_JANOG_BOF_これからのDDoS攻撃対策_pub.pptx

Transcription

1 増え続ける DDoS 攻撃に対抗するために事業者間で協 してできること ( 公開版 ) JANOG38 Day1 BoF 2016 年 7 6

2 紹介 n 2006 年 NTT コミュニケーションズ 社 OCN アクセス系ネットワークの設計 規模 ISP 保守運 サービス担当 n 現在 研究開発部 にて DDoS 対策ソリューション関連技術およびデータ解析技術開発と IETF 提案活動に従事 n 2015 ISOC-JP プログラムチェア JANOG 活動履歴 JANOG28 実 委員 JANOG30 会場運営委員 JANOG32 HTTP 2.0 のインパクト 登壇 2

3 はじめに 3

4 DoS 攻撃 /DDoS 攻撃 DoS(Denial of Service) 攻撃 Internet attack サービス提供不可 1:1 DDoS(Distributed Denial of Service) 攻撃 bot bot botnet bot bot Internet attack サービス提供不可 bot bot bot 複数の攻撃元攻撃量も増加 多 :1 4

5 攻撃 法と影響 攻撃 法により 影響箇所は異なる ネットワーク帯域 NW サーバリソース アプリケーション お客さま インターネット 量的攻撃 不正セッション攻撃 アプリケーション攻撃 DNS/NTP サーバ リフレクション攻撃等 SYN flood 攻撃等 Get Flood 攻撃等 攻撃者 被害者 300Gbps 量トラフィック で回線を埋める Session Table full セッションを い潰す Resource full サーバリソースを消費する 5

6 DDoS 防御 法と効果 ü 防御ポイント 量的 不正セッション CDN インターネット Scrubbing Center 量的 不正セッション アプリケーション アプリケーション攻撃は防げない アクセス回線 アプリケーション攻撃には不完全 Mitigation Box 不正セッション アプリケーション 量的攻撃は防げない Customer Site 6

7 規模 DDoS 攻撃の事例 時 継続時間 攻撃対象 影響内容 2014 年 間 セガ ファンタシース ターオンライン2 当該期間は サービス停 6 27 から 次サービスを再開 2014 年 6 数時間 Evernote 400Gbps 以上のDDoS 攻撃を受け サービスに 障が出た 銭要求 2014 年 6 半 Feedly Evernoteとほぼ同時にDDoS 攻撃を受け サービス停 銭要求 国 ISP の協 により サービス復旧 2014 年 8 数時間 PlayStation Network ネットワークに接続障害 サービス利 停 2014 年 12 不明 北朝鮮 (STAR-KP) 9 時間半にわたり北朝鮮がインターネットから孤 2015 年 3 6 間以上 Greatfire.org 2.6B/h( 通常の 2500 倍 ) の接続要求が発 サービス停 2015 年 3 4 以上 Github 改竄された第三者 Webサイトから2 秒毎にGithubへ 量アクセ スが発 攻撃が繰り返され 都度対策を実施 2015 年 5 1 時間 FX プライム by GMO ネットバンキングに接続しつらい状況 銭要求 2015 年 6 約 2 時間 セブン銀 DD4BCから攻撃を受けダイレクトバンキングサービスの利 が困難に ビットコインでの 払い要求あり 2015 年 8 約 3 時間 ゲーム Dota2 の世界 会 賞 総額 1800 万ドルの世界 会 The International 2015 に DDoS 攻撃が発 約 3 時間試合中 2016 年 1 5 間以上 産 動 国際的ハッカー集団アノニマスによるDDoS 攻撃により Web サイトが全 停 ( 捕鯨への抗議のため ) ( 公開情報から NTT コム調べ ) 7

8 DDoS 攻撃の傾向 8

9 DDoS 攻撃対象 企業ネットワークにおける脅威として Internet 接続部の輻輳が 1 位 DDoS 攻撃 攻撃元 インターネット 輻輳 アクセス回線 Worldwide Infrastructure Security Report 2016, Arbornetworks based on a survey comprised of 172 free-form and multiple choice questions Customer Site 9

