10.5 Oracle Connection Managerを使用したサービス拒否攻撃の回避

Oracle Connection Manager (CMAN)が特定の時間間隔内に単一のIPアドレスから処理できるクライアント接続数に制限を適用できます。

悪意のあるクライアントは、サーバー・ノードに過剰な接続リクエストを送信する可能性があります。これは、CMANが新しい接続を処理する秒当たりの容量を飽和させ、データベースへのサービス拒否(DoS)攻撃を引き起こす可能性があります。IPレート制限機能を使用すると、IPアドレスから許可される新規接続の最大数を制限できます。これにより、悪意のあるクライアントを早期に検出し、それらの接続を拒否することで、DoS攻撃を防止できます。

IPレート制限を適用するには、cman.ora構成ファイルでIP_RATE_COUNTパラメータを設定します。このパラメータには、単一のIPアドレスから許可される接続の数を指定します。指定されたIPレート制限はCMANエンドポイント・レベルで適用されます。

必要に応じて、cman.oraファイルで次のオプション・パラメータも設定できます。

• IP_RATE_INTERVAL: IPアドレスからIP_RATE_COUNTの接続数を受け入れる時間間隔を秒単位で指定します。

• IP_RATE_BLOCK: 指定したIPレート制限の超過後に、IPアドレスがブロックされる期間を分単位で指定します。

接続がIP_RATE_INTERVALごとのIP_RATE_COUNTの制限を超えると、CMANはそのIPアドレスを拒否してIP_RATE_BLOCK分間ブロックします。CMANは、IP rate limit enforced for IPアドレスのエラー・メッセージをOracle Connection Managerのログ・ファイルに記録します。