自動DDoS Mitigationサービス

登録を行ったアドレスセグメント向けのDDoS攻撃に対し、自動的に検知・破棄を行うサービスです。
従来サービスでは各加入機関で検出したDDoS攻撃に対して申請ベースでパケット破棄設定を行っておりました。
そのため申請から設定完了までに数時間以上の時間を要していましたが、新サービスでは検知・破棄の対象となるIPアドレスセグメントを事前申請の上、本セグメントに向けたDDoS攻撃を検知します。

提供機能（攻撃検知時のアクション）は以下の3種類となります。
なお、ドロップ/ポリサー機能の利用を希望する場合、本ページの記載事項を熟読いただき、内容をご理解の上で申請をお願いします。

• モニタ：DDoS攻撃の検知を行い、ポータルサイト上でアラートを表示します。本サービスの基本機能となります。
  また、オプションとしてメールによるアラート通知機能も設定できます。
• ドロップ：検知したDDoS攻撃に対し、パケット破棄を行います。
  自動的に動作するため、設定したIPアドレスセグメントに対し攻撃検知時に通信不通が発生する場合があります。
• ポリサー：DDoS攻撃検知時に、指定したIPアドレスセグメント向けの通信帯域を制限します。
  制限帯域は、256pps・2Kpps・20Kpps の3種類から選択可能です。
  自動的に動作するため、攻撃検知時に通信影響が発生する場合があります。

また、本攻撃検知結果は、専用のサービスポータルサイトから確認が可能です。 DDoS攻撃の検出や制御だけでなく、確認や分析にも役立てることができます。

なお、ドロップ/ポリサーのアクションは、DDoS攻撃観測開始後約15秒後から実行開始され、当該攻撃の観測終了後約5分後に自動的に解除されます。

参考資料：NIIオープンフォーラム2024資料（自動DDoS Mitigation）

利用の準備

後述の注意事項・備考も必ずお読みください

規定・ガイドラインにて「SINETネットワークサービスガイドライン」をご確認ください。

• II.ネットワークサービス共通ガイドライン
• III.IPv4 サービス利用ガイドライン
• IV.IPv6 サービス利用ガイドライン
• XI.自動DDoS Mitigationサービス利用ガイドライン

• 本サービス申請前に、加入機関が SINET に接続され、IPv4/IPv6 Dualサービス（インターネット接続サービス）の利用を開始している必要があります。
• 本サービスの対象となるIPアドレスセグメントは、ご利用中のIPv4/IPv6 Dualサービスで
  設定済みのルーティングアドレスに含まれている必要があります。
• サービスポータルサイトの利用にあたり、アカウントの払出をいたします。
• サービス対象のIPアドレスセグメントの管理都合上、原則として申請は加入機関単位でお受けしております。(1加入機関内の複数組織における個別申請はお受けしておりません)

利用申請の流れ

• 本サービスの利用申請は、LAN管理責任者からの提出が必要です。
• LAN管理責任者またはその事務担当者から申請書を提出するか、登録されたLAN管理責任者のメールアドレスをCCに含めて申請してください。
• 本サービスの申請先・問合せ先は以下となります。
  SINET6自動DDoS Mitigationサービス運用支援担当
  ddmon[@]sinet.ad.jp
• 本サービス利用にあたっては、利用申請書内に記載された免責事項への同意が必要です。
• 本サービスを利用可能なアドレスセグメントの範囲については、利用状況により制限を行う場合がございます。
  特に、ドロップ/ポリサー機能は、アクション実行時に通信影響が発生する場合があるため、指定するアドレスセグメントは必要最低限の範囲とすることを推奨します。
  また、実験等で大量のトラフィックの送受信を行う際は本サービスが攻撃と誤検知する可能性がありますのでご注意ください。
• 本サービス利用により発生したトラブルについて、NII側では責任を負いかねます。

