DDoS時代のIXとの付き合い方～IXPからみた現状と展望～

Size: px

Start display at page:

Download "DDoS時代のIXとの付き合い方～IXPからみた現状と展望～"

うきえたみや
6 years ago
Views:

1 Internet Week 2016 T1 知って納得! 企業の DDoS 対処戦略 ~ 基礎から実践まで ~ 4.DDoS 時代の IX との付き合い方 ~IXP からみた現状と展望 ~ 2016/11/29 BBIX 株式会社矢萩茂樹 1

2 AGENDA Internetの構造とトラフィック分布とIX DDoSの傾向分析 DDoSをIXとトランジットでどう防ぐか? 2

3 AGENDA Internet の構造とトラフィック分布と IX Internetの構造とIX インターネットトラフィック分布と流入傾向 DDoSの傾向分析 DDoSをIXとトランジットでどう防ぐか? 3

4 Internet の構造 : ネットワーク組織 =AS の集合体インターネットは独立したネットワーク組織の集合体ネットワーク組織 =AS (Autonomous System) インターネット上位は AS 間での接続となる AS 間で BGP(Border Gateway Protocol) を利用して経路を交換出典 : 4

Internet exchange = ネットワークを効率的に接続するためのトラフィック交換市場 CDN MNO CDN MNO ISP ISP ISP ISP CSP CDN CSP CDN ISP CSP ISP CSP 旧来の接続方式複雑細い帯域で非効率な構成 Internet exchange

5 Internet exchange = ネットワークを効率的に接続するためのトラフィック交換市場 CDN MNO CDN MNO ISP ISP ISP ISP CSP CDN CSP CDN ISP CSP ISP CSP 旧来の接続方式複雑細い帯域で非効率な構成 Internet exchange シンプルかつ広帯域回線で集約 IX(Internet exchange)=as 間の相互接続ポイント Internet に接続している組織が特定の場所 (IX) にあつまることで相互接続を効率的に行えるトラフィック交換市場を提供各 AS 参加者が L2 接続し BGP により経路を交換することで相互接続する 5

6 IX のポジション ( Internet の構造 2009~ ) Global Internet Core Global トランジット / National Backbones Large Content (Hyper Giant), Consumer, Cloud, IDC IXP IXP IXP Reginal / Tier2 Provider ISP ISP Customer IP Network 6

7 IX の構造 (BBIX 東京 ) お客様 AS お客様 AS お客様 AS お客様 AS お客様 AS お客様 AS お客様 AS お客様 AS TeraBit メトロリングお客様 AS お客様 AS お客様 AS お客様 AS お客様 AS お客様 AS お客様 AS IX 接続 IF:Ethernet 10G/100G 7

8 トランジットとピアリング ( 相互接続 ) INTERNET トランジット ( 上流接続 ) 自 AS1 経路子 AS1 経路親 AS-A 全経路 L2 Ethernet 自 AS2 経路子 AS2 経路親 AS-B 全経路トランジット ( 上流接続 ) 自 AS1 10G 100G 自 AS1 経路子 AS1 経路 Internet exchange 自 AS2 経路子 AS2 経路 10G 100G 自 AS2 子 AS22 AS1 は AS2 から AS2 と子 AS22 の経路を受信ピアリング ( 相互接続 ) IP / BGP4 による直接接続 AS2 は AS1 から AS1 の経路を受信 AS22 に AS1 経路を転送 8

9 トランジットとピアリング ( 相互接続 ) トランジット ( 上流接続 ) ISP との接続 : トランジットだけ AS 接続 :1~n インターネット全ての経路トラフィックを交換する上流 ISP へは自 AS と配下の AS の経路を流す上流 ISP からは全インターネットの経路をもらう上位プロバイダからサービスを有償購入売買契約が存在し上流 ISP には品質保持の義務が生じるフィルタリングなどの対応依頼ができるピアリング ( 相互接続 ) IX での接続 :AS の数だけ BGP 接続 : 数十 ~ 数百相互合意の下お互いの配下の経路トラフィックを交換する管理された自 AS の経路を交換するため基本的には相互交換となるためほとんど場合相互接続費用は発生しない大手とのピアリングについては最低トラフィック量クリアの条件が付く場合がある多くの場合窓口交換の覚書による接続であり相手のトラフィックやサービスレベルに保障や義務は生じない BGPの経路制御は可能人手のかかる作業依頼などは一般的に対応困難 9

