2013年のインターネット運用動向

Transcription

1 2013 年の インターネット運用動向 ~ トラフィック ルーティング DNS Security etc~ Internet Multifeed / JPNAP Tomoya Yoshida <yoshida@mfeed.ad.jp>

2 内容 トラフィック動向 ルーティング動向 DNS 動向 セキュリティ動向 日本や世界のIX 動向 まとめ 2

3 内容 トラフィック動向 ルーティング動向 DNS 動向 セキュリティ動向 日本や世界のIX 動向 まとめ 3

4 2013 年トラフィック動向 ブロードバンド モバイルトラフィックの継続増加 日本のブロードバンドの平均トラフィックが 2Tbps を超える スマートフォンの普及により著しいモバイルトラフィック増年 1.7 倍程度の伸び ダウンロード型のトラフィック増 ( 特に国際トラフィック ) が加速している モバイル端末 : 帯域制限により月末にかけて減少する傾向が最近目立つ ショートパケットが増えており pps rate を気にしないといけない 1 日のトラフィック ピーク時間が徐々に前倒しになってきている (22:00-23:00 の前半がピーク ) スマートフォンやモバイル端末の普及により利用時間の幅が拡大 1 日のトラフィック変動幅がますます増加 HTTPS が急増 Google がログインユーザ以外にも検索結果を強制 SSL 化した影響 IPv6 トラフィックはゆるやかに増加 イベント時のトラフィック変化 半沢直樹 IOS ダウンロード プロ野球 台風等で急激な増減が観測 4

5 日本国内のトラフィック推移 出典 総務省 我が国のインターネットにおけるトラヒックの集計 試算 2013年8月30日 5

6 日本国内のトラフィック推移 5分平均のピークトラフィックの推移 出典 総務省 我が国のインターネットにおけるトラヒックの集計 試算 2013年8月30日 6

7 1 日のトラフィック傾向 ピークは夜の 22 時 ~23 時の間の早い時間へとシフトしている傾向 JPNAP(Japan) の 1 日のトラフィック推移 AMS-IX(Europe) の 1 日のトラフィック推移 7

8 9/22 Sun. 21:00-22:19 当日 1 週前 放映時間 :21:00 22:20 ( 通常は 22:00 まで ) 倍返し効果? によるトラフィック減少を観測 毎週日曜夜のトラフィックが減少 ( 最終回が MAX) 2 週前 21 時 22 時 8

9 9/22 Sun. 21:00-22:19 の 1 週間後 29 日 (22:00 ごろピーク ) 15 日 (22:30 ごろピーク ) 1 週後 最終回 2 週前 22 日 (22:20 ごろ底 ) 9

10 10/9 Wed. 平日トラフィック ( 台風の 1 週間前 ) お昼にトラフィック増加一般的な平日トラフィック JPNAP のトラフィック 10

11 10/16 Wed. 台風当日 一般的な平日よりもトラフィックが多い JPNAP のトラフィック 11

12 11/16 Sat. 休日トラフィック JPNAP のトラフィック 12

13 11/3 Sun. 21:45 勝敗決定の瞬間 優勝の瞬間 (21 時 45 分 ) 13

14 11/3 Sun. 21:45 勝敗決定の瞬間 優勝の瞬間 (21 時 45 分 ) A 14

15 9/18 Wed. IOS7 download 日本時間の 9/18 早朝より急激なトラフィック変化 Akamai のトラフィックは 5Tbps へ 15

16 プロトコル比率の推移 ( パケット数比率 ) HTTP/HTTPS/RTMP で 80% 比率 (%) HTTPS が増加傾向 HTTPS が増加傾向 Google の https 強制化? Google の https 強制化? 2012 年 2013 年 16

17 プロトコル比率の推移 ( バイト数比率 ) パケット数比率より HTTP の割合が増加 比率 (%) パケット数比率より HTTPS の割合が減少 ( つまり ショートパケットが多い ) 2012 年 2013 年 17

18 パケット数 パケットサイズの分布 ( 一週間平均 ) A 時間 18

19 パケット数の比率 (%) パケットサイズの分布 ( 一週間平均 ) A 時間 19

20 パケット数の比率 (%) パケットサイズの分布 ( 休日 ) TCP ACK (Option あり ) A 1500 TCP ACK (Option なし ) 40 時間 20

21 パケット数の比率 (%) パケットサイズの分布 ( 平日 ) モバイルからの 1500byte のトラフィックが影響している 朝とお昼休みは 1500Byte が増える 1454 A 仕事中は 1500Byte が減る 1500 時間 21

22 その他トラフィック傾向 アクセス回線は高速化しているが それに比例してトラフィックがのびているわけでもない 将来各家庭のトラフィックが急激に増加する可能性あり 2020 年東京オリンピックに向けた仕掛けとか 国内と国際のトラフィックの把握が難しい 1 つの IPv4 アドレスに占めるトラフィックが増加傾向 単純に /user のトラフィック増 アドレス共有 位置の特定が困難 22

23 JPNAP のとあるバックボーン回線 23

24 移動通信トラフィックの推移 1 年で 1.80 倍に増加 +21% +6% 1 年で 1.78 倍に増加 +19% 1 年で 1.66 倍に増加 +18% +7% +4% +20% +17% +18% +17% +19% +15% +30% +30% +26% +17% +18% +23% +14% +25% +17% +15% +26% +25% +15% +13% +28% +15% +13% +12% +25% +11% +13% 直近四半期で伸びが鈍くなったものの 年間約 2 倍のペースで移動通信トラヒックは増加している ( 各社のスマートフォン利用者数の増加や 動画等の大容量コンテンツの利用増加等が主要因と推測される ) 出典 : 総務省我が国の移動通信トラヒックの現状 24

25 移動通信トラフィックの推移 出典 : 総務省我が国の移動通信トラヒックの現状 25

26 モバイルトラフィック これまでと気にしなければいけない所が違う bps より pps 1 パケットのサイズが小さいものが多い Keepalive packet のようなもの等 帯域には余裕があるのにパケットをさばけないことも起きる スマートフォンのショートパケットの多さはやはり異常な程 常に電源が入っているため何かしらパケットを出している アプリ怖い 26

