このセクションでは、新しいセキュリティ ポリシーを作成および構成し、これを使用して DNS アンプ出力 DDoS 攻撃から仮想サービスを保護する手順について説明します。

DNS 仮想サービスは、(複数の UDP パケットにわたる)広範な応答を要請する簡潔なクエリの送信によって、ターゲットとされます。DNS 仮想サービスは、リフレクション攻撃に参加することがあります。攻撃者は、DNS クエリの送信元 IP アドレスと送信元ポートを、攻撃対象サーバの既知のサービス ポートに偽装します。

定義されている範囲の送信元ポート(既知のポート)からの要求はすべて拒否されます。拒否されるポートの範囲は、[セキュリティ ポリシー] で構成されます。

セキュリティ ポリシーの使用による仮想サービスの保護

新しいセキュリティ ポリシーを、次に示すように作成します。

NSX Advanced Load Balancer シェルにログインして、次のように新しいセキュリティ ポリシーを作成します。

configure securitypolicy test-secpolicy1 dns_policy_index 0
save
configure securitypolicy test-secpolicy1 oper_mode mitigation
save
configure securitypolicy test-secpolicy1
dns_attacks
attacks  attack_vector dns_amplification_egress
mitigation_action deny
save
save
save
exit

DNS アンプ出力 DDoS 対策を含む新しいセキュリティ ポリシー test-secpolicy1 は、次のように表示されます。

shell> show securitypolicy test-secpolicy1
+-------------------------------+---------------------------------------+
| Field                         | Value                                 |
+-------------------------------+---------------------------------------+
| uuid                          | securitypolicy-9f5149f2-ab88-4ea3-9944-cc6ed6aea77a                                                            |
| name                          | test-secpolicy1                       |
| oper_mode                     | MITIGATION                            |
| dns_attacks                   |                                       |
|   attacks[1]                  |                                       |
|     attack_vector             | DNS_AMPLIFICATION_EGRESS              |
|     mitigation_action         |                                       |
|       deny                    | True                                  |
|     enabled                   | True                                  |
|     max_mitigation_age        | 60 min                                |
| network_security_policy_index | 0                                     |
| dns_policy_index              | 0                                     |
| dns_amplification_denyports   |                                       |
|   match_criteria              | IS_IN                                 |
|   ranges[1]                   |                                       |
|     start                     | 1                                     |
|     end                       | 52                                    |
|   ranges[2]                   |                                       |
|     start                     | 54                                    |
|     end                       | 2048                                  |
| tenant_ref                    | admin                                 |
+-------------------------------+---------------------------------------+

dns_amplification_denyports が自動で作成されることで、既知のポート 1-5254-2048 をすべてブロックし、DNS アンプ出力 DDoS 攻撃に対抗します。こうしたポートは多くの場合、攻撃でなりすまし送信元ポートとして利用されています。ただし、ポート 53 は除外されます。送信元 IP アドレスで外部 DNS サーバへの正当な DNS クエリを開始することがあるためです。

仮想サービスに対するセキュリティ ポリシーの適用

DNS 仮想サービスがあって、その仮想サービスを DNS アンプ出力 DDoS 攻撃から保護する場合には、セキュリティ ポリシーを仮想サービスに適用します。

注:

DNS アンプ出力を軽減するよう構成されているセキュリティ ポリシーは、HTTP 仮想サービスなどの非 DNS 仮想サービスには適用できません。非 DNS 仮想サービスに適用してもエラーが表示され、セキュリティ ポリシーは仮想サービスに適用されません。

たとえば、仮想サービス dns-vs-1 で考えてみます。ネットワーク ポリシーを仮想サービスに適用する手順は次のようになります。

shell>
configure virtualservice dns-vs-1
security_policy_ref test-secpolicy1
save
exit

これで仮想サービス dns-vs-1 が DDoS 対策セキュリティ ポリシーで保護されるようになりました。この類の攻撃は SE によって検出されて回避されます。セキュリティ マネージャでは SE のネットワーク セキュリティ ルールと DNS ルールを作成して、攻撃者の IP アドレス、送信元ポート、DNS レコードの要求タイプをブロックします。重大な攻撃を受けた場合、メトリック マネージャで DDoS イベントを発生させ、それがコントローラ ユーザー インターフェイスに表示されます。