10 IX をとり入れた Internet 接続構成 IX 経由のピアリング ( 相互接続 ) ( 伝搬範囲限定 ) (Hyper Giant) ( 海外 ISP) ( 海外 Contents) ( 海外 Cloud) ( 国内 ISP) IX Internet 南米 AS トランジット経由のインターネット接続 ( 伝搬範囲に限定なし ) アフリカ AS 欧州 AS 南米 Transit アフリカ Transit 欧州 Transit Asia 系 AS アジア Transit 北米 AS 北米 Transit ( 国内 CSP/Cloud) 国内 AS 国内接続上流 ISP 自 AS 10

11 AGENDA Internet の構造とトラフィック分布と IX Internetの構造とIX インターネットトラフィック分布と流入傾向 DDoSの傾向分析 DDoSをIXとトランジットでどう防ぐか? 11

12 ISP からみた Internet のトラフィック分布 NGbps! NGbps! NGbps! The Internet トランジット経由は約 40% 上流 ISP NGbps! NGbps! NGbps! NGbps! Yahoo! Google Twitter NGbps! amazon/aws NGbps! CSP/CDN NGbps! Akamai NGbps! コンテンツ提供者 Apple Facebook YouTube トランジットコスト : Mbps 単価?00 円 + 専用線 NGbps! Microsoft NGbps! NGbps! LINE NGbps! NGbps! Dwango NGbps! ISP: 視聴者 IXは視聴者とコンテンツ提供者を直接つなぐトラフィック交換市場 IX コスト : Mbps 単価 23 円 / 使用率 + 専用線 IX 経由で交換できるトラフィック全体の 60% 典型的な ISP の場合で Google 30% 前後 Akamai 15% 前後 Top20AS 75% に集中 12

13 CSP からみた Internet のトラフィック交換経路 NGbps! NGbps! NGbps! The Internet 上流 ISP NGbps! NGbps! NGbps! NGbps! Yahoo! Google Twitter NGbps! NGbps! amazon/aws CSP/CDN NGbps! Akamai NGbps! コンテンツ提供者 ISP: 視聴者 ISP: 視聴者 NGbps! Apple Facebook NGbps! Microsoft LINE NGbps! NGbps! YouTube NGbps! Dwango NGbps! ISP: 視聴者 ISP: 視聴者 CSP は上流 ISP 経由から IX 経由のピアリングやデータセンター内でのプライベートピアリングにシフト 13

14 IX を介したトラフィックの流れコンテンツ提供者視聴者コンテンツ提供者から視聴者へ Hyper Giant Cloud 間通信 Japan Contens 2016/12 現在 (BBIX 東京 ) 国内海外総計 Contents Cloud ISP 総計 ISP 加入者間通信 14

15 Internet の構造とトラフィック分布と IX: まとめ Internet 接続形態は ISP に完全依存していた構成からピアリング ( 相互接続 ) による直接接続構成が主流にトラフィックは HyperGiant/ 大手 CSP/ 大手 ISP に 8 割以上集中大手間のトラフィック交換は IX やデータセンターでの相互接続が主流に IX はトラフィック交換市場 :ISP とコンテンツ業者が集まる場各 AS が IX に集まることで Internet の 60% トラフィックをピアリングで交換可能トランジット (ISP 経由の上流接続 ) とピアリング (IX での相互接続 ) トランジット接続には契約 SLA があり運用対処依頼が可能 IX でのピアリングは各ネットワーク組織との相互接続となりピアリング相手との間にはサービスレベル保証や義務は生じない運用対処依頼は困難 15

16 AGENDA Internetの構造とトラフィック分布とIX DDoSの傾向分析 DDoSをIXとトランジットでどう防ぐか? 16

17 DDoS 傾向分析 : よくある仮説 DDoS トラヒックは主に海外からやってくる?! 大規模な DDoS はほとんどない?! DDoS の多くは短時間で収まる?! 17

18 Akamai Report 2016-q2 1 位 : 中国 2 位 : アメリカ 3 位 : 台湾 4 位 : カナダ 5 位 : ベトナム 6 位 : ブラジル 7 位 : スペイン 8 位 : シンガポール 9 位 : イタリア 10 位 : イギリス?? 位 : 日本???? 出典 : state-of-the-internet/akamai-q state-of-the-internet-security-report.pdf 18