27 ゆれくるアプリ 27

28 ゆれくるアプリ ゆれくるサーバ ゆれくる?? ゆれくる?? ゆれくる?? ゆれくる?? ゆれくる?? ゆれくる?? ゆれくる?? ゆれくる?? ゆれくる?? ゆれくる?? ゆれくる?? ゆれくる?? ゆれくる?? ゆれくる?? ゆれくる?? ゆれくる?? ゆれくる?? ゆれくる?? ゆれくる?? ゆれくる?? ゆれくる?? ゆれくる?? 28

29 某高速鉄道のモバイル 電車が遅れたり 公共交通機関に何か起きると バースト的にアクセスユーザ数とトラフィックが増加する 29

30 現状と今後の課題 とにかく増強 モバイルキャリアや ISP の涙ぐましい努力は続いています 災害時やイベント時のトラフィック対策 大規模災害 停電 公共機関の影響 イベント 従来トラフィックが減っていたタイミングでトラフィックが急増する可能性が高い うまくコントロールできる仕組みや東西分散などを模索中 30

31 内容 トラフィック動向 ルーティング動向 DNS 動向 セキュリティ動向 日本や世界のIX 動向 まとめ 31

32 ルーティング動向 IPv4 経路が 47 万 ~48 万に到達 年増加率は約 1.1 倍で引き続き枯渇後も増加 /24 は依然全体の約半分 最後の /8 で急増傾向 IPv6 経路の増加 本格的なルーティングが開始 1 万経路の大台を突破し 1.5 万経路 AS 番号の枯渇対応 4byteAS へ移行 ここ最近は大きな問題は発生していない 上位 ISP が 4byte に未対応のところが依然存在 日本国内にも複数ある 32

33 IPv4 経路数の推移 枯渇後も依然増加傾向 このあたりが一般的な経路数 33

34 X.0.0.0/ 年 8 月の IPv4 フルルート /Y 34

35 X.0.0.0/ 年 8 月の IPv4 フルルート /Y 35

36 X.0.0.0/ 年 8 月の IPv4 フルルート /Y 36

37 X.0.0.0/ 年 11 月の IPv4 フルルート /Y 37

38 X.0.0.0/ 年 11 月の IPv4 フルルート /Y 38

39 X.0.0.0/ 年 11 月の IPv4 フルルート /Y 39

40 X.0.0.0/ 年 11 月の IPv4 フルルート /Y 40

41 X.0.0.0/ 年 11 月の IPv4 フルルート /Y 41

42 X.0.0.0/ 年 11 月の IPv4 フルルート /Y 42

43 経路数 IPv4 経路数の推移 全 IPv4 経路数 2003 末 : 末 : 末 : 末 : 末 : 末 : 末 : 末 : 末 : 末 : 末 : /1 /2 /3 /4 /5 /6 /7 /8 /9 /10 /11 /12 /13 /14 /15 / 末 末 末 末 末 末 末 末 末 末 末

44 経路数 IPv4 経路数の推移 /24 は依然増加 全 IPv4 経路数 2003 末 : 末 : 末 : 末 : 末 : 末 : 末 : 末 : 末 : 末 : 末 : /17 /18 /19 /20 /21 /22 /23 /24 /25 /26 /27 /28 /29 /30 /31 / 末 末 末 末 末 末 末 末 末 末 末

45 IPv4 経路数の推移 ( 割合 ) 7.0% 6.0% /16 等の shorter prefix の数自体は増加しているが全体に占める割合は減少傾向 5.0% 4.0% 3.0% 2.0% 2003 末 2004 末 2005 末 2006 末 2007 末 2008 末 2009 末 2010 末 2011 末 2012 末 2013 末 1.0% 0.0% /1 /2 /3 /4 /5 /6 /7 /8 /9 /10 /11 /12 /13 /14 /15 /16 45

46 IPv4 経路数の推移 ( 割合 ) 60.0% 50.0% 全体の経路に占める /24 の比率は 50% 強だが若干増加傾向にある 40.0% 30.0% 20.0% 10.0% /22 の増加が顕著 (fainal /8 の影響 ) 2003 末 2004 末 2005 末 2006 末 2007 末 2008 末 2009 末 2010 末 2011 末 2012 末 2013 末 0.0% /17 /18 /19 /20 /21 /22 /23 /24 /25 /26 /27 /28 /29 /30 /31 /32 46

47 AP 地域の /24 の推移 /8(last /8) の伸びが著しい (202,203,210/8 に続いて 3 番目に多い ) 1999 年 2000 年 2001 年 2002 年 2003 年 2004 年 2005 年 2006 年 2007 年 2008 年 2009 年 2010 年 2011 年 2012 年 2013 年 202/8 203/8 210/8 211/8 061/8 218/8 219/8 220/8 221/8 222/8 060/8 058/8 059/8 124/8 125/8 126/8 121/8 122/8 123/8 114/8 115/8 116/8 117/8 118/8 119/8 120/8 112/8 113/8 110/8 111/8 180/8 183/8 175/8 182/8 001/8 027/8 014/8 223/8 049/8 101/8 036/8 042/8 039/8 106/8 103/8 47

48 AP 地域の最後の /8 103/8 (2011 年 ~2013 年 ) 2013 年 2011 年 2012 年 徐々に減少 本気で IPv4 が必要な人は移転等で対応している状況 48

49 IPv4 経路数推移予測 (4 年前の 2009 年末予測 ) 現在 予測の幅 倍より下降 1.11 倍維持 1.13 倍維持 年 2012 年は枯渇後もほぼ従来相当の増加傾向枯渇要因は来年あたりから顕著に見られる可能性があり 49

50 AP地域の/24の推移 AP地域の/24増加率は年々低い値となってきているが 最近再度 全体の/24増加率 1.11倍 よりも高い 1.13倍 値となってきている AP地域における/24の経路数 末 2012末 2013末 /24の数 全体 アジア地域 /24増加率 全体 アジア地域 系列1 系列 年 2000年 2001年 2002年 2003年 2004年 2005年 2006年 2007年 2008年 2009年 2010年 2011年 2012年 2013年

