スライド 1

Size: px

Start display at page:

Download "スライド 1"

せせらおなか
4 years ago
Views:

1 どうする? 経路ハイジャックソフトバンク BB 株式会社平井則輔

2 はじめに簡単な自己紹介平井則輔 ( ひらいのりすけ ) ソフトバンク BB AS17676の対外接続設計 / 構築 IPアドレス管理 / 設計 JANOG 発表 J23@ 高知 IPアドレス移転 J25@ 新潟 6rd 3 月から運営委員になりました宜しくお願いします m( )m

3 モチベーション

4 モチベーション 2013 年 1 月 11 日と 3 月 6 日 3 か月で 2 回

5 まずみなさまに質問 ISP の方どれくらい? 経路ハイジャックに遭った人? 経路ハイジャック対応準備は万端?

6 経路ハイジャック故意もしくは誤って他 AS の経路を広報してしまうこと Internet AS Y AS Z AS YYY /8 AS X AS ZZZ ハイジャック経路 /8 ハイジャック AS XXX

7 経路ハイジャックハイジャックの影響を受けていない AS との通信は問題なし contents AS Y Internet AS Z AS YYY /8 AS X AS ZZZ ハイジャック経路 /8 ハイジャック AS XXX

8 経路ハイジャックハイジャックされた経路配下のユーザと影響を受けた AS との通信に問題発生 AS Y Internet AS Z contents AS YYY /8 AS X AS ZZZ ハイジャック経路 /8 ハイジャック AS XXX

9 経路ハイジャック検知について Telecom-ISAC Japan 経路奉行 JPIRR 通知システムアラートメール NOC などご担当者様以下の通り経路ハイジャックが疑われる状態を検知しました検知日時 : Wed 6 Mar :05: (JST) Routeオブジェクト : aaa.bbb.ccc.ddd/xx RouteオブジェクトのOrigin: ASXXXXX 検知したPrefix : aaa.bbb.ccc.ddd/yy

10 実際に起きた経路ハイジャック 1 回目 2013 年 1 月 11 日 ( 金 ) 世界中で最大 110AS が影響を受けました

11 1 回目 2013 年 1 月 11 日の動き 23:15:25 Hijack alert from JPIRR 3 Prefix ハイジャックされた模様 AS26347 Dreamhost さんが被疑者まずハイジャックされた Prefix の確認サービスの確認法人なのか個人なのかはたまたどの地域県に割り当てられているか世界中の Looking Glass での確認国内のほとんどの LG では HJ されてないように見える海外でも一部の LG では HJ されているが HJ されていないようにも見える 00:10:00 ころには沈静化

12 1 回目 2013 年 1 月 11 日の動き 23:15:25 Hijack alert from JPIRR 3 Prefix ハイジャックされた模様 AS26347 Dreamhost さんが被疑者経路ハイジャックに対するまずハイジャックされた Prefix の確認対抗措置とらず終了サービスの確認法人なのか個人なのかはたまたしかしどの地域県に割り当てられているか世界中の Looking Glass での確認確認することは多かった国内のほとんどのLGではHJされてないように見える海外でも一部のLGではHJされているが HJされていないようにも見える 00:10:00 ころには沈静化

13 1 回目 2013 年 1 月 11 日の動き 23:15:25 Hijack alert from JPIRR 3 Prefix ハイジャックされた模様 (AS26347 Dreamhost さんが被疑者 ) まずハイジャックされた Prefix の確認サービスの確認法人なのか個人なのかはたまたどの地域県に割り当てられているか世界中の Looking Glass での確認国内のほとんどの LG では HJ されてないように見える海外でも一部の LG では HJ されているが HJ されていないようにも見える 00:10:00 ころには沈静化検知確認