19 Fig4 Global Distributioin of Mirai bots 出典 : 19

20 不正アクセス :port23/2323 国別上位 20 Internet に直接接続しているサーバにて計測ポート 23/2323 へのアクセス回数を FW ログから解析不正アクセスアドレスを AS 情報に照らし合わせて所属国を判定解析期間 :2016/11/2~9 アクセスしてきたユニーク IP アドレスとアクセス回数で集計ユニーク IP アドレスでランキング 133 か国からのアクセスを確認 APNIC エリアからのアクセスが非常に多い RIPE( 東欧ロシア ) LACNIC からも多い Top10 で 66% Top20 で 83% を占める米国は規模に対して少ないが 1-IP あたりのアクセス回数頻度が多い日本国内からのアクセスは非常に少ない gtld Registry 国名アクセスIP 数アクセス回数アクセス /IP 1 VN APNIC ベトナム % % CN APNIC 中華共和国 % % BR LACNIC ブラジル % % TW APNIC 台湾 % % RU RIPE ロシア % % TR RIPE トルコ % % IN APNIC インド % % UA RIPE ウクライナ % % KR APNIC 韓国 % % RO RIPE ルーマニア % % US ARIN アメリカ合衆国 % % MX ARIN メキシコ % % AR LACNIC アルゼンチン % % PL RIPE ポーランド % % IT RIPE イタリア % % CO LACNIC コロンビア % % FR RIPE フランス % % ID APNIC インドネシア % % CL LACNIC チリ % % BG RIPE ブルガリア % % 2.6 その他 % % 1.6 総数 Top3 32% Top10 66% Top20 83% 73 JP APNIC 日本 % %

21 不正アクセス : port23/2323 AS Top AS からアクセス記録上位は海外通信キャリア配下のアドレスからのもので占められるやはり APNIC エリアからが上位を占める上位に米国の ISP/ Carrier はアクセスしてくるホストが少なくこのランキングからは見えない ASN KIND Network Name gtld Registry country Unique IP アクセス回数 Carrier CHINANET-BACKBONE CN APNIC 中華共和国 % % Carrier HINET Data Communication Business TW APNIC 台湾 % % Carrier VNPT(VietNam Post and Telecom) VN APNIC ベトナム % % Carrier Turk Telekomunikasyon Anonim Sirketi TR RIPE トルコ % % Carrier FPT Vietnum VN APNIC ベトナム % % Carrier CNCGROUP China169 Backbone CN APNIC 中華共和国 % % Carrier Viettel Corporation VN APNIC ベトナム % % Carrier CLARO S.A. BR LACNIC ブラジル % % Carrier Global Village Telecom BR LACNIC ブラジル % % Carrier Korea Telecom KR APNIC 韓国 % % Carrier TELEFNICA BR LACNIC ブラジル % % Carrier BSNL Broadband IN APNIC インド % % Carrier Kyivstar PJSC UA RIPE ウクライナ % % Carrier RCS-RDS RCS & RDS SA RO RIPE ルーマニア % % Carrier PT Telekomunikasi Indonesia ID APNIC インドネシア % % Carrier Viettel Corporation VN APNIC ベトナム % % Carrier Aviso Uninet - Telmex MX ARIN メキシコ % % Carrier PJSC Rostelecom RU RIPE ロシア % % Carrier RTD TELEKOM ROMANIA RO RIPE ルーマニア % % Carrier Bharti Airtel Ltd. Telemedia Services IN APNIC インド % % 1.3 アクセス /IP その他 % 総数 Top3 18% Top10 37% Top20 48% 日本からはアクセス数が非常に少ないがやはり通信キャリア系からのアクセスが多い Copyright(C) BBIX, inc. All rights reserved ASN KIND Network Name gtld Registry country Unique IP アクセス回数アクセス /IP Carrier OCN NTT Communications Corporation JP APNIC 日本 5 0.0% 5 0.0% ISP VECTANT Ltd. JP APNIC 日本 2 0.0% 2 0.0% Carrier KDDI CORPORATION JP APNIC 日本 1 0.0% 2 0.0% ISP INFOSPHERE NTT PC Communications JP APNIC 日本 1 0.0% 1 0.0% ISP World Net & Services Co. Ltd. JP APNIC 日本 1 0.0% 1 0.0% ISP Pacific Internet (Australia) Pty Ltd JP APNIC 日本 1 0.0% 1 0.0% Carrier Softbank Corp. JP APNIC 日本 1 0.0% 1 0.0% 1.0 日本合計