51 APNIC 公認? のブローカー 2013 年に追加 51

52 経路数 IPv6 経路数の推移 末 : 末 : 末 : 末 : 末 : RIPE 地域の最小割り振りサイズが 6 月から /32->/29 になった影響で /29 が急増 /36, /40 など徐々に細かい経路が増加している 0 /16 /17 /18 /19 /20 /21 /22 /23 /24 /25 /26 /27 /28 /29 /30 /31 /32 /33 /34 /35 /36 /37 /38 /39 / 末 末 末 末 末

53 経路数 IPv6 経路数の推移 末 : 末 : 末 : 末 : 末 : /44, /48 の増加が顕著 0 /41 /42 /43 /44 /45 /46 /47 /48 /49 /50 /51 /52 /53 /54 /55 /56 /57 /58 /59 /60 /61 /62 /63 / 末 末 末 末 末

54 IPv6 経路数の推移 ( 割合 ) 90.0% 80.0% 70.0% 60.0% /32 の割合が徐々に減少傾向となっており 2013 年末現在約 3 分の 1 程度となった 50.0% 40.0% 30.0% 2009 末 2010 末 2011 末 2012 末 2013 末 20.0% 10.0% 0.0% /16 /17 /18 /19 /20 /21 /22 /23 /24 /25 /26 /27 /28 /29 /30 /31 /32 /33 /34 /35 /36 /37 /38 /39 /40 54

55 IPv6 経路数の推移 ( 割合 ) 45.0% 40.0% 35.0% 30.0% /48 の割合が IPv4 の /24 相当に近づいている 25.0% 20.0% 15.0% 2009 末 2010 末 2011 末 2012 末 2013 末 10.0% 5.0% 0.0% /41 /42 /43 /44 /45 /46 /47 /48 /49 /50 /51 /52 /53 /54 /55 /56 /57 /58 /59 /60 /61 /62 /63 /64 55

56 AP 地域の国別 IPv6 アドレス配分状況 どの国でも徐々に IPv6 の普及が促進されている IPv4 アドレスの保有に沿った APNIC の IPv6 アドレス配布ポリシー改訂の影響 日本 中国 オーストラリア 56

57 AS 番号 (2byte/4byte) 2byte AS 現在残り約 500AS( 昨年は残り約 3000AS) 2014 年に IANApool は枯渇されると予測 特に RIPE 地域が継続的に増加 4byte AS RIPE NCC 地域では積極的に払い出しが実施 依然状況により RIR 毎に運用対処し 2byte を払い出す 4byteAS の bogon 経路も観測されている 日本はほとんど取得が無い 2013 年は 1 個のみ ルータベンダの実装は一通り落ち着いたが依然 ISP 側で未対応あり 57

58 AS Allocation RIPE と ARIN がほぼ同数となった 58

59 内容 トラフィック動向 ルーティング動向 DNS 動向 セキュリティ動向 日本や世界のIX 動向 まとめ 59

60 2013 年 DNS 関連トピック 大規模化 巧妙化する DNS リフレクター攻撃 大規模な攻撃が複数回発生 オープンリゾルバー以外に権威 DNS サーバーも踏み台に 洗練される攻撃手法 ホームルーターが オープン DNS フォワーダー に 技術的な取り組み 対応策 多発するレジストリ レジストラへの攻撃 2012 年 10 月の.ie の事件以降頻発 月刊 TLD といった様相 複数の cctld に加え 大手 gtld レジストラも攻撃対象に IP フラグメンテーションを利用した 古くて新しい 攻撃手法 第一フラグメント便乗攻撃 (1st-fragment piggybacking attacks) ICMP の偽造と組合わせることでパワーアップ DNSSEC は徐々に増加 設定ミス等で引けない zone も増加 おまけ : 今年も来なかった平穏無事な 7 月 しかも ゼロデイ攻撃 状態での緊急公開 ( 日本時間の土曜日 ) 60

61 大規模な攻撃が複数回発生 大規模化 巧妙化する DNS リフレクター攻撃 Spamhaus/CloudFlare が攻撃目標に :3 月の事件 (300Gbps 超 ) Prolexic が預かっている金融プラットフォームが攻撃対象に :5 月の事件 ( 167Gbps) オープンリゾルバー以外に権威 DNS サーバーも踏み台に IP アドレスベースのフィルタ対処は困難のため DNSRRL や Any-to-TCP などが今後の対策としては検討されている 洗練される攻撃手法 1. 適当なドメイン名にたくさん A を登録して 2. 大きな応答を作っておき 3. それをオープンリゾルバーにキャッシュさせ 攻撃する ホームルーターが オープン DNS フォワーダー に 特定の箱 = 特定の国で多い ( 韓国 イタリア ) 技術的な取り組み 対応策 BCP38 とにかくつぶす DNSRRL Any-to-TCP 61

62 dig hizbullah.me A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A

63 大規模な攻撃が複数回発生 大規模化 巧妙化する DNS リフレクター攻撃 Spamhaus/CloudFlare が攻撃目標に :3 月の事件 (300Gbps 超 ) Prolexic が預かっている金融プラットフォームが攻撃対象に :5 月の事件 ( 167Gbps) オープンリゾルバー以外に権威 DNS サーバーも踏み台に IP アドレスベースのフィルタ対処は困難のため DNSRRL や Any-to-TCP などが今後の対策としては検討されている 洗練される攻撃手法 1. 適当なドメイン名にたくさん A を登録して 2. 大きな応答を作っておき 3. それをオープンリゾルバーにキャッシュさせ 攻撃する ホームルーターが オープン DNS フォワーダー に 特定の箱 = 特定の国で多い ( 韓国 イタリア ) 技術的な取り組み 対応策 BCP38 とにかくつぶす DNSRRL Any-to-TCP 63

64 オープンリゾルバ確認サイト 接続元 IP アドレスと PC に設定されている DNS サーバの IP アドレスに対して確認 問題なければグリーンで結果が表示される 日本や世界の状況をアップデートしたり注意喚起の実施 powerd by JPCERT/CC 64