10 DDoS 攻撃 法の傾向 1/2 ü 攻撃タイプ毎の割合 アクセス回線を埋めるため 上流 ISP での対策が必要 量的 不正セッション アプリケーション 量的攻撃が全体の 2/3 を占める Worldwide Infrastructure Security Report 2016, Arbornetworks based on a survey comprised of 172 free-form and multiple choice questions 10

11 DDoS 攻撃 法の傾向 2/2 リフレクション攻撃 よく いられている攻撃 法 量的攻撃 CHARGET,DNS,NTP,SSDP 等使われるプロトコル間での増減があるが リフレクション攻撃は増加傾向にある セキュリティ対策が弱い傾向にある IoT デバイスの増加もリフレクション攻撃増加の 因 UDP fragment が UDP Flood より多いが UDP ベースの DNS CHARGEN の攻撃による ( ペイロードサイズが 1500byte 以上 ) と考えられる アプリケーションレイヤ攻撃 HTTP GET が引き続き主要な攻撃 法として利 されている akamai s [ state of the internet]/ security Q report 11

12 DDoS 攻撃の傾向 1999 SANS が最初のボットネットを発見 2000 ebay Yahoo! CNN に DDoS 攻撃 スパム業者によるボットネット利用 協調した DDoS プロキシ攻撃が流行 2007 エストニアのインターネット インフラストラクチャへの大規模攻撃 2008 ロシアがジョージア州政府の Web サイトに対する DDoS 攻撃で非難 2010 Visa や Paypal に対する Wikileaks Operation Payback 攻撃 2013 スパム攻撃ブロックリスト Spamhaus への攻撃 2012 DDoS が US の銀行の対する主要な攻撃手法になる 攻撃サイズ 170Gbps 攻撃サイズ 300Gbps 2014 NTP サーバ機能を踏台にした DDoS 攻撃攻撃サイズ 400Gbps 2006 Habbo Web サイトへのアノニマス DDoS 攻撃 2011 アノニマスと LulzSec で LOIC( 攻撃ツール ) が有名になる 2014 より大容量化する DDoS 攻撃 : 最大 400Gbps A10 Networks, Inc. 12

13 マルチベクタ化する DDoS 攻撃 攻撃者は 攻撃対象サーバをモニタリングし 攻撃の有効性を常時確認 攻撃対策によりサーバが復活すると 攻撃種類を変える 対策不能な攻撃が 1 種類でもあると サーバのサービス不能状態が続く 13

14 攻撃の理由は 恐喝が上位 DDoS 攻撃の 的 恐喝 Worldwide Infrastructure Security Report 2016, Arbornetworks based on a survey comprised of 172 free-form and multiple choice questions 14

15 DDoS 対策 法 15

16 DDoS 対策 検知 フロー監視 インライン監視 サービス監視 申告 防御 遮断 設備増強 緩和 検知と防御でそれぞれの 法があり どのように組み合わせるかが重要 16

17 DDoS 検知 法 Netflow Firewall Log SNMP が継続的に上位に位置 DPI が増加し SNMP と同率 Worldwide Infrastructure Security Report 2016, Arbornetworks based on a survey comprised of 172 free-form and multiple choice questions 17

18 検知 法フロー監視 vs パケット監視 DDoS 攻撃 ISP フローデータ ( サンプリング ) パケット監視 フロー監視 フロー監視 (Netflow/sFlow) ルータから受信したフローデータを いて異常監視 アウトラインに設置 網全体のトラフィックを集中監視 フローデータは送受信 IP アドレス プロトコルなど IP ヘッダ内の情報 不正侵 監視 ウイルス監視等には向かない 量トラフィックの DDoS 攻撃を集中監視し 網全体の分析 対策に有効 パケット監視 (DPI) インラインに設置 全 IP パケットの内容 ( ペイロード ) を てウイルス等を監視 ミリ秒 秒単位で検知 対策 インラインなので 装置の信頼性が必要 DC/Cloud 不正侵 監視 規模 DDoS 攻撃 セッション占有攻撃監視に有効 回線帯域を埋められる攻撃には対処不能 規模攻撃で全断 18