22 どこから DDoS はきそうか (IX) コンテンツ提供者視聴者 Hyper Giant 国内海外総計 Contents Cloud ISP 総計海外 ISP からの攻撃の確率が高いが国内コンシューマーユーザからも流入の可能性はある 22

23 DDoS の流入経路は主に海外 / コンシューマーから! IX は直接接続で接続 AS 内に伝搬が限定されるので DDoS の流入の可能性は低い海外国内 ISP からの流入の可能性はあるが限定的 (Hyper Giant) ( 海外 ISP) ( 海外 Contents) ( 海外 Cloud) ( 国内 ISP) IX Internet 南米 AS アフリカ AS トランジットからは DDoS の流入確率が高い AS 経路があるほとんどはこの接続から流入欧州 AS 南米 Transit アフリカ Transit 欧州 Transit Asia 系 AS アジア Transit 北米 AS 北米 Transit ( 国内 CSP/Cloud) 国内 AS 米国経路からは大容量攻撃の可能性あり国内接続上流 ISP 自 AS 23

24 ここで DDoS のソースアドレス分布実際の DDoS 攻撃のソースアドレス分布例 UDP/TCP SYN/ICMP Flooding 国が均等分布しているのはアドレス詐称されているため発信源を追及するよりも攻撃を受けているサイトの遮断ミチゲーションを優先! 出典 :DDoS 攻撃の無意味だけれど美しいグラフ from Fortinet 24

25 DDoS 傾向分析 : よくある仮説 DDoS トラヒックは主に海外からやってくる?! 大規模な DDoS はほとんどない?! DDoS の多くは短時間で収まる?! 25

26 DDoS の観測事例ネットワーク種別 : 測定期間 :2016/8/1-10/26(87 日間 ) 測定手段 : 測定データ :NetFlowデータ Flowアナライザにより特定 IP(/32) に閾値以上の通信がかかったケースを抽出 UDP Floodingイベントを抽出帯域 :200M 以上検知時間 3 分以上分類種別 : 攻撃要素 : 攻撃帯域攻撃経過時間攻撃時間帯攻撃曜日種別 IPアドレス種別 : コンシューマー (ISPユーザ) 法人( 専用線接続ユーザ ) 26

27 DDoS: 攻撃量と経過時間 ( コンシューマー ) 攻撃経過時間 ( 分 ) ほとんどが 1Gbps 以下 (95%) 攻撃帯域 200Mbps 500Mbps 500Mbps 1Gbps 1Gbps 5Gbps 5Gbps 10Gbps 10Gbps 20Gbps 20Gbps 以上 3-5 分 6-9 分分分分分分 120 分以上総計 65.1% 13.1% 0.1% 0.1% 0.0% 0.0% 0.0% 0.0% 78.4% 10.9% 5.1% 0.1% 0.0% 0.0% 0.0% 0.0% 0.0% 16.1% 2.1% 1.4% 1.0% 0.2% 0.1% 0.1% 0.1% 0.1% 4.9% 0.1% 0.2% 0.1% 0.1% 0.1% 0.1% 0.0% 0.0% 0.4% 0.1% 0.0% 0.0% 0.0% 0.0% 0.0% 0.0% 0.0% 0.1% 0.1% 0.1% 0.0% 0.0% 0.0% 0.0% 0.0% 0.0% 0.1% 総計 78.3% 19.9% 1.2% 0.3% 0.1% 0.1% 0.1% 0.1% 100.0% 10 分以内でほぼ終了 (98%) 最大攻撃量 :31.6Gbps (4 分 ) 最長攻撃時間 :122 分 (1.8Gbps) 27

28 DDoS: 攻撃量と経過時間 ( 法人 ) 攻撃帯域 10 分以内で 56% 20 分以内が 80% 攻撃経過時間 ( 分 ) 3-5 分 6-9 分分分分分分総計 200Mbps 500Mbps 8.6% 4.9% 0.0% 0.0% 0.0% 0.0% 0.0% 13.6% 500Mbps 1Gbps 2.5% 2.5% 0.0% 1.2% 0.0% 0.0% 0.0% 6.2% 1Gbps 5Gbps 17.3% 11.1% 16.0% 4.9% 2.5% 0.0% 0.0% 51.9% 5Gbps 10Gbps 1.2% 3.7% 3.7% 4.9% 0.0% 2.5% 1.2% 17.3% 10Gbps 20Gbps 0.0% 3.7% 4.9% 0.0% 0.0% 0.0% 2.5% 11.1% 総計 29.6% 25.9% 24.7% 11.1% 2.5% 2.5% 3.7% 100.0% 最大最長攻撃 :17.7Gbps (62 分 ) コンシューマーより大規模かつ長時間の攻撃となる 1G 10G の攻撃で 69% 28