65 セキュリティ情報 JPRS 公開の DNS 関連 セキュリティ情報 (2013 年 ) BIND 9.x の脆弱性 ( サービス提供者が意図しないアクセスの許可 ) について (2013 年 11 月 7 日公開 ) ( 緊急 )BIND 9.x の脆弱性 (DNS サービスの停止 ) について (2013 年 7 月 27 日公開 ) ( 緊急 )BIND 9.x の脆弱性 (DNS サービスの停止 ) について (2013 年 6 月 5 日公開 ) ( 緊急 )BIND 9.x の致命的な脆弱性 ( 過度のメモリ消費 ) について (2013 年 3 月 27 日公開 ) BIND 9.8.x/9.9.x における DNS64/RPZ の実装上のバグによる named のサービス停止について (2013 年 1 月 25 日公開 ) 注意喚起 技術解説 : DNS Reflector Attacks(DNS リフレクター攻撃 ) について 設定ガイド : オープンリゾルバー機能を停止するには BIND 編 65

66 6 年連続祭りの魔の 7 月 2008 年 : カミンスキー型攻撃手法の発表 2009 年 : パケット一発で死ぬ脆弱性 ( 通称 BIND コロリ ) 発見者が公開 ML 上に こうやると BIND が落ちちゃうんですけど どうして? 大祭りに 2010 年 : ルートゾーンが DNSSEC 対応したその日に DNSSEC 対応したゾーンの権威 DNS サーバーに全力で DoS するキャッシュ DNS サーバーの脆弱性が発表 2011 年 : パケット一発で死ぬ脆弱性 ( 再び BIND コロリ II ) 2012 年 : 割と安定している NSD に脆弱性 2 件 BIND 9 の脆弱性 2 件 全世界に 3 億台ぐらいある Android 端末の DNS リゾルバにキャッシュポイズニング可能な脆弱性が発覚 2013 年 : パケット一発で死ぬ脆弱性 ( 再び BIND コロリ III ) JPRS: ( 緊急 )BIND 9.x の脆弱性 (DNS サービスの停止 ) について (2013 年 7 月 27 日公開 ) 1 パケットで確実に named を落とせる キャッシュ DNS サーバ 権威 DNS サーバ双方に対して有効 named のアクセスコントロールでは防げない 66