19 防御 法の違い 緩和 攻撃のみ遮断 正常通信は通す 設備増強 通信はできるが 攻撃も受け続ける 遮断正常通信も含めて全ての通信が まる より インテリジェンスな防御 緩和 設備増強 遮断 アクセス回線 アクセス回線 アクセス回線 被害者 被害者 被害者 Customer Site Customer Site Customer Site 正規ユーザに対するサーバの可 性を確保 19

20 DDoS 防御 法 DDoS Mitigation 装置 ACL Firewall Blackhole Routing が中 増加が つ 法としては BGPFlowSpec(9%à19%) 緩和 遮断 遮断 遮断 遮断 増設 緩和 遮断 緩和 増設 Worldwide Infrastructure Security Report 2016, Arbornetworks based on a survey comprised of 172 free-form and multiple choice questions 20

21 DDoS防御 法-Mitigation装置DDoS攻撃 攻撃元 ACL Blackhole 緩和 増設 遮断 Arbor TMS/APS Radware Defense Pro A10 TPS scrubbing center Mitigation装置 ロードバランサ WAF Internet アクセス回線 pdf/defensepro_4p_1206.pdf ACL pdf/15101-ja-01.pdf Firewall dm_documents/ds_pravail_ja.pdf Mitigation装置 IPS ロードバランサ WAF 対処箇所は クラウドおよびオンプレミス オンプレミスの場合 量攻撃時に効果が期待できない Akamai(Prolexic)等が提供しているDDoS防御サービス も同様なDDoS防御 法と なせる Customer Site Copyright NTT Communications Corporation. All right reserved. 21

22 DDoS 防御 法 -Mitigation 装置 -2 緩和 増設 遮断 n DDoS 攻撃緩和装置 パケットレベルの解析により 攻撃トラフィックのみを識別して阻 する で 正常な業務トラフィックは透過するため 業務を妨げることなく防御が可能 < イメージ図 > DDoS 攻撃 通常トラフィック 異常トラフィック DDoS 攻撃 緩和装置 不正パケット Drop BlackList/WhiteList ZombieDetection TCP connection reset 22

23 DDoS 防御 法 -IPS- 緩和 増設 遮断 DDoS 攻撃 攻撃元 ACL Blackhole scrubbing center Mitigation 装置 ロードバランサ WAF Internet アクセス回線 ACL 対処箇所は オンプレミス # 量攻撃時にはボトルネックになる IPS には TCP SYN Flood 攻撃などの 部の DoS 攻撃 法を検出し廃棄する機能を持つ製品がある 使 している IPS が検出可能な攻撃で パケット数やセッション数等で機器性能内であれば IPS で不正パケットを廃棄することでサービスの継続が可能 Firewall Mitigation 装置 IPS ロードバランサ WAF Customer Site 23

24 DDoS 防御 法 -WAF- 緩和 増設 遮断 DDoS 攻撃 攻撃元 ACL Blackhole scrubbing center Mitigation 装置 ロードバランサ WAF 対処箇所は クラウドおよびオンプレミス # 量攻撃時にはボトルネックになる Web サーバに特化した DoS 攻撃も出現していることから TCP SYN Flood 攻撃から Slow DoS 攻撃のような TCP コネクションに関わるリソースを占有する攻撃に対策可能な製品が存在 Internet アクセス回線 ACL Firewall Mitigation 装置 IPS ロードバランサ WAF Customer Site 24

25 DDoS 防御 法 - ロードバランサ - 緩和 増設 遮断 DDoS 攻撃 攻撃元 ACL Blackhole scrubbing center Mitigation 装置 ロードバランサ WAF Internet アクセス回線 ACL 対処箇所は クラウドおよびオンプレミス トラフィックを負荷分散させることで 不正パケットに対するサーバ負荷を分散し サービスの継続が可能 負荷分散の 段としては CDN(Content Delivery Network) IP Anycast も同様に 不正パケットに対するサーバ負荷を分散し サービスの継続が可能 CDNサーバ CDN サーバ Web サーバ IP アドレス =X IP アドレス =X Firewall Mitigation 装置 IPS ロードバランサ WAF 同一のコンテンツを CDN サーバに配信 CDN サーバ ユーザから見てネットワーク的に近い CDN サーバに誘導 CDN によるトラフィック分散 IP アドレス =X サーバが一つの IP アドレスを共有 IP Anycast によるトラフィック誘導 Customer Site 25