29 攻撃確率時間統計 ( コンシューマー ) 発生曜日各曜日時間帯ごとの攻撃回数を集計単位 :% 総計月火水木金土日総計 Flets などの固定接続ユーザ土日の攻撃が多い平日深夜も多い 29

30 攻撃確率時間統計 ( 法人 ) 発生曜日各曜日時間帯ごとの攻撃回数を集計単位 :% 総計月火水木金土日総計一般法人の固定接続部分曜日関係なく 11 時 ~21 時までが多い 30

31 ある DDoS 傾向分析結果法人への攻撃は大容量長時間化の傾向コンシューマー法人 1Gbps 以下 20% 攻撃量 1Gbps 以下が95% 1G-10Gbps 69% 10Gbps 以上 11% 攻撃時間 10 分以内 98% 10 分以内 56% 20 分以内 80% 最大攻撃量 31.6Gbps(4 分 ) 17.7Gbps(62 分 ) 最長攻撃時間 122 分 (1.8Gbps) 62 分 (17.7Gbps) 発生傾向土日平日深夜が多い曜日を問わず 11 時から21 時が多い 10Gbps 以上の大規模攻撃は少ない 10 分以内の短時間攻撃が多く短時間で終息の傾向とはいえ大規模長時間攻撃で狙い撃ちされた際の被害甚大備えは必要 31

32 仮説の答え合わせ DDoS トラヒックは主に海外から大規模な DDoS はほとんどない DDoS の多くは短時間で収まる正解! 正解! 正解! 32

33 AGENDA Internetの構造とトラフィック分布とIX DDoSの傾向分析 DDoSをIXとトランジットでどう防ぐか? IXでの対処法 :RTBH on L2 IXを含めたDDoSへの対処 33

34 IX での対処法 :RTBH on L2 どんなパケットでも廃棄するブラックホール IP アドレス (Blackhole Next-hop:BN) を IX で準備 DDoS うけて無効化したい IP が判明したらブラックホール指定 (BN) で攻撃を受けている AS から経路広報当該 IP への通信は IX で廃棄本処理中当該 IP の IX 経由通信は利用不可となるブラックホールへの誘導方法方法 1(RouteServer 経由 ):Blackhole Community をつけて経路広報方法 2( 直接 Peering):Next-hop を Blackhole IP(BN) にして経路広報無効化する IP は IPv4 で 1IP(/32) 単位 IPv6 で 1IP(/128) 単位廃棄対象を小さくすると被害が少ないが効果は限定的 ( 後述 ) 34

35 IX ブラックホール : アドレスコミュニティ IX での Blackhole Community RFC7999 DE-CIX MSX-IX Equinix HKIX BBIX Blackhole Community 65535: :666 0: : : :666 BBIX Blackhole Community / Address IPv4 Blackhole Blackhole MAC Blackhole Community Hong Kong :dead: :666 Singapore :dead: :666 Tokyo :dead: :666 BBIX 東京 Blackhole Community は 2017/3 より提供予定 35

36 直接 Peering AS64551 IP MAC BB1A:0000:0051 通常のトラフィックの流れ AS65101 IP MAC BB1A:0000:0101 AS64552 IP MAC BB1A:0000:0052 RS 経由 Peering AS64553 IP MAC BB1A:0000:0053 Route Server AS64554 IP MAC BB1A:0000:0054 直接 Peering RS 経由 Peering 36

37 AS64551 IP MAC BB1A:0000:0051 Attack Source 攻撃元 AS64552 IP MAC BB1A:0000:0052 Attack Source 攻撃元 AS65101 防戦中 AS65101 IP MAC BB1A:0000:0101 Attacked AS 被害 AS / ( ; ;) ( ; ;) ( ; ;) AS64553 IP MAC BB1A:0000:0053 Route Server AS64554 IP MAC BB1A:0000:0054 Clean Source クリーンな通信元 37