67 TLD の DNSSEC 普及状況 67

68 68

69 DNS クエリ数の推移 Internet Week 2013 JP DNS Update 資料より引用 69

70 ( 例 ) 17:13: IP > domain: A? (32) 17:13: IP > domain: AAAA? (32) 17:13: IP > domain: AAAA? tenshoku.nikkei.co.jp. (39) 17:13: IP > domain: A? trendy.nikkeibp.co.jp. (39) 17:13: IP > domain: AAAA? t21.nikkei.co.jp. 17:13: IP domain > : /13/13 AAAA 17:13: IP > domain: A? (36) 17:13: IP > domain: AAAA? trendy.nikkeibp.co.jp. (39) (34) 2001:3e8::864:3740:0:8a65:715 (479) 17:13: IP > domain: AAAA? (36) 17:13: IP > domain: A? release.nikkei.co.jp. (38) 17:13: IP > domain: A? (29) 17:13: IP domain > : /13/0 (243) 17:13: IP domain > : /13/13 AAAA 2001:3e8::864:3740:0:cad6:ae0a 17:13: (486) IP > domain: AAAA? release.nikkei.co.jp. (38) 17:13: IP > domain: AAAA? (29) 17:13: IP > domain: A? parts.nikkei.jp. (33) 17:13: IP domain > : /13/0 (250) 17:13: IP domain > : /13/13 AAAA 2001:3e8::864:3740:0:8a65:72c (485) 17:13: IP domain > : /13/0 (249) 17:13: IP > domain: AAAA? parts.nikkei.jp. (33) 17:13: IP > domain: A? campus.nikkei.co.jp. (37) 17:13: IP domain > : /13/0 (249) 17:13: IP domain > : /13/13 AAAA 17:13: IP > domain: A? parts.nikkei.com. (34) 17:13: IP > domain: AAAA? campus.nikkei.co.jp. (37) 17:13: IP domain > : /13/0 (250) 2001:3e8::864:3740:0:8a65:72c (485) 17:13: IP > domain: AAAA? parts.nikkei.com. (34) 17:13: IP domain > : /13/13 AAAA 2001:3e8::864:3740:0:cb52:8ccd 17:13: (486) IP domain > : /13/13 AAAA 2001:3e8::864:3740:0:cad6:ae7b (486) 17:13: IP > domain: A? 17:13: IP > domain: A? platform.twitter.com. (38) (37) 17:13: IP domain > : /13/0 (250) 17:13: IP > domain: A? adprivcache.nikkei.com. (40) 17:13: IP > domain: AAAA? platform.twitter.com. (38) 17:13: IP > domain: AAAA? 17:13: IP > domain: A? globalenglish.nikkei.co.jp. (44) 17:13: IP > domain: AAAA? adprivcache.nikkei.com. (40) (37) 17:13: IP domain > : /13/0 CNAME 17:13: IP > domain: AAAA? globalenglish.nikkei.co.jp. (44) 17:13: IP domain > : /13/0 (251) san.twitter.com.edgekey.net., CNAME e5903.g.akamaiedge.net. (320) 17:13: IP domain > : /13/0 (245) 17:13: IP domain > : /13/0 (247) 17:13: IP domain > : /13/13 AAAA 2001:3e8::864:3740:0:8a65:7e6 (487) 17:13: IP domain > : /13/10 CNAME 17:13: IP domain > : /13/13 AAAA 17:13: IP domain > : /13/13 AAAA 2001:3e8::864:3740:0:cad6:aee5 17:13: (483) IP > domain: A? channel.nikkei.co.jp. (38) san.twitter.com.edgekey.net., CNAME e5903.g.akamaiedge.net., AAAA 2001:3e8::864:3740:0:1707:c1e0 (508) 2001:3e8::864:3740:0:dad8:1273 (481) 17:13: IP > domain: A? e5903.g.akamaiedge.net. (40) 17:13: IP > domain: AAAA? channel.nikkei.co.jp. (38) 17:13: IP domain > : /13/0 (244) 17:13: IP > domain: A? 17:13: IP > domain: A? goethe.nikkei.co.jp. (37) 17:13: IP > domain: A? manavi.nikkei.co.jp. (37) (36) 17:13: IP domain > : /13/13 AAAA 2001:3e8::864:3740:0:8a65:7e6 (480) 17:13: IP > domain: AAAA? goethe.nikkei.co.jp. (37) 17:13: IP > domain: AAAA? manavi.nikkei.co.jp. (37) 17:13: IP > domain: AAAA? (36) 17:13: IP domain > : /13/13 AAAA 17:13: IP domain > : /13/0 (248) 17:13: IP > domain: A? ps.nikkei.co.jp. (33) 2001:3e8::864:3740:0:8a65:7e6 (481) 17:13: IP domain > : /13/13 AAAA 2001:3e8::864:3740:0:8a65:72c 17:13: (484) IP > domain: AAAA? ps.nikkei.co.jp. (33) 17:13: IP domain > : /13/0 (240) 17:13: IP domain > : /13/0 (245) 17:13: IP > domain: A? indexes.nikkei.co.jp. (38) 17:13: IP domain > : /13/0 (248) 17:13: IP domain > : /13/13 AAAA 17:13: IP > domain: A? adpriv.nikkei.com. (35) 17:13: IP > domain: AAAA? indexes.nikkei.co.jp. (38) 17:13: IP domain > : /13/0 (244) 2001:3e8::864:3740:0:dad8:1ea5 (476) 17:13: IP > domain: AAAA? adpriv.nikkei.com. (35) 17:13: IP domain > : /13/0 (248) 17:13: IP domain > : /13/13 AAAA 2001:3e8::864:3740:0:8a65:72c (484) 17:13: IP > domain: A? (36) 17:13: IP domain > : /13/0 (246) 17:13: IP domain > : /13/0 (255) 17:13: IP domain > : /13/13 AAAA 2001:3e8::864:3740:0:8a65:72c (480) 17:13: IP > domain: AAAA? 17:13: IP domain > : /13/13 AAAA 17:13: IP domain > : /13/13 AAAA 2001:3e8::864:3740:0:8a65:72c 17:13: (491) IP domain > : /13/0 (249) (36) 2001:3e8::864:3740:0:8a65:d841 (482) 17:13: IP > domain: A? pr.nikkei.com. (31) 17:13: IP > domain: A? (34) 17:13: IP domain > : /13/0 (248) 17:13: IP > domain: A? adb.nikkei.co.jp. (34) 17:13: IP > domain: AAAA? pr.nikkei.com. (31) 17:13: IP > domain: AAAA? (34) 17:13: IP domain > : /13/13 AAAA 17:13: IP > domain: AAAA? adb.nikkei.co.jp. (34) 17:13: IP domain > : /13/0 (248) 17:13: IP domain > : /13/13 AAAA 2001:3e8::864:3740:0:dad8:133a (485) 2001:3e8::864:3740:0:dad8:1882 (484) 17:13: IP domain > : /13/0 (245) 17:13: IP domain > : /13/13 AAAA 2001:3e8::864:3740:0:8a65:72c 17:13: (484) IP domain > : /13/0 (245) 17:13: IP domain > : /13/13 AAAA 17:13: IP domain > : /13/13 AAAA 17:13: IP > domain: A? shopping.nikkei.co.jp. (39) 17:13: IP domain > : /13/13 AAAA 2001:3e8::864:3740:0:dad8:1339 (481) 2001:3e8::864:3740:0:d312:dff9 (480) 2001:3e8::864:3740:0:8a65:7e6 (481) 17:13: IP > domain: AAAA? shopping.nikkei.co.jp. (39) 