サービス利用申請

注意事項・備考

攻撃検知方法

• 攻撃検知にあたり、サービス対象のIPアドレスセグメント向け通信について一定確率でのサンプリングを行います。
  本サービス利用開始前に、加入機関のネットワークポリシについて必ず確認をお願いします。
• 商用接続との接続点が本サービスにおける攻撃検知・制御点となります。
  加入機関接続インタフェースへの設定は行いません。
• VPN内部で発生した攻撃や異常トラフィックは本サービスの対象外となります。

攻撃検知時のアクション

• モニタ（検知）とドロップ（破棄）、ポリサー（帯域制御）の3種類から選択可能です。
  なお、ドロップ/ポリサー機能の利用を希望する場合、本ページの記載事項を熟読いただき、内容をご理解の上で申請をお願いします。
  内容にご不明点、ご不安な点がございましたら申請書提出前に ddmon[@]sinet.ad.jp までご相談ください。
• 同一のIPアドレスセグメントを指定した複数のIPv4/IPv6 Dualサービスを利用しBGPの利用やLongest matchによる経路制御を行っている場合、指定したセグメントを利用する全ての接続がサービス適用範囲となります。
• ドロップ/ポリサー機能は、アクション実行時に通信影響が発生する場合があるため、指定するアドレスセグメントは必要最低限の範囲とすることを推奨します。
• モニタを設定したIPアドレスセグメント内に包含されるセグメントに、別のアクションを設定することも可能です。
  例：192.168.0.0/24　にモニタを設定し　192.168.0.248/29　にドロップを設定する
  詳細は付帯資料内の記載例を参照ください。
• 利用申請時には、申請対象のIPアドレスセグメントに対してサブネットマスク計算を行い、セグメント内に含まれるIPアドレスの確認をお願いいたします。
• 利用変更時は、申請対象のIPアドレスセグメントがもれなく記載されているか確認をお願いいたします。

サービスポータル

• 新規申請時にサービスポータルアクセスアカウントの発行をいたします。
  サービス対象のIPアドレスセグメントの管理都合上、原則として 1加入機関1アカウント の払出とします。
• 申請時に指定したIPアドレスからのみ本システムのサービスポータルへアクセスが可能です。
• システムアクセス元のIPアドレスはご利用中のIPv4/IPv6 Dualサービスで設定済みのルーティングアドレスを指定してください。なお、指定するIPアドレスはできるだけ短いアドレスセグメントとしてください。（本IPアドレスは、現在、IPv4のみの対応です）
• 申請済みのIPアドレスセグメントに対して、攻撃検知時のアクション（モニタ/ドロップ/ポリサー）をサービスポータル上から変更することはできません。アクションの変更にあたっては利用申請書の提出が必要です。
• ドロップ/ポリサーのアクションが実行された場合、本サービスのサービスポータルサイトからアクションを停止することは出来ません。

注意事項

• サービス提供状況に応じ、サービス内容の変更を行う場合がございます。
• 本サービス利用により発生したトラブルについて、NII側では責任を負いかねます。
• 本サービスは、加入機関向け接続の安全性を保証するものではございません。
• IPv4/IPv6サービスの利用変更時は、本サービスへの影響について加入機関側で確認の上で申請をお願いします。
• サービス対象のIPアドレスセグメントの管理と、本セグメント向けの通信については加入機関が責任を負うものとします。
• 通信影響発生時は、まずサービスポータルで攻撃検知状況・アクション実行状況を確認し、通信影響がアクション実行によるものかご確認をお願いいたします。
• SINET側で各機関向けのアクション実行状況を確認することはできません。また、問合せがあっても回答いたしかねますのでご了承ください。
• 本システムは、予め指定した通信先向けに検知した攻撃に対して対応を行うものであるため、進行中の攻撃に対応するための緊急避難的対応はいたしかねます。
  緊急に特定の宛先または通信先に向けた通信を遮断したい場合、SINETオペレーションセンタまで障害申告のご連絡をお願いいたします。

担当連絡先・問合せ先

SINET6自動DDoS Mitigationサービス運用支援担当
e-mail: ddmon[@]sinet.ad.jp