26 DDoS 防御 法 -ACL- 緩和 増設 遮断 攻撃元 ACL Blackhole scrubbing center Mitigation 正常パケット不正パケット 共に疎通 X ロードバランサ WAF Internet Filter 特定の送信元や特定の宛先ポートの通信をフィルタリング アクセス回線 ACL Firewall Mitigation 装置 IPS ロードバランサ WAF 正常トラフィック 不正トラフィック 正常トラフィック 不正トラフィック Customer Site 26

27 DDoS 防御 法 -Firewall- 緩和 増設 遮断 DDoS 攻撃 攻撃元 ACL Blackhole scrubbing center Mitigation 装置 ロードバランサ WAF 通常の Firewall は DDoS 攻撃防御には不 分 DDoS 攻撃は Firewall で許可されたプロトコル ポート番号を いて実 される さらに 下図で すように サーバやアクセス回線と同様に Firewall 体が DDoS 攻撃対象になっている DDoS 攻撃パケットで Firewall のフィルター処理負荷を上げられ Firewall ダウンによりサイト全断する事例が発 している Internet アクセス回線 ACL Firewall Mitigation 装置 IPS ロードバランサ WAF 2013 Global Application and Network Security Report, Radware Customer Site 27

28 DDoS 防御 法 -Blackhole Routing- 緩和 増設 遮断 攻撃元 ACL Blackhole ISP y.y.y.0/24 ISP ISP Dst NH a.a.a.a null0 Dst NH a.a.a.a null0 scrubbing center Mitigaiotn 装置 Dst NH a.a.a.a null0 x.x.x.x a.a.a.a x.x.x.x a.a.a.a ロードバランサ x.x.x.x a.a.a.a WAF Internet x.x.x.x/32 の NH=a.a.a.a となるように経路広告 アクセス回線 ACL Firewall Mitigation 装置 IPS ロードバランサ 宛先 IP アドレス向けトラヒックを廃棄 x.x.x.x/32 w/ BH community WAF Customer Site 28

29 Selective RTBH 全網内でブラックホール化するのではなく 地域ごとや国ごとなどの特定エリアのルータでのみパケットを破棄する 海外からのトラフィックのみブラックホールしたい場合などの利 法が考えられる 例 ) ntt.net Selective Blackhole communities 2914:661 only blackhole inside the region the announcement originated 2914:663 only blackhole inside the country the announcement originated 2914:660 only blackhole outside the region the announcement originated 2914:664 only blackhole outside the country the announcement originated 29

30 DDoS 対策サービス 30

31 Cloud 型 DDoS 防御サービス引込 + 戻し 般的な 法 インフラ防御 scrubbing center Mitigation Box Mitigation Box Mitigation 装置 ISP/ DDoS VPN を利 した戻しお客さまサイトと事業者間で VPN(GRE 等 ) 専 線を張る BGP を利 した引込お客さまセグメントの BGP 経路広告 お客さまセグメント宛て通信 Internet DNS を利 した引込 お客さまホスト名に紐づく IP アドレスを変更 ISP/ DDoS サーバ防御 scrubbing center Mitigation Box Mitigation Box Mitigation 装置 NAT/ PROXY NAT/PROXY を利 した戻し宛先アドレスをお客さまアドレスに変換して戻す お客さまネットワークセグメント (/24) お客さまホスト Customer 31 Site