IX Blackhole による DDoS 攻撃の防御 AS65101 は DDoS に対抗するために攻撃を受けている Prefix(/32) に対し Blackhole Community をつけてアナウンスを開始 Route Server は Blackhole Community を受信することで当該 Prefix を Blackhole Nexthop(BN) に付替えて広報する

38 IX Blackhole による DDoS 攻撃の防御 AS65101 は DDoS に対抗するために攻撃を受けている Prefix(/32) に対し Blackhole Community をつけてアナウンスを開始 Route Server は Blackhole Community を受信することで当該 Prefix を Blackhole Nexthop(BN) に付替えて広報する直接接続している AS64501 っは当該 Prefix に BN をつけてアナウンスすることで Blackhole に誘導する Peering している AS は /32 経路を受信することでアナウンスされた経路をベストパスとして認識 BN MAC アドレスの解決は BBIX Proxy ARP サーバーにより行う BN MAC のついたパケットは BBIX スイッチの ACL により入側 (Ingress) にて廃棄される Blackhole に落とされる Prefix への通信は遮断されることとなるが他の Prefix への通信は回復する 38

39 IX RTBH による DDoS 攻撃防御 :BN アナウンス AS64551 IP MAC BB1A:0000:0051 Attack Source 攻撃元 AS64552 IP MAC BB1A:0000:0052 Attack Source 攻撃元 /32 w/bn /32 w/bc 65535:666 AS65101 IP MAC BB1A:0000:0101 Attacked AS 被害 AS / /32 ( ; ;) ( ; ;) ( ; ;) AS64553 IP MAC BB1A:0000:0053 Route Server /32 w/bn AS64554 IP MAC BB1A:0000:0054 Clean Source クリーンな通信元 Blackhole Nexthop IP MAC 0020:dead:

IX RTBH による DDoS 攻撃の防御 :BN へ誘導 AS64551 IP 192.

0.113.13/32 w/bn 192.0.2.166 AS65101 IP 192.0.2.101 MAC BB1A:0000:0101 203.0.113.13/32 w/bc 59360:666 Attacked AS 被害 AS 203.

0.113.13/32 w/bn 192.0.2.166 AS64554 IP 192.0.2.54 MAC BB1A:0000:0054 Clean Source クリーンな通信元 Blackhole Nexthop IP 192.

40 IX RTBH による DDoS 攻撃の防御 :BN へ誘導 AS64551 IP MAC BB1A:0000:0051 Attack Source 攻撃元 AS64552 IP MAC BB1A:0000:0052 Attack Source 攻撃元 /32 w/bn AS65101 IP MAC BB1A:0000: /32 w/bc 59360:666 Attacked AS 被害 AS / /32 (*^^)v (*^^)v ( ; ;) AS64553 IP MAC BB1A:0000:0053 Route Server /32 w/bn AS64554 IP MAC BB1A:0000:0054 Clean Source クリーンな通信元 Blackhole Nexthop IP MAC 0020:dead:

41 IX での RTBH の課題 IX Blackhole は対処を被害ホストに限定して全 Peer に対応できるメリットがあるが課題も多い課題 1: 相互接続での受け入れポリシー /32 問題国内 AS 間接続では通常 /24 より深いアナウンスは受けつけないのが一般的現状では /32 アナウンスの効果は参加者への効果は限定的 (/24 なら効果あり ) とはいえ一般ルール化され総括的に対応できる手順は IX RTBH しかないことから IX 参加者が /32 受入れしてくれるコンセンサスの形成が課題課題 2:Blackhole コミュニティーの設定 IX での Blackhole 処理は IX が準備した Blackhole Nexthop:BN に誘導する Community 設定が必要 IX 提供の Route Server:RS には実装されているが RS を経由しない直接 Peering の場合 Community が使えず落としたい IP アドレスの NextHop を BN 指定してのアナウンスが必要この設定は template など下準備が結構必要ルーターベンダーの RFC7999 の実装に期待 41

42 AGENDA Internetの構造とトラフィック分布とIX DDoSの傾向分析 DDoSをIXとトランジットでどう防ぐか? IXでの対処法 :RTBH on L2 IXを含めたDDoSへの対処 42

DDoS対策に必要なこと DDoSが来るのは海外からが多いほとんどはトランジット接続回線から流入 DDoSはからもくる可能性があるが IXだけからくることはほぼないトランジットへのフィルター依頼対応では対処までには時間がかかり短時間でのDDoSに対しては対応不能 INTERNET

