_Janog37.pptx

Size: px

Start display at page:

Download "_Janog37.pptx"

ゆりかふじた
5 years ago
Views:

1 DDoS 対策に関するテスト話 :00 ~ 17:30 JANOG37 meeting BoF, どんなテストしてる? ( 続 ) NTT コミュニケーションズ技術開発部池田賢斗

2 自己紹介 n 2014 年年 NTT コミュニケーションズ入社 n DDoS 対策ソリューションの開発や xflow 関連技術の開発に従事 n JANOG33 ( 学生時代 ) JANOG36 のスタッフ活動 n wakamonog の運営委員 2

前回の BoF での小岩さんの発表資料料 http://www.janog.gr.

3 前回の BoF での小岩さんの発表資料料 file/view/166/196 本発表ではこの部分に関する実例例を共有し Bof のネタ提供ができればと思います 3

4 DDoS 軽減専用装置の検証実例例 n 今回ご紹介する PJ の主な目的複数の DDoS 軽減専用装置に対して横並び検証を実施することで各製品毎の弱み強みを評価し商用サービスへの製品選定時の参考情報とする Ø 商用サービスへの導入のための検証ではないことをご留留意ください複数の DDoS 軽減専用装置の API に関する検証を行行い DDoS 防御オーケストレータシステムの開発を行行なう DDoS 防御オーケストレータシステムについて < 開発したシステムを実網上に構築し複数企業でトライアルを実施する 4

( 参考 )DDoS テストベッドトライアルを実施中 ISP A 社トライアル利利用企業正常通信のみ透過フローデータ 1

自の経路路制御技術 DDoS 攻撃を GIN/OCN に引き込み一元的に防御 2 適切切な防御手段の選択

DDoS 攻撃が可能利利用企業が自ら試験シナリオを作成実行行し有効性を評価トライアル利利用企業ご担当者

5 ( 参考 )DDoS テストベッドトライアルを実施中 ISP A 社トライアル利利用企業正常通信のみ透過フローデータ 1 GIN/OCN 2 疑似 DDoS 攻撃 3 DDoS 防御オーケストレータ 3 つの特徴 1NTT Com 独自の経路路制御技術 DDoS 攻撃を GIN/OCN に引き込み一元的に防御 2 適切切な防御手段の選択マネジメントポータルから状況に応じた防御手段を選択 3 擬似攻撃発生による試験実施トライアル利利用企業が自社への擬似 DDoS 攻撃が可能利利用企業が自ら試験シナリオを作成実行行し有効性を評価トライアル利利用企業ご担当者セキュリティ機器ベンダ提供の DDoS 緩和装置 Copyright NTT Communications Corporation. All rights reserved. 5

6 DDoS 対策に関する事前知識識の共有 6

(Botnet) 1 攻撃命令令インターネット上の数十万規模のゾンビ PC(Botnet) を遠隔操作し WEB サーバ等に攻撃を仕掛ける 2 攻撃パケット送信ゾンビ PC(Botnet) から特定サイト ( サーバ ) への大量量のパケット送信

7 DDoS 攻撃とは DDoS 攻撃とは DDoS(Distributed Denial of Service: 分散サービス妨害 ) 攻撃はインターネット上に存在する大量量のコンピュータから一斉に特定サイト (WEB サーバなど ) や企業のネットワークへ不不正パケットを送出しサーバ / システム負荷ネットワーク輻輻輳を招きサービスを停止させてしまう攻撃ですここ数年年で DDoS 攻撃が大規模化複雑化しており事前のセキュリティ対策が不不可欠になりつつありますゾンビ PC 群 (Botnet) 1 攻撃命令令インターネット上の数十万規模のゾンビ PC(Botnet) を遠隔操作し WEB サーバ等に攻撃を仕掛ける 2 攻撃パケット送信ゾンビ PC(Botnet) から特定サイト ( サーバ ) への大量量のパケット送信 Network Congestion 3DDoS 被害の発生 DDoS 攻撃対象となったサイトではサーバ高負荷 (FW/IDS/IPS 等も含む ) NW 輻輻輳が発生してサービスやネットワークがダウン IDS/IPS Down 7 FW/IDS/IPS サーバ群 Server Down

8 DDoS 防御のトレードオフ n DDoS 対策において精度度 - 費用間のトレードオフが存在する n DDoS 防御の精度度 False positive: 通常トラフィックを誤って攻撃トラフィックと判断して遮断してしまうこと False negative: 攻撃トラフィックを誤って通常トラフィックと判断して通してしまうこと手法特徴巻込費用 1 ブラックホールルーティング 2 アクセス制御設定 3 DDoS 軽減専用装置大規模アタックに対する対処特定 IP 宛の全てのトラフィックを全て破棄ルータ等における ACL 設定にて IP+Port の組み合わせでパケットを破棄きめ細やかな DDoS 対処が可能 DDoS 軽減専用装置にトラフィックを通して防御実施 8

9 n 主な構成 DDoS 軽減専用装置を利利用した防御 Internet- side DDoS 攻撃 DDoS 攻撃正常通信正常通信 customer- side flow BGP GRENW DDoS flow DDoS DDoS 構成によって使用できない機能がある DDoS 軽減装置も 9

(参考)ﬂowspecを用いたオフランプ型DDoS緩和の例例 http://www.janog.

