Weitere ähnliche Inhalte
Ähnlich wie 2015-ShowNet -DDoS/IX/BGPFlowspec/External
Ähnlich wie 2015-ShowNet -DDoS/IX/BGPFlowspec/External (20)
Mehr von Interop Tokyo ShowNet NOC Team
Mehr von Interop Tokyo ShowNet NOC Team (20)
Kürzlich hochgeladen (10)
2015-ShowNet -DDoS/IX/BGPFlowspec/External
- 2. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 2
DDoS対策機能の最適分散配置
ShowNet におけるDDoS対策
課題:大規模DDoS攻撃を個別組織での対策が困難に
対策:IX, トランジット, 自AS内での対策機能を分散配置
2. IXにおける緩和・破棄
SDN技術を活用し攻撃の流入口での
緩和・破棄→ラック#1
1. ISPにおける緩和・破棄
BGP経路操作による攻撃を緩和装置
への誘導し緩和・破棄→ラック#10
3. 自社網での緩和・破棄
BGP Flowspecによる帯域制限および
緩和装置への誘導・破棄→ラック#2
自社網
IX
ISP1
2
3
- 3. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 3
SDNを活用した
"次世代のIX” (Internet eXchange)
SDN IX
- 4. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 4
Internet eXchange (IX) とは
SDN IX
• ISP間の相互接続点であり、レイヤ2・レイヤ3の機器
を用いて構成されています
• BGPを用いて組織間で経路交換が行われます
- 5. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 5
SDN 技術のIXにおける活用
SDN IX
• Software Defined Networking (SDN) 技術
• OpenFlowに代表されるソフトウェアを用い
たネットワーク機能制御・管理技術
• SDN技術をIXの基盤に利用
• 細かな経路制御 (GRANULARITY)
• 柔軟なパス交換 (FLEXIBILITY)
• セキュリティ機能 (SECURITY)
- 6. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 6
SDN IXの構成
SDN IX
• 大手町・幕張にスイッチと
コントローラを分散配置
• ShowNet AS間/対外組織
を接続
大手町
幕張
ShowNet
NEC
PF5240
NEC
PF5240
O3Project
Lgopus
O3Project
Lgopus
Dell
PowerEdgeFX
- 7. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 7
AS間レイヤ2パス構築
SDN IX
• 事業者間を跨ぐレイヤ2パスを
OpenFlowを用いて自動でIX上
に構築
• 用途
クラウド事業者間や通信事業者
間での顧客ネットワークの接続
- 8. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 8
IXにおけるセキュリティ課題
SDN IX
• 課題:DDoS攻撃によるIXと接続事業者間の帯域逼迫
• 現在:被害事業者内でのフィルタ
→IXと事業者間の帯域逼迫を解消できない
IXとの帯域を圧迫
被害事業者
- 9. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 9
SDN IXでのDDoS防御
SDN IX
• 被害事業者の運用者がコント
ローラを介してフィルタ設定
• 攻撃トラフィックを流入口
で破棄
• IXと被害事業者間の帯域逼迫
を回避
被害事業者
- 11. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 11
今までのDDoSの防ぎ方
BGP Flowspec(RFC5575)
• 今まではルータでDDoSを防ぐ技術として
RTBH(Remotely Triggered Black Hole
Filtering)が使用されていました。
攻撃者
Dest IP:サーバA
Source IP: B
Dest port : 80
Source port :1900
Transit
サーバA
2.遮断
1.BGP経路
広告
- 12. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 12
問題点も
BGP Flowspec(RFC5575)
• ルーティングテーブルベースなので、偽装な
どされると正常者も遮断されてしまう。
攻撃者
Dest IP:サーバA
Source IP: B
Dest port : 80
Source port :1900
正常者
Dest IP:サーバA
Source IP: B
Dest port : 80
Source port :2345
Transit
サーバA
攻撃者、正常者
両方のトラ
フィックを遮断
- 13. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 13
BGP Flowspecの登場
BGP Flowspec(RFC5575)
• BGPのNLRIにきめ細やかな情報を追加しルー
タにインストール。これによりルーティング
とACLの融合が可能に。
Type 1 - Destination Prefix
Type 2 - Source Prefix
Type 3 - IP Protocol
Type 4 – Source or Destination Port
Type 5 – Destination Port
Type 6 - Source Port
Type 7 – ICMP Type
Type 8 – ICMP Code
Type 9 - TCP flags
Type 10 - Packet length
Type 11 – DSCP
Type 12 - Fragment Encoding
- 14. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team
BGP Flowspecのアクション
BGP Flowspec(RFC5575)
• マッチしたパケットに対するアクションも、さまざ
まなものを指定可能。
・ Rate-limit
・ Drop (Rate-limit=0を指定)
・ VRFへのリダイレクト
・ DSCPマーキング
・ サンプリング/ロギング