14 経路ハイジャック後改めてハイジャック発生時のフロー確認検知後のエスカレーションフロー影響確認の方法経路ハイジャックへの対抗措置手順

15 経路ハイジャック後改めてハイジャック発生時のフロー確認検知後のエスカレーションフロー影響確認の方法経路ハイジャックへの対抗措置手順後から振り返るとこのときの確認が非常に重要でした

16 経路ハイジャックへの対抗措置ハイジャック経路より Longer Prefix を広報 Internet AS Y / / /9 AS X AS Z AS ZZZ AS YYY ハイジャック経路 /8 ハイジャック AS XXX

17 経路ハイジャックへの対抗措置ハイジャック経路より Longer Prefix を広報 AS Y Internet 隣接 AS は Longer Prefix を AS Z 受け取ってくれるだろうか? AS YYY / / /9 AS X AS ZZZ ハイジャック経路 /8 ハイジャック AS XXX

18 経路ハイジャック後改めてハイジャック発生時のフロー確認検知後のエスカレーションフロー影響確認の方法経路ハイジャックへの対抗措置手順隣接 AS が Longer Prefix 受け取ってくれるか? 後から振り返るとこのときの確認が非常に重要でした

19 実際に起きた経路ハイジャック 2 回目 2013 年 3 月 6 日 ( 水 ) 世界中で約 200 経路が影響を受けました

20 2 回目 2013 年 3 月 6 日の動き 16:59:18 Hijack alert from JPIRR 1 Prefix Hijackされた模様 AS26347 Dreamhostさんが今回も被疑者即取り返し準備 Longer Prefix を広報する準備 18:31:50 Longer Prefix 広報で取り返した!

21 RIS で確認される情報 Routing Information Service(RIS) ハイジャック経路が Announce されたり Withdraw されたり丌安定な状態

22 RIS で確認される情報 Routing Information Service(RIS) 対抗措置実施!

23 経路ハイジャックの原因 NANOG の投稿を見ると ASxx に経路ハイジャックに遭ったんだけどあれ?Route Server から受け取ってるよ ASxx origin でおたくとは Peer してないし広報してないよえ!? マジで? 広報してないよ頼む信じてくれ

24 経路ハイジャックの原因 NANOG の投稿を見るとその後第 3 者がコンフィグ ASxxに経路ハイジャックに遭ったんだけど確認し問題なさそうと証言ありあれ?Route Serverから受け取ってるよ ASxx originでおたくとはPeerしてないし広報してないよ ( 本当に問題なかったかは丌明 ) Route Server 側の情報はなし真相は藪の中え!? マジで? 広報してないよ頼む信じてくれ

25 まとめ経路ハイジャックに対する準備はとても大事ハイジャック発生時のフローを決めておく対抗措置 (Longer Prefix 広報 ) は隣接 ASが受け取ってくれないと機能しない Peer 先や上流 Transit に相談しましょう

26 まとめ cont. Route Server 丌特定多数の AS の経路を受けます Hijack alert は心臓に悪い 4 半期に 1 回くらい Reminder やった方がいいちゃんと機能してるって分かる監視メンバーでアラートメール見たことない人多かったそのときにハイジャック時の対応を確認するといいかも

27 ディスカッション経路ハイジャックの経験談 CGNとか増えたし影響が以前より大きくなってるけれど今までの対応で大丈夫? Route ServerとPeerするときに気をつけること実際気をつけてることは? 影響ってどう報告します? Looking Glass 重いよね

28 ご清聴ありがとうございました

29 参考資料 Hijack event by AS txt

経路奉行の取り組み

経路奉行の取り組み ( 財 ) 日本データ通信協会 Telecom-ISAC Japan 経路情報共有ワーキンググループ渡辺英一郎 (watanabe@mfeed.ad.jp) 本発表の内容経路奉行概要経路奉行とは? をざっくり説明します経路ハイジャック検出状況 JPNIC さんとの連携実験で得られた検出結果を報告します経路ハイジャック検出事例過去に発生した経路ハイジャック事例のなかでよくある事例を紹介します