10 (参考)ﬂowspecを用いたオフランプ型DDoS緩和の例例 ﬁle/view/160/216 10

11 検証の実例例のご紹介 11

12 ご紹介する検証の概要 n 主な検証構成はオフランプ構成 DDoS 攻撃の検知 BGP 経路路広告によるトラフィック迂回 DDoS 軽減装置による攻撃トラフィックの除去 GREトンネルによるトラフィック戻しの4つの技術の検証が必要 ( 本発表では除去機能の検証について ) n 本 PJ の検証の流流れラボ試験 ü 上記の検証に加え API 制御に関する開発を行行なう実網試験 ü 検証用の AS を用いて実網上で試験を行行なう主にトラフィックの迂回戻しの検証を重点的に他社様との共同検証 12

[] 2. [] ebgp 主な検証構成はオフランプ型 ü 検証対象のDDoS 緩和装置からvictim サーバIPアドレスの経路路広告を行行いトラフィックを引き込む ü

13 ラボ検証の概要 1. (GEIKO) DDoS 緩和装置 ( 複数 ) 連携 DDoS 防御オーケストレータ ibgp GRE Tunnel トラフィック情報 (NetFlow) Web サーバ (victim) 1. [] 2. [] ebgp 主な検証構成はオフランプ型 ü 検証対象のDDoS 緩和装置からvictim サーバIPアドレスの経路路広告を行行いトラフィックを引き込む ü 正常通信はGRE 経由で戻す攻撃通信と正常通信の混在通信で試験を行行なう ü 攻撃通信は主に内製の攻撃システムを用いて発生 ( 次ページで説明 ) ü 正常通信に影響がないことをレスポンスタイム取得とブラウザアクセスにより確認 ü victim で Packet Capture を行行い攻撃が止まるまでの時間を測定 13

14 n GEIKO の構成内製の攻撃システム (GEIKO) の概要 GEIKO:C&C ü Web ポータルから ( 複数の )GEIKO:BOT に攻撃の開始 / 終了了の指示を行行なう Ø 使用するGEIKO:BOT 攻撃の種類攻撃対象の選択が可能 GEIKO:BOT ü GEIKO:C&C から指示を受け攻撃を行行なう Ø Ø 現在 26 種類の DDoS 攻撃を選択可能 ( 主に攻撃頻出度度の観点から選定 ) BOT の追加や攻撃ツールの追加は Ansible を用いて実施 n 内製の攻撃システムを用いるモチベーション実網上での検証に拡張可能 ( 次ページ ) 公開されている攻撃ツール ( ペネトレーションテストツール ) に対してアンテナを高く持つきっかけとなるテスタで足りない攻撃があった場合に対応可能低コスト 14

15 実網検証環境の概要内製の攻撃発生システムを構築し国内外の自社拠点にGEIKO:BOTを配置 GINに影響がない範囲で実網上でDDoS 対策関連の検証を実施可能 GEIKO:C&C 疑似攻撃者正常通信 WEB BOT GIN(AS2914) GEIKO:BOT 国内 BOT 1 国内 BOT 2 海外 BOT 1 海外 BOT2 DDoS 攻撃 ebgp ebgp オフランプ型で実網上に検証環境を構築防御対象アドレスの経路路広告を GIN に行行なうことで DDoS 軽減装置への引き込みが可能連携 ibgp DDoS 防オーケストレータ DDoS 緩和装置 ( 複数 ) GRE Tunnel トラフィック情報 (xflow) Web サーバ (victim) Customer 相当の AS DDoS 検証 AS

16 実網検証環境の活用例例 n トラフィックの引き込み戻しの検証を実網上で実施 BGP 経路路の伝搬の検証 DDoS 緩和装置の MTU に関する検証を実網上で実施 ü DDoS 緩和装置と Customer が GIN 上で GRE トンネルをはる場合 GRE の MTU を 1500 にすることが可能 ü 通常の GRE の MTU は 1476 となるが GIN のバックボーンは MTU が大きく設定されているため GRE の MTU を拡張可能トラフィック戻しの際のフラグメントを防ぐことが可能 n GeoIP ベースの緩和 ( 除去 ) 機能の検証を実施国内外に配置した BOT を用いることにより検証を実施 n 他社様との共同検証を実施 16

17 まとめ BoF で議論論したい内容 n オフランプ型 DDoS 緩和の場合 1 検知 2トラフィック迂回 3 除去 4トラフィック戻しの4 技術に関する検証が必要本日は主に除去機能の検証についてお話しました n セキュリティアプライアンスの検証の場合テスタの使用だけではなく世の中に出回っているツールのウォッチも重要 n セキュリティアプライアンスは L7 機器なので正解データがない複数種類の攻撃を組み合わせやそれと正常通信の組み合わせを考えるとトラフィックパターンは無数に存在する ( セキュリティアプライアンスに限らず ) L4 以上の機器検証を行行なう際みなさまどのような ( どこまで ) 試験を行行ってますか? 実際に導入してしまいチューニングをしていくことも必要なのではないでしょうか? 17

18 ご清聴ありがとうございました 18

NTT Communications PowerPoint Template(38pt)

NTT Communications PowerPoint Template(38pt) NTTコミュニケーションズにおけるマルチホームのお客様向けソリューションのご紹介 2018年02月23日 NTTコミュニケーションズ株式会社ネットワークサービス部 Nguyen Tuan Duong Transform your business, transcend expectations with our technologically advanced solutions. NTTコミュニケーションズ株式会社