43 DDoS対策に必要なこと DDoSが来るのは海外からが多いほとんどはトランジット接続回線から流入 DDoSはからもくる可能性があるが IXだけからくることはほぼないトランジットへのフィルター依頼対応では対処までには時間がかかり短時間でのDDoSに対しては対応不能 INTERNET 対外接続をBGP化すると自分の意思で制御することができ対応速度の高速化される Blackhole Blackhole トランジット/IXと連携した対応策 ① ② RTBH Blackhole Routing 経路広報規制 BBIX トランジット Cleaning user AS 43

44 対策 : 守るべきものは何か対策にあたってはどこまでを守るかを明確化が必要サービス : 全サービス? 優先サービス? 必須サービス自分の NW : 全ネットワーク? 特定ホスト? サブネット? アクセス : 全 Internet が必要? 特定地域アクセスは遮断できる? 国内アクセスだけでも守ればどうか? 特定ホストを犠牲にすることで対処 RTBH:Blackhole 対処特定エリア ( 例えば日本国内 ) のみのアクセスを防御流入経路規制犠牲にできないものについては DDoS 緩和機構の保護検討に Mitigation 装置による保護 CDN/ISP のスクラビングサービスでの保護 44

45 総合的対策 1: トランジットでの対策 1 Blackhole 対処 2 流入経路規制規制方法 Community 制御内容 BLACKHOLE 4725:9999 広報した /32 経路に関し AS4725 ですべてのトラフィックを廃棄する流入経路規制 4725:10000 AS4725 から米国向けに広報しない流入経路規制 4725:600 AS4725 からアジア向けに広報しない流入経路規制 4725:500 AS4725 から国内向けに広報しない 45

46 トランジットでの Blackhole 制御例ご要望 US の ISP 経由でお客様サイト内特定サーバ (WWW) が DDoS 攻撃を受けており他の SMTP サービスなどが回線の逼迫によりスムーズに運用できない被害を被っておりこれを防止したい対応方法 1. お客様 CPE にて www アドレス ( /32) に対し community 4725:9999 を付与し広報する 2.PE では受け取った /32 経路に LOCAL-AS を付加し, Local Preference を強く 4725 網内に広報 3. 対外接続用ルータでは community 4725:9999 がついている経路へのトラフィックを破棄する 4.US ISP 軽油だけでなく www アドレス ( /32) に対する全パケットを破棄する AS /16 対外接続機器から宛パケットが全て遮断される! US Peer Provider Z (AS 55555) ソンヒ PC smtp CPE PE AS4725 国内 Peer Provider Y (AS 33333) www お客様宅内 Set community: 4725:9999 Asia Peer Provider X (AS 99999) 他のお客様通信遮断経路 46

トランジットでの経路規制による対処例経路広報する Advertised Verio/KDDI/ODN 経由で US には広報される場合があります JP Verio/KDDI/ODN Asia AS4725 広報するユーザ経路 (US 向け広報停止 community) トラフィックの流れ経路は出さない No advertised US 広報停止

47 トランジットでの経路規制による対処例経路広報する Advertised Verio/KDDI/ODN 経由で US には広報される場合があります JP Verio/KDDI/ODN Asia AS4725 広報するユーザ経路 (US 向け広報停止 community) トラフィックの流れ経路は出さない No advertised US 広報停止 community 4725: :600 をつけるお客様経路は出さない No advertised 上記の場合コミュニティ付与して広報したアドレスに対して US Asia 向けへ広報するのを停止 US Asiaからみたお客様宛のパスは無くなるので海外からのトラフィック流入を制限することが可能結果国内のみに経路広報することが可能です 47

48 総合的対策 2:IX での対応トランジットからの DDoS 対処はしたが IX から止まっていないどうする? IX での接続はピアリング ( 相互接続 ) ではフィルター追加など能動的な作業依頼できない IX の Peer が受け入れてくれるもの広報経路による制御 :BGP の attribute 制御でトランジットなど他経路を優先させる通常のトラフィック流量制限で利用非常時は使えない! IX RTBH: 攻撃されているホスト経路に Blackhole 指定でアナウンス IX で廃棄利点 :IX で接続している全 AS に対して廃棄する IP 範囲を限定して DDoS 対処可能対象の判定不要! 欠点 : 受付プリフィクス長制限があり実際に効果があるのは /24 単位での RTBH( 悪影響の懸念 ) 保守目的での経路広報停止トランジットに回してトランジットで廃棄利点 : 対象さえ把握できれば簡単に実行可能欠点 : トラフィックの異常超過 Peer などが把握できないとどの Peering を規制したらいいかわからない Peer への対処をやりすぎるとトランジットに大量のトラフィックが流れ品質低下コスト増大となる対処 : フロー解析による超過 Peer の把握が必要流入可能性の高い属性からの対処 48

