS攻撃において、433%もの増加を観測しました。サーバーからクライアントに送信されるバージョンネゴシエーションパケットによって、サーバーがサポートしているQUICのバージョンをクライアントに示すことができます。UDPはステートレスなので、攻撃者は送信元IP アドレスをスプーフィングすることで、簡単にバージョンネゴシエーションパケットを模倣し、クライアントを過負荷にすることができます。

Cloudflareを標的にする攻撃は、特定のお客様を狙うというよりも、お客様が利用されているバージョンをダウングレードすることによって、Cloudflareのインフラストラクチャに影響を与えようとしている可能性があります。QUICアンプリフィケーション攻撃に関する詳細はこちらをお読みください。

観察された3番目の新しい脅威ベクトルはTeamSpeakです。独自のボイスオーバーインターネットプロトコル(VoIP)であり、UDPで実行され、リアルタイムでゲーマー同士が会話できるようになっています。この新しい脅威は前四半期比で203%増加しました。チャットではなく実際に話すことで、ゲーミングチームの効率性を格段に上げ、勝利をつかむ手助けをしています。TeamSpeakサーバーを狙うDDoS攻撃は、リアルタイムのマルチプレーヤーゲーム中にコミュニケーションパスを中断させ、チームのパフォーマンスに影響を与えようとするライバルグループが仕掛けている可能性もあります。

Cloudflareデータセンターがある国別のDDoS活動

ネットワーク層DDoS攻撃について国別の分布を見ると、最もL3/4攻撃数が多かったのはルワンダ、中国、ブルネイでした。アプリケーション層DDoS攻撃とは異なり、攻撃者はDDoSの攻撃元のロケーションを難読化するために、送信元IPアドレスをスプーフィングでき(そしてたいていはそれを実行し)ます。このため、L3/4 DDoS攻撃を分析する際、トラフィックは送信元IPのロケーションごとではなく、トラフィックが集約するCloudflareエッジデータセンターのロケーションごとにトラフィックをバケットします。Cloudflareは、攻撃が観察されたCloudflareデータセンターのロケーション別に攻撃を表示することで、スプーフィングされたIPの問題を解決することができます。世界200都市に広がるデータセンターがあるからこそ、当社のレポートは地理的に正確なものとなるのです。

2021年第1四半期におけるDDoS攻撃の傾向

すべての地域と国を表示するには、Radar DDoSレポートダッシュボードにあるインタラクティブマップをご覧ください。

より良いインターネットの構築を支援

Cloudflareは、より良いインターネットを構築するというミッションのもとに設立されました。ここで言うより良いインターネットとは、DDoS攻撃からの影響を受けることがないインターネットという意味です。過去10年間にわたり、あらゆる規模や種類のDDoS攻撃からお客様のインターネットプロパティを保護するために、当社では揺るぎない努力を重ねてきました。多くの企業がCloudflare DDoS攻撃対策の恩恵を享受していますが、CCP GamesPanasonicは、そのうちの2社です。

また、Cloudflareは2021年第1四半期のForrester WaveTM:DDoS 軽減ソリューションでリーダーに選出されました。レポートはこちらから無料でダウンロードできます。

このレポートでは、ForresterのセキュリティとリスクのシニアアナリストであるDavid Holmes氏が「CloudflareはエッジでDDoS攻撃対策を迅速に行い...顧客はCloudflareのエッジネットワークを、アプリケーションを保護および配信するための魅力的な方法と見ている」と伝えています。

Cloudflare DDoS攻撃対策がお客様と業界アナリストたちに認められている大きな理由が3つあります。

  1. Cloudflareのネットワークアーキテクチャ:Cloudflareは、スクラビングセンターを運用しません。それは、当社がスクラビングセンターモデルがDDoS攻撃対策として欠陥のあるアプローチだと考えているからです。スクラビングセンターは遅延を引き起こす上に、構築と運営に経費がかかります。その代わりに、Cloudflareでは当社ネットワーク内にある全データセンターからすべてのサーバーでDDoS攻撃対策を実行しています。当社のエニーキャストベースのアーキテクチャでは、当社の容量がDDoSスクラビング容量と同等になっており、史上最大規模の59Tbpsです。これは、Cloudflareが攻撃のソースに最も近い場所でDDoS攻撃を検出して軽減することを意味します。さらに、Cloudflareのグローバルな脅威インテリジェンスは、インターネットの免疫システムのように機能し、機械学習モデルを用いてあらゆる顧客に対する攻撃を学習して軽減し、すべてのお客様を保護します。
  2. 高速パフォーマンス:当社のお客様から、「堅牢なセキュリティを望んでいるが、パフォーマンスを犠牲にするものは望んでいない」という声が常に寄せられています。設立当初から、Cloudflareは攻撃が引き起こす遅延の影響を受けることのないように設計されていました。当社のエニーキャストアーキテクチャによって、送信元に最も近い攻撃を軽減して、パスから外れたトラフィックを分析し、DDoS軽減ソリューションが正規のトラフィックに追加の遅延が発生しないようにしています。このルールは、コスト効率に優れたものとなるようにLinuxスタック内で最も適切な場所に適用され、パフォーマンスに悪影響が出ないようにしています。Cloudflareネットワーク全体でパフォーマンステストが行われ、トラフィックがCloudflare Magic Transitにルーティングされると、遅延が3ミリ秒短縮し、パケットのロスはほぼゼロにまでなったことを示しました。
  3. Cloudflareのサポート:CloudflareのEnterpriseのお客様アカウントすべてに(アカウントチーム、ソリューションエンジニア、Customer Successマネージャーを含め)チームが割り当てられており、オンボーディングや、さらにお客様の設定を最適化する領域の特定をお手伝いするなどを通して、積極的にお客様のサポートをしております。

Cloudflareの365日24時間無休のグローバルなサポートチームは、緊急のサポートをリクエストするEnterpriseのお客様からの電話に対応し、人の応答による即時のサポートを提供する準備ができています。

Wikimedia財団のCTOであるGrant Ingersoll氏の言葉を引用すると、「Cloudflareには信頼性の高いインフラストラクチャと対応が速くて極めて有能なチームを擁します。そして、大規模なDDoS攻撃でも阻止できる体制を整えています。」

CloudflareのDDoSソリューションの詳細は、こちらにお問い合わせいただくか、こちらから今すぐ始めましょう