32 DDoS 防御サービスのいろいろ Type of Attacks 攻撃対象 攻撃例 防御サーヒ ス 事業者 NW 引込 戻し 防御ホ イント 防御提供 式 法 Volume 量的攻撃 不正セッション攻撃 ネットワーク帯域 Saturate Bandwidth サーバー群 ( サーハ ー Fireawall LoadBlancer 等 ) UDP floods, ICMP floods Spoofed packet floods SYN floods, fragmented packet attack, Ping of Death, SmurfDDoS 事業者 NW 顧客 Site 事業者 NW 顧客 Site Cloud 型 mitigation Cloud 型 WAF auto-scaling (CDN,VM,DNS) acl/null-route * 顧客サイトでの防御困難 Cloud 型 mitigation Cloud 型 WAF オンフ レ WAF IPS オンフ レ Mitigation 引込 BGP DNS IP 割当 戻し GRE NAT Proxy CDN 専 線 x-connect Sophistication アフ リケーションレイヤ攻撃 サーバーアプリケーション Slowloris, HTTP flood, DNS dictionary, Zero-day DDoS 事業者 NW 顧客 Site Cloud 型 *mitigation Cloud 側 *WAF * 対称ルート環境下で シク ネチャヘ ース対応に制限有 オンフ レ WAF IPS オンフ レ Mitigation 装置 クラウト 型 : ユーサ オンフ レではなく ISP DDoS 防御サーヒ ス事業者等の事業者ネットワーク内に配置した設備で防御を提供するサーヒ ス形態 32

33 ディスカッションパート 33

34 アイスブレイク n BoF に参加いただきありがとうございます n DDoS 対策を提供している? n DDoS 対策を利 している? 34

35 1. 今あるサービスについて 35

36 今あるサービスについて 1. RTBH(Remote Triggered blackhole) 2. ACL 3. 増設による対策 (CDN 等 ) 4. クラウド型 DDoS 対策 ( 緩和サービス ) 提供者側から て 利 者から て メリット / デメリットや要望についてのコメントはありますか? 36

37 2. 事業者間の連携について 37

38 IETF93 DOTS WG 38

39 IETF における標準化の営み n DDoS Open Threat Signaling (dots) WG n DDoS 対策を効率的に実現するために DDoS に関連した情報のリアルタイムでのシグナリングを規格化する n 的 DDoS 対策の 動化 ベンダ独 なソリューションからの開放 防御システム同 の連携による対策の 規模化 39

40 セキュリティオートメーション技術概観 第 2 回 IETF 勉強会 NICT 橋健志 スライドより 40

41 DOTS プロトコルの基本構成 (3) DOTS Server (5) Provider (4) (1) 攻撃緩和システム A;ackers DDoS 1) DDoS 防御サービスへの登録 2) 攻撃検知 3) DOTS Signaling DOTS プロトコル DOTS クライアントから DOTS サーバへのシグナリングにより 攻撃情報を提供者に通知し防御を依頼 DOTS Client (2) Customer 4) DDoS 攻撃緩和 5) DOTS Signaling 被害者 DOTS サーバから DOTS クライアントへの攻撃 / 対策状況の通知 41

42 Inter-domain usecase1: Single-home model 発表時スライド A;ackers Provider DOTS Server Domain B DOTS signaling (A;ack telemetry) DDoS MiHgators LegiHmate traffic Customer DOTS Client Domain A VicHm

43 Inter-domain usecase2: MulH-home model 発表時スライド A;ackers A;ackers Domain B Domain C DOTS Server DDoS MiHgators DDoS MiHgators DOTS Server Provider Customer DOTS signaling (A;ack telemetry) VicHm Domain A DOTS Client DOTS signaling (A;ack telemetry)

44 Inter-domain usecase3: DelegaHon model 発表時スライド A;ackers Provider DOTS Server Domain C MiHgators Provider DOTS Client/Server Domain B MiHgators DDoS Customer DOTS Client Domain A VicHm

45 事業者間の連携について 1. 利 者と提供者の連携 (customer-to-provider) 仕様の統 は必要だと思いますか どのようにしたらより上 く連携できますか 2. 提供者間の連携 (provider-to-provider) 必要だと思いますか 必要だとしたらどのような形が考えられますか 45

46 3. DDoS 攻撃 / 対策の今後について 46

47 DDoS 攻撃 / 対策の今後について 1. DDoS 攻撃はいつまで続くのか 防御側不利の状況はいつまで 2. 今後のあるべき対策 対策 法への理解は 分か DDoS 対策のコストと仕様は 合っているのか 3. DDoS 対策事業者への期待 SOCなどマネジメントの充実 コスト / 競合環境 Scrubbing centerの場所 仕様の統 47