49 DDoS 対応 1: トランジット RTBH + IX RTBH Internet 南米 AS アフリカ AS トランジットからの DDoS はトランジット Blackhole で防御欧州 AS 南米 Transit アフリカ Trasnit IX からの DDoS は IX RTBH で防御欧州 Transit Asia 系 AS アジア Transit 北米 AS 北米 Transit (Hyper Giant) ( 海外 ISP) ( 国内 ISP) ( 国内 CSP/Cloud) 国内 AS 国内接続 ( 海外 Contents) IX 上流 ISP 4725 上流 ISP にて RTBH で防御 ( 海外 Cloud) IX にて RTBH で防御自 AS 49

50 DDoS 対応 2: トランジット RTBH + IXPeer 規制 IX からの DDoS は流入 AS への経路広報を停止しトランジットに迂回させるトランジットの Blackhole で廃棄 (Hyper Giant) ( 海外 ISP) ( 海外 Contents) ( 海外 Cloud) Internet 南米 AS アフリカ AS トランジットからの DDoS はトランジット Blackhole で防御欧州 AS 南米 Transit アフリカ Transit 欧州 Transit Asia 系 AS アジア transit 北米 AS 北米 Transit ( 国内 ISP) ( 国内 CSP/Cloud) 国内 AS 国内接続 IX 経路広報停止上流 ISP へ迂回上流 ISP 4725 上流 ISP にて RTBH で防御自 AS 50

DDoS 対応 3: トランジット流入経路規制 + IXPeer 規制 Internet 2IX からの DDoS は流入 AS への経路広報を停止しトランジットに迂回トランジットの経路規制で対応その他重要 Peer は維持日本国内での通信がメインで海外とのやりとりが少ない場合最悪一時的に国内通信維持を優先し海外経路カットというシナリオ南米 AS アフリカ AS

51 DDoS 対応 3: トランジット流入経路規制 + IXPeer 規制 Internet 2IX からの DDoS は流入 AS への経路広報を停止しトランジットに迂回トランジットの経路規制で対応その他重要 Peer は維持日本国内での通信がメインで海外とのやりとりが少ない場合最悪一時的に国内通信維持を優先し海外経路カットというシナリオ南米 AS アフリカ AS トランジットからの DDoS は米国アジアの広報を停止で対処日本国内は RTBH で死守! 欧州 AS 南米 Transit アフリカ Transit 欧州 Transit Asia 系 AS アジア Transit 北米 AS 北米 Transit (Hyper Giant) ( 海外 ISP) ( 国内 ISP) ( 国内 CSP/Cloud) 国内 AS 上流 ISP 経路広報停止国内接続 ( 海外 Contents) IX 経路広報停止上流 ISP へ迂回上流 ISP 4725 ( 海外 Cloud) 通信量の多い IX 経路は維持自 AS 51

52 まとめ DDoS はいたるところから流入してくるが入ってくる経路についてはある程度の予測は可能事前に対策をたてることが可能海外キャリア ISP からの流入の可能性が多い現状においては 10 分以内での短時間での攻撃が主体短期ならそのままやり過ごすこともありでも把握はしたい長期にわたる攻撃には ISP/IX と連携して対処対応シナリオの策定と事前準備が重要優先防御リソースを想定した非常用対策手順まずは検知体制の整備が必要 52

53 No Peering, No Internet!

DDoS時代の対外接続

DDoS時代の対外接続 Internet Week ョ企業対処戦略 ~ 基礎実践 ~ 時代対外接続 ~ 運用者そしベテ ~ 株式会社矢萩茂樹 1 対策 : 守何対策あを守を明確化必要 : 全? 優先? 必須自分 : 全ネワ? 特ホ? ネ? : 全必要? 特地域遮断? 国内守う? 構を知連携し防御法をう 2 構分流入経路をネワ構う防? 3 構 : ネワ組織集合体