学術情報ネットワーク SINET6

自動DDoS Mitigationサービス

自動DDoS Mitigationサービス

登録を行ったアドレスセグメント向けのDDoS攻撃に対し、自動的に検知・破棄を行うサービスです。
従来サービスでは各加入機関で検出したDDoS攻撃に対して申請ベースでパケット破棄設定を行っておりました。
そのため申請から設定完了までに数時間以上の時間を要していましたが、新サービスでは検知・破棄の対象となるIPアドレスセグメントを事前申請の上、本セグメントに向けたDDoS攻撃を検知します。

提供機能(攻撃検知時のアクション)は以下の2種類となります。

  • モニタ:DDoS攻撃の検知を行い、ポータルサイト上でアラートを表示します。本サービスの基本機能となります。
    また、オプションとしてメールによるアラート通知機能も設定できます。
  • ドロップ:検知したDDoS攻撃に対し、パケット破棄を行います。(ドロップ機能は後日提供予定)
    自動的に動作するため、設定したIPアドレスセグメントに対し攻撃検知時に通信不通が発生する場合があります。

また、本攻撃検知結果は、専用のサービスポータルサイトから確認が可能です。 DDoS攻撃の検出や制御だけでなく、確認や分析にも役立てることができます。

利用の準備

後述の注意事項・備考も必ずお読みください

規定・ガイドラインにて「SINETネットワークサービスガイドライン」をご確認ください。

  • II.ネットワークサービス共通ガイドライン
  • III.IPv4 サービス利用ガイドライン
  • IV.IPv6 サービス利用ガイドライン
  • XI.自動DDoS Mitigationサービス利用ガイドライン
  • 本サービス申請前に、加入機関が SINET に接続され、IPv4/IPv6 Dualサービス(インターネット接続サービス)の利用を開始している必要があります。
  • 本サービスの対象となるIPアドレスセグメントは、ご利用中のIPv4/IPv6 Dualサービスで
    設定済みのルーティングアドレスに含まれている必要があります。
  • サービスポータルサイトの利用にあたり、アカウントの払出をいたします。
    サービス対象のIPアドレスセグメントの管理都合上、原則として 1加入機関1アカウントの払出とします。

利用申請の流れ

  • 本サービスの利用申請は、LAN管理責任者からの提出が必要です。
  • LAN管理責任者またはその事務担当者から申請書を提出するか、登録されたLAN管理責任者のメールアドレスをCCに含めて申請してください。
  • 本サービスの申請先・問合せ先は以下となります。
    SINET6自動DDoS Mitigationサービス運用支援担当
    ddmon[@]sinet.ad.jp
  • 本サービスを利用可能なアドレスセグメントの範囲については、利用状況により制限を行う場合がございます。
  • 本サービス利用により発生したトラブルについて、NII側では責任を負いかねます。

サービス利用申請

利用申請

加入機関 → NII

SINET6利用申請書(自動DDoS Mitigation)をお送り下さい。
e-mail: ddmon[@]sinet.ad.jp
※利用開始希望予定日の2週間前までにお送りください。

受付処理

NII

受領した利用申請書情報と、IPv4/IPv6 Dualサービスの利用情報の照会を行い、IPアドレスセグメント等を確認いたします。
※申請内容について確認差し上げる場合があります

手続き完了連絡

加入機関 ← NII

手続きの完了についてご連絡します。

設定作業

加入機関 ・ NII

自動DDoS Mitigationシステムにサービス対象のIPアドレスセグメントの登録を行います。
新規利用の場合、サービスポータルサイト利用のため加入機関向けのシステムアカウント発行を行います。
加入機関側では、システムアクセス元の準備を行います。

手続き完了連絡

加入機関 ← NII

システム設定完了と、申請セグメントに対するアクション開始について連絡します。
新規利用の場合、発行したシステムアカウントについて通知します。

注意事項・備考

攻撃検知方法

  • 攻撃検知にあたり、サービス対象のIPアドレスセグメント向け通信について一定確率でのサンプリングを行います。
    本サービス利用開始前に、加入機関のネットワークポリシについて必ず確認をお願いします。
  • 商用接続との接続点が本サービスにおける攻撃検知・制御点となります。
    加入機関接続インタフェースへの設定は行いません。
  • VPN内部で発生した攻撃や異常トラフィックは本サービスの対象外となります。

攻撃検知時のアクション

  • モニタ(検知)とドロップ(破棄)の2種類から選択可能です。(ドロップ機能は後日提供開始予定)
  • 同一のIPアドレスセグメントを指定した複数のIPv4/IPv6 Dualサービスを利用しBGPの利用やLongest matchによる経路制御を行っている場合、指定したセグメントを利用する全ての接続がサービス適用範囲となります。

サービスポータル

  • 新規申請時にサービスポータルアクセスアカウントの発行をいたします。
    サービス対象のIPアドレスセグメントの管理都合上、原則として 1加入機関1アカウント の払出とします。
  • 申請時に指定したIPアドレスからのみ本システムのサービスポータルへアクセスが可能です。
  • システムアクセス元のIPアドレスはご利用中のIPv4/IPv6 Dualサービスで設定済みのルーティングアドレスを指定してください。なお、指定するIPアドレスはできるだけ短いアドレスセグメントとしてください。(本IPアドレスは、現在、IPv4のみの対応です)
  • 申請済みのIPアドレスセグメントに対して、攻撃検知時のアクション(モニタ/ドロップ)をサービスポータル上から変更することはできません。アクションの変更にあたっては利用申請書の提出が必要です。

注意事項

  • サービス提供状況に応じ、サービス内容の変更を行う場合がございます。
  • 本サービス利用により発生したトラブルについて、NII側では責任を負いかねます。
  • 本サービスは、加入機関向け接続の安全性を保証するものではございません。
  • IPv4/IPv6サービスの利用変更時は、本サービスへの影響について加入機関側で確認の上で申請をお願いします。

担当連絡先・問合せ先

SINET6自動DDoS Mitigationサービス運用支援担当
e-mail: ddmon[@]sinet.ad.jp