- 15. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 15
防御方法
BGP Flowspec(RFC5575)
• ルーティングテーブルにフロー情報が追加さ
れたので、攻撃者の情報と正常者の情報を分
けてフォワーディングすることが出来る。
攻撃者
Dest IP:サーバA
Source IP: B
Dest port : 80
Source port :1900
正常者
Dest IP:サーバA
Source IP: B
Dest port : 80
Source port :2345
Transit
サーバA
攻撃者のトラフィッ
クのみを遮断
- 16. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 16
ShowNetでの取り組み
BGP Flowspec(RFC5575)
• BGP Flowspecとxflowを組み合わせることに
より、DDosが発生したことを瞬時に判断し、
自動でBGP Flowspecにより、フローを生成
し悪意のあるトラフィックを遮断します。
• *次頁にて図解
- 17. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team
ShowNetにおけるDDoS防御
BGP Flowspec(RFC5575)
サーバA life/来場者端末等 出展社
Transit Transit
xFlowサンプル
2.フィルタルール生成
RR
vMX
By Juniper
ShowNet
External
ShowNet
Backbone
コレクタ
Samurai
By NTTCOM
Peer
BGP Flowspec
対応ルータ
攻撃者
Dest IP:サーバA
Source IP: B
Dest port : 80
Source port :1900
1.攻撃判定
正常者
Dest IP:サーバA
Source IP: B
Dest port : 80
Source port :2345
3.経路配布
Cisco
ASR9900
Huawei
NE5000E
Juniper
MX480
4.攻撃防御
- 19. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team
ShowNetの対外接続
トランジットの提供
AS番号 会社・組織名 サービス名
2516 KDDI株式会社 KDDIインター
ネットゲートウェイ
2914
NTTコミュニケーションズ
株式会社 Global IP Network
4713
NTTコミュニケーションズ
株式会社 OCN
17676
ソフトバンクモバイル
株式会社 ULTINA Internet
2497
株式会社インターネット
イニシアティブ
インターネット
接続サービス
IX接続ポートの提供
会社・組織名 IX名 サービス名
WIDE Project DIX-IE DIX-IE
WIDE Project NSPIXP23 NSPIXP23
日本インターネット
エクスチェンジ株式会社
JPIX IXポートサービス
インターネット
マルチフィード株式会社
JPNAP
JPNAP東京Ⅰ
サービス
BBIX株式会社 BBIX
IXコネクト
サービス
- 20. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team
ShowNetの対外接続
DIX-IE&NSPIXP23 接続ネットワーク
AS番号 会社名 サービス名
2500 WIDE Project WIDE
7671 NTTスマートコネクト株式会社 MCNET
7503 株式会社エアネット AIRnet
18125 農林水産省研究ネットワーク MAFFIN
7660
アジア太平洋高度ネットワーク
日本協議会(APAN-JP)
Asia-Pacific
Advanced
Network(APAN)
JPNAP東京Ⅰ 接続ネットワーク
AS番号 会社名 サービス名
9595
株式会社エヌ・ティ・ティ
エムイー
XePhion/WAKW
AK
2514
(株)NTTPCコミュニ
ケーションズ
InfoSphere
2510 富士通株式会社 INFOWEB
2518 ビッグローブ株式会社 ビッグローブ
15169 Google Inc. Google
RouteFEEDサービスでの接続: 74 ネットワーク
- 21. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team
ShowNetの対外接続
JPIX 接続ネットワーク (1/3)
AS番号 会社・組織名 サービス名
17961 ミテネインターネット MITENE
2907 国立情報学研究所 SINET
7522 株式会社STNet STCN
4675 ユニアデックス株式会社 U-netSURF
18070 株式会社グローバルネットコア N-plus
7529 株式会社ネットアイアールディー NETIRDインター
ネットサービス
18150 株式会社佐賀新聞社 佐賀新聞・長崎新聞イ
ンターネット(S.N.I)
9354
㈱コミュニティネットワークセン
ター CNCI
23780 CTBメディア株式会社 CTB
18282 Tonami Transportation Co., Ltd. CoralNet
17534 株式会社ネスク NSKNET
JPIX 接続ネットワーク (2/3)
AS番号 会社・組織名 サービス名
10000 株式会社長崎ケーブルメディア NCM-NET
9595 株式会社エヌ・ティ・ティ エムイー XePhion/WAKW
AK
2514 (株)NTTPCコミュニケーションズ InfoSphere
2515
一般社団法人日本ネットワークインフォ
メーションセンター JPNIC
7679 九州通信ネットワーク株式会社 QCN
9370 さくらインターネット株式会社 SAKURA-B
23620 株式会社DMM.comラボ DooGA
18126 中部テレコミュニケーション株式会社
コミュファ光
/CTC EtherLINK
9355 国立研究開発法人 情報通信研究機構 NICT
2518 ビッグローブ株式会社 ビッグローブ
- 22. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team
ShowNetの対外接続
BBIX 接続ネットワーク
AS番号 会社名 サービス名
17686 アクセリア株式会社 Accelia
23780 CTBメディア株式会社 CTB
17707 テコラス株式会社 DATAHOTEL
17941 株式会社ビットアイル BIT-ISLE
18150 株式会社佐賀新聞社
佐賀新聞・長崎新聞
インターネット
(S.N.I)
23820 楽天株式会社 楽天市場
2518 ビッグローブ株式会社 ビッグローブ
JPIX 接続ネットワーク (3/3)
AS番号 会社・組織名 サービス名
4678 キヤノンITソリューションズ株式会社 FINE
38043 ソフィア総合研究所株式会社 SRINET