17:13: IP > domain: A? academia.nikkei.co.jp. (39) 17:13: IP domain > : /13/0 (244) 17:13: IP > domain: A? bizacademy.nikkei.co.jp. (41) 17:13: IP domain > : /13/0 (249) 17:13: IP > domain: AAAA? academia.nikkei.co.jp. (39) 17:13: IP > domain: A? (33) 17:13: IP > domain: AAAA? bizacademy.nikkei.co.jp. (41) 17:13: IP domain > : /13/13 AAAA 2001:3e8::864:3740:0:8a65:d88f 17:13: (485) IP > domain: A? bacon.exhn.jp. (31) 17:13: IP > domain: AAAA? 17:13: IP > domain: A? bizgate.nikkei.co.jp. (38) 17:13: IP domain > : /13/0 (242) 17:13: IP > domain: AAAA? bacon.exhn.jp. (31) (33) 17:13: IP > domain: AAAA? bizgate.nikkei.co.jp. (38) 17:13: IP domain > : /13/13 AAAA 2001:3e8::864:3740:0:8a65:72c 17:13: (478) IP > domain: A? louvre2013.jp. (31) 17:13: IP > domain: A? (32) 17:13: IP > domain: A? business.nikkeibp.co.jp. (41) 17:13: IP > domain: A? weather.nikkei.com. (36) 17:13: IP > domain: AAAA? louvre2013.jp. (31) 17:13: IP > domain: AAAA? (32) 17:13: IP > domain: AAAA? business.nikkeibp.co.jp. (41) 17:13: IP > domain: AAAA? weather.nikkei.com. (36) 17:13: IP domain > : /13/0 (250) 17:13: IP domain > : /13/0 (247) 17:13: IP domain > : /13/13 AAAA 17:13: IP > domain: A? (34) 17:13: IP domain > : /13/13 AAAA 2001:3e8::864:3740:0:dad8:1ea5 (486) 17:13: IP domain > : /13/13 AAAA 2001:3e8::864:3740:0:8a65:7e6 (488) 17:13: IP > domain: AAAA? (34) 17:13: IP > domain: A? ntest.nikkei.jp. (33) 2001:3e8::864:3740:0:dad8:1ea5 (483) 17:13: IP domain > : /13/0 (252) 17:13: IP domain > : /13/0 (250) 17:13: IP > domain: AAAA? ntest.nikkei.jp. (33) 17:13: IP domain > : /13/0 CNAME 17:13: IP domain > : /13/0 (249) sv03.shopbiz.jp. (262) 17:13: IP domain > : /13/13 AAAA 2001:3e8::864:3740:0:8a65:7e6 17:13: (486) IP domain > : /13/0 (242) 17:13: IP > domain: A? career.nikkei.co.jp. (37) 17:13: IP domain > : /13/13 CNAME 17:13: IP > domain: A? (36) 17:13: IP domain > : /13/13 AAAA 2001:3e8::864:3740:0:dad8:1ea5 (478) 17:13: IP domain > : /13/13 AAAA sv03.shopbiz.jp., AAAA 2001:3e8::864:3740:0:dad8:1255 (498) 17:13: IP > domain: AAAA? (36) 17:13: IP domain > : /13/0 (244) 2001:3e8::864:3740:0:8a65:72c (485) 17:13: IP > domain: A? sv03.shopbiz.jp. (33) 17:13: IP domain > : /13/0 (245) 17:13: IP > domain: A? veritas.nikkei.co.jp. (38) 17:13: IP > domain: AAAA? career.nikkei.co.jp. (37) 17:13: IP > domain: AAAA? sv03.shopbiz.jp. 17:13: IP domain > : /13/0 (247) 17:13: IP > domain: AAAA? veritas.nikkei.co.jp. (38) 17:13: IP > domain: A? cn.nikkei.com. (31) (33) 17:13: IP domain > : /13/13 AAAA 2001:3e8::864:3740:0:8a65:72b 17:13: (481) IP domain > : /13/13 AAAA 2001:3e8::864:3740:0:8a65:72c (480) 17:13: IP > domain: AAAA? cn.nikkei.com. (31) 17:13: IP domain > : /13/0 (244) 17:13: IP domain > : /13/13 AAAA 2001:3e8::864:3740:0:d308:9c6a 17:13: (483) IP > domain: A? (31) 17:13: IP domain > : /13/13 AAAA 17:13: IP domain > : /13/13 AAAA 2001:3e8::864:3740:0:cad6:ae62 (488) 17:13: IP > domain: A? (36) 17:13: IP > domain: AAAA? (31) 2001:3e8::864:3740:0:dad8:1255 (480) 17:13: IP domain > : /13/0 (252) 17:13: IP > domain: AAAA? (36) 17:13: IP domain > : /13/0 (242) 17:13: IP domain > : /13/13 AAAA 17:13: IP > domain: A? e.nikkei.com. (30) 17:13: IP domain > : /13/0 (247) 17:13: IP domain > : /13/13 AAAA 2001:3e8::864:3740:0:997f:e392 (478) 2001:3e8::864:3740:0:3b6a:3314 (480) 17:13: IP > domain: AAAA? e.nikkei.com. (30) 17:13: IP domain > : /13/13 AAAA 2001:3e8::864:3740:0:7c6e: :13: (483) IP > domain: A? js.revsci.net. (31) 17:13: IP domain > : /13/0 (244) 17:13: IP domain > : /13/0 (248) 17:13: IP domain > : /13/0 (247) 17:13: IP > domain: AAAA? js.revsci.net. (31) 17:13: IP > domain: A? static.ak.fbcdn.net. (37) 17:13: IP domain > : /13/13 AAAA 17:13: IP domain > : /13/13 AAAA 2001:3e8::864:3740:0:dad8:189b 17:13: (483) IP domain > : /13/0 (239) 17:13: IP > domain: AAAA? static.ak.fbcdn.net. 2001:3e8::864:3740:0:cb52:8ccc (484) 17:13: IP > domain: A? faq.nikkei.com. (32) 17:13: IP domain > : /13/13 AAAA 2001:3e8::864:3740:0:caee:973e (475) (37) 17:13: IP domain > : /13/0 (242) 17:13: IP > domain: AAAA? faq.nikkei.com. (32) 17:13: IP > domain: A? adweb.nikkei.co.jp. (36) 17:13: IP domain > : /13/0 CNAME static.ak.facebook.com.edgesuite.net., CNAME a749.dsw4.akamai.net. (323) 17:13: IP domain > : /13/13 AAAA 17:13: IP > domain: A? id.nikkei.com. (31) 17:13: IP > domain: AAAA? adweb.nikkei.co.jp. (36) 17:13: IP > domain: A? a749.dsw4.akamai.net. 2001:3e8::864:3740:0:dad5:5ea6 (478) 17:13: IP > domain: AAAA? id.nikkei.com. (31) 17:13: IP > domain: A? future-of-asia.nikkei.jp. (42) (38) 17:13: IP > domain: A? itpro.nikkeibp.co.jp. (38) 17:13: IP > domain: A? regist.nikkei.com. (35) 17:13: IP > domain: AAAA? future-of-asia.nikkei.jp. (42) 17:13: IP > domain: AAAA? 17:13: IP > domain: AAAA? itpro.nikkeibp.co.jp. (38) 17:13: IP > domain: AAAA? regist.nikkei.com. (35) 17:13: IP domain > : /13/0 (249) a749.dsw4.akamai.net. (38) 17:13: IP > domain: A? kenplatz.nikkeibp.co.jp. (41) 17:13: IP domain > : /13/0 (242) 17:13: IP domain > : /13/13 AAAA 2001:3e8::864:3740:0:8a65:72c (485) 17:13: IP domain > : /13/8 CNAME 17:13: IP > domain: AAAA? kenplatz.nikkeibp.co.jp. (41) 17:13: IP domain > : /13/13 AAAA 2001:3e8::864:3740:0:8a65:6a0 17:13: (478) IP > domain: A? reprint.nikkei.co.jp. (38) static.ak.facebook.com.edgesuite.net., CNAME a749.dsw4.akamai.net., AAAA 17:13: IP domain > : /13/0 (241) 17:13: IP domain > : /13/0 (243) 17:13: IP > domain: AAAA? reprint.nikkei.co.jp. (38) 2600:1406:1::addf:e8a2, AAAA 2600:1406:1::addf:e882 (507) 17:13: IP domain > : /13/13 AAAA 17:13: IP domain > : /13/13 AAAA 2001:3e8::864:3740:0:8a65:693 17:13: (482) IP domain > : /13/0 (253) 17:13: IP domain > : /13/0 (246) 2001:3e8::864:3740:0:8a65:d8de (477) 17:13: IP domain > : /13/13 AAAA 2001:3e8::864:3740:0:7c92:aa7a 17:13: (479) IP domain > : /13/0 (247) 17:13: IP domain > : /13/13 AAAA 17:13: IP > domain: A? pc.nikkeibp.co.jp. (35) 17:13: IP domain > : /13/0 (246) 17:13: IP domain > : /13/13 AAAA 2001:3e8::864:3740:0:dad8:1ea5 (489) 2600:1406:1::addf:e882, AAAA 2600:1406:1::addf:e8a2 (510) 17:13: IP > domain: AAAA? pc.nikkeibp.co.jp. (35) 17:13: IP > domain: A? star.c10r.facebook.com. (40) 17:13: IP domain > : /13/13 AAAA 2001:3e8::864:3740:0:dad8:1894 (483) 17:13: IP > domain: A? pd0.pix-geo.revsci.net. 17:13: IP domain > : /13/0 (249) (40) 17:13: IP > domain: AAAA? star.c10r.facebook.com. (40) 17:13: IP domain > : /13/11 CNAME pix-geo.revsci.net., CNAME amnorth1.pix-geo.revsci.net., CNAME pd0.pix-geo.revsci.net., AAAA 2001:3e8::864:3740:0:cebf:a8aa (507) 17:13: IP domain > : /13/13 AAAA 17:13: IP domain > : /13/0 (251) 17:13: IP domain > : /13/0 (248) 2001:3e8::864:3740:0:cad6:ae58 (485) 17:13: IP domain > : /13/13 AAAA 2a03:2880:10:1f02:face:b00c::8 17:13: (487) IP domain > : /13/0 CNAME pix-geo.revsci.net., CNAME am-north1.pixgeo.revsci.net., CNAME pd0.pix-geo.revsci.net. (303) 17:13: IP > domain: AAAA? view.atdmt.com. 17:13: IP > domain: A? view.atdmt.com. (32) 17:13: IP > domain: A? store.nikkei.com. (34) 17:13: IP > domain: A? twitter.com. (29) 17:13: IP > domain: AAAA? store.nikkei.com. (34) (32) 17:13: IP > domain: AAAA? twitter.com. (29) 17:13: IP domain > : /13/0 (252) 17:13: IP domain > : /13/12 CNAME 17:13: IP domain > : /13/11 AAAA 2001:3e8::864:3740:0:c73b:9607, AAAA view.atdmt.com.nsatc.net., AAAA 2001:3e8::864:3740:0:cf2e:c1b3 (498) 17:13: IP domain > : /13/13 AAAA 2001:3e8::864:3740:0:c73b:9627, AAAA 2001:3e8::864:3740:0:c73b:9452 (500) 2001:3e8::864:3740:0:dad8:191f (488) 17:13: IP domain > : /13/0 CNAME view.atdmt.com.nsatc.net. (278) 17:13: IP > domain: A? sumai.nikkei.co.jp. (36) 17:13: IP > domain: A? pix04.revsci.net. (34) 17:13: IP > domain: AAAA? sumai.nikkei.co.jp. (36) 17:13: IP > domain: AAAA? pix04.revsci.net. 17:13: IP domain > : /13/0 (246) (34) 17:13: IP domain > : /13/13 AAAA 17:13: IP domain > : /13/0 CNAME pixgeo.revsci.net., CNAME am-north1.pix-geo.revsci.net., CNAME pd0.pix-geo.revsci.net. (306) 2001:3e8::864:3740:0:cad6:ae76 (482) 17:13: IP > domain: A? techon.nikkeibp.co.jp. (39) 17:13: IP domain > : /13/11 CNAME pixgeo.revsci.net., CNAME am-north1.pix-geo.revsci.net., CNAME pd0.pix-geo.revsci.net., AAAA 17:13: IP > domain: AAAA? techon.nikkeibp.co.jp. (39) 17:13: IP domain > : /13/0 (245) 2001:3e8::864:3740:0:cebf:a8aa (510) 17:13: IP domain > : /13/13 AAAA 2001:3e8::864:3740:0:8a65:d864 (481) 17:13: IP domain > : /13/0 (247) 17:13: IP domain > : /13/13 AAAA 2001:3e8::864:3740:0:8a65:72c (483) 17:13: IP > domain: A? tenshoku.nikkei.co.jp. (39) 17:13: IP domain > : /13/0 (240) 1 つのサイトだけでもこれだけの query が出る ブラウザを立ち上げ時はものすごい量 (DNS プリフェッチの影響はすごい ) 117:13: IP > domain: A? t21.nikkei.co.jp. (34) 17:13: IP > domain: A? nikkei.112.2o7.net. (36) 17:13: IP > domain: AAAA? nikkei.112.2o7.net. (36) 17:13: IP domain > : /13/0 (244) 17:13: IP domain > : /0/0 AAAA 2001:3e8::864:3740:0:42eb:8a2c, AAAA 2001:3e8::864:3740:0:42eb:850e, AAAA 2001:3e8::864:3740:0:42eb:8476, AAAA 2001:3e8::864:3740:0:42eb:8a12, AAAA 2001:3e8::864:3740:0:42eb:84e8, AAAA 2001:3e8::864:3740:0:42eb:8bb4, AAAA 2001:3e8::864:3740:0:42eb:8521, AAAA 2001:3e8::864:3740:0:42eb:8a3b, AAAA 2001:3e8::864:3740:0:42eb:8b98, AAAA 2001:3e8::864:3740:0:42eb:8b76, AAAA 2001:3e8::864:3740:0:42eb:8b79, AAAA 2001:3e8::864:3740:0:42eb:8a02, AAAA 2001:3e8::864:3740:0:42eb:8498, AAAA 2001:3e8::864:3740:0:42eb:8479, AAAA 2001:3e8::864:3740:0:42eb:850b, AAAA 2001:3e8::864:3740:0:42eb:8ba6, AAAA 2001:3e8::864:3740:0:42eb:8b6e (512) 17:13: IP > domain: A? r.twimg.com. (29) 17:13: IP > domain: AAAA? r.twimg.com. (29) 17:13: IP domain > : /13/0 (240) 17:13: IP domain > : /13/11 AAAA 2001:3e8::864:3740:0:c73b:960c, AAAA 2001:3e8::864:3740:0:c73b:962b, AAAA 2001:3e8::864:3740:0:c73b:9456 (500) 17:13: IP > domain: A? view.atdmt.com.nsatc.net. (42) 17:13: IP domain > : /13/0 (250) 17:13: IP > domain: 684+ AAAA? e3191.c.akamaiedge.net. (40) 70 17:13: IP domain > : 684 1/13/13 AAAA 2001:3e8::864:3740:0:b855:6d0f (484)

71 内容 トラフィック動向 ルーティング動向 DNS 動向 セキュリティ動向 日本や世界のIX 動向 まとめ 71

72 2013 年セキュリティ動向 オープンリゾルバを利用した大規模なサイバー攻撃 :3 月 Spamhaus/CloudFlare が攻撃目標に (300Gbps 超 ) 欧州の主要 IX(AMS-IX, DE-CIX, LINX) も通信品質劣化などの影響を受けた 以降 様々なサイトに対して同様の手法により攻撃が多数観測 サイバー攻撃予告 / 予兆 :9 月 満州事変を背景とするサイバー攻撃が毎年何らか発生しているが大規模な被害はなかった模様 フィッシング攻撃 大手銀行や大手通信事業者を狙ったフィッシングサイトが相変わらず多い 経路消失 のっとり事件 中東情勢の影響で中東各国の経路が消失 北朝鮮の経路も一時消失 故意に経路ハイジャックが不定期に行われている MITM 攻撃の脅威が顕在化 官民連携のマルウェア対策支援プロジェクト ACTIVE が開始 72

73 2013 年のフィッシング事情 銀行 通信事業者のポータルサイト ゲームサイトなど アカウント情報を管理している様々な企業を狙うケースが多発 フィッシング対策協議会より : 73

74 最近の事例 (2013/11/18): 東京三菱 UFJ 銀行を騙るフィッシング フィッシング対策協議会より : 74

75 最近の事例 : 東京三菱 UJF を騙るフィッシング 本物 偽物 フィッシング対策協議会より : 75

76 待ち受け型ハニーポットの観測状況 非公開 76

77 サンドボックス解析によるマルウェアの通信先 非公開 77

78 経路消失事件 3 月 : 北朝鮮 8 月 : ミャンマー 9 月 : スーダン 北朝鮮 : 4Prefix が 2 時間程度 Withdrawn 状態に 反政府運動を阻止するためにネットを遮断する動きが目立っている Source: 78

79 主な不正経路広報 のっとり事案 2013/01:Dream Host 問題 2013/03:Spamhouse Route Hijack 2013/06: 米国の複数銀行サイトが狙われた 2013/08: 中国 CNNIC 運営のDNScacheサーバが停止 日々のっとりや不正経路広報が行われているのが実情 79

80 MITM from nenesys report 2013 年 60 日程度 MITM 攻撃状態があった 少なくとも一人 (IP/Prefix) 以上が影響を受けた都市が 150 に上る 一見問題なさそうに見えるところが問題 Source: 80

81 Ex1: Belarusian Traffic Diversion 2013/02 2,3 分のものから数時間のものまでいろいろ 金融機関 政府機関 ISPなどが狙われている US 韓国 ドイツ チェコ リトアニア リビア イラン Source: 81

82 Ex2: Icelandic Traffic Diversion 2013/07 ベラルーシの事件が2ヶ月何もなくおとなしくなっていた後に発生 USのVoiceトラフィックが影響をうけた模様 Source: 82

83 2012/ 年の中国による米国経路乗っ取りに関する詳細レポートが publish 程度の Prefix が影響を受けていた 約 15 分程度の短い時間 US の重要機関等が標的になった模様 83

84 RPKI による Origin Validation DFZ 上での不正経路を排除 Cisco, Juniper でも順次正式にコードがリリース 徐々に普及が進んでいるが まだまだ課題は多い ROA 情報の登録者 ( アドレスホルダー?) ルーティングシステム全体への影響 意図せず invalid になってしまうケースが発生しうる トラストアンカーの構造 (5RIR?) JPNIC を中心とした実証環境も本格展開の予定 コンフィグ コマンド等の参考例 RPKI Dashboard による普及状況の観測 ( 84

85 RPKI Dashboard 85

86 内容 トラフィック動向 ルーティング動向 DNS 動向 セキュリティ動向 日本や世界のIX 動向 まとめ 86

87 日本のIX トラフィックの推移 東西 ピーク値 G 東 西 合計 87

88 日本の IX トラフィックの推移 G ピーク値 東 dix-ie 東 JPIX 大手町東 JPNAP 東京西 NSPIXP3 西 JPIX 大阪西 JPNAP 大阪 dix-ie, NSPIXP3, JPIX 大阪は推定値 88

89 4 Major IXs AMS-IX LINX DE-CIX MSK-IX 89

90 AMS-IX IX のアドレスを /21 から /20 へ検討中 ピークは 20 時 ~21 時頃 夏以降増加 ( 例年同様 ) 90

91 AMS-IX : IPv6 昨年より 2~3 倍程度増加 6 月以降増加しているように見える 91

92 LINX 92

93 DE-CIX 15 seconds average で sflow データを元に描画 93

94 MSK-IX 94

95 Market share of vendors among EU IXPs within the Euro-IX Membership (%) 95

96 Route server daemons in use within the Euro-IX Membership (%) 96

97 トラフィック動向 2013 年のまとめ 顕著に増加 スマホ等のモバイルトラフィックが継続的に増加 ( 年 1.7 倍 ) 急激なトラフィックの増減も観測 モバイルトラフィックは注意点も異なる ルーティング動向 枯渇後も IPv4 は依然増加 IPv6 も単調増加 2byteAS 番号は残り 500AS 2014 年に IANA プールの枯渇が予想される DNS 動向 オープンリゾルバ問題と共に解決に向けた取り組みが積極的に Bind 祭り等のセキュリティアップデートが相変わらず発生 セキュリティ動向 国際情勢に関わるサイバー攻撃は今年も確認された フィッシングサイト等には引き続き注意が必要 日本や世界の IX 動向 増加率はそれほど大きな差はないが規模は世界の IX が約 5 倍程度 IPv6 通信量はまだ 1% 未満 これからの動向に注目 97