DDoS対策最新動向

Transcription

1 S6 今を知り今後に備える! ルーティングセキュリティ DDoS 対策最新動向 Internet Week 年 11 28

2 紹介 n 塚要 ( にしづかかなめ ) 2006 年 NTT コミュニケーションズ 社 OCN アクセス系ネットワークの設計に従事した後 規模 ISP の運 サービスを担当 現在は研究開発組織にて トラフィック分析など ISP の課題に関する研究開発に従事 n メインフィールド トラフィック分析 DDoS 対策 IPv4 枯渇対策関連技術 n 社外活動 IETF 標準化 DOTS WG JPNIC IPv6 教育専 家チーム 2

3 1. DDoS 攻撃の傾向 3

4 DDoS の 字がニュース誌 にも登場 - 銀 のネットバンキングが使えない - オンラインのゲームができない - 攻撃を めて欲しければ を払え 4

5 規模 DDoS 攻撃の事例 時 継続時間 攻撃対象 影響内容 2014 年 6 数時間 Evernote 400Gbps 以上のDDoS 攻撃を受け サービスに 障が出た 銭要求 2014 年 6 半 Feedly Evernoteとほぼ同時にDDoS 攻撃を受け サービス停 銭要求 国 ISPなどの協 により サービス復旧 2014 年 8 数時間 PlayStation Network ネットワークに接続障害 サービス利 停 2014 年 12 不明 北朝鮮 (STAR-KP) 9 時間半にわたり北朝鮮がインターネットから孤 2015 年 3 6 間以上 Greatfire.org 2.6B/h( 通常の 2500 倍 ) の接続要求が発 サービス停 2015 年 3 4 以上 Github 改竄された第三者 Webサイトから2 秒毎にGithubへ 量アク セスが発 攻撃が繰り返され 都度対策を実施 2015 年 5 1 時間 FX プライム by GMO ネットバンキングに接続しつらい状況 銭要求 2015 年 6 約 2 時間 セブン銀 ネットバンキングに接続しつらい状況 銭要求 2015 年 8 約 3 時間 ゲーム Dota2 の 世界 会 賞 総額 1800 万ドルの世界 会 The International 2015 に DDoS 攻撃が発 約 3 時間試合中 2016 年 1 5 間以上 産 動 国際的ハッカー集団アノニマスによるDDoS 攻撃により Webサイトが全 停 ( 捕鯨への抗議のため ) 2016 年 10 約 6 時間 Dyn (Managed DNS 基盤 ) IoT 機器向けマルウェア Mirai による DDoS 攻撃により Amazon, PayPal, Twitter など多くののサービスに 障 (1.2Tbps) 2017 年 6 3 間 ( 断続的 ) Final Fantasy XIV 北 サーバ 2017 年 10 2 間 スウェーデンの複数の交 通機関 5 FF14 の北 サーバが DDoS 攻撃を受け にネットワーク障害が発 列 運 を管理する Trafikverket( スウェーデン産業省交通局 ) の IT システムが 痺し 列 の運 停 や遅延が発

6 DDoS 攻撃とは DDoS(Distributed Denial of Service: 分散サービス妨害 ) 攻撃は インターネット上に存在する 量の コンピュータから に特定サイト (WEB サーバなど ) や企業のネットワークへ不正パケットを送出し サーバ / システム負荷 ネットワーク輻輳を招き サービスを停 させてしまう攻撃 ここ数年で DDoS 攻撃も深刻化 複雑化しており 事前のセキュリティ対策が不可 になりつつある ゾンビ PC 群 (Botnet) 1 攻撃命令 インターネット上の数 万規模の ゾンビ PC(Botnet) を遠隔操作し WEB サーバ等に攻撃を仕掛ける 2 攻撃パケット送信 ゾンビ PC(Botnet) から 特定サイト ( サーバ ) への 量のパケット送信 Network Congestion 3DDoS 被害の発 DDoS 攻撃対象となったサイトでは サーバ 負荷 (FW/IDS/IPS 等も含む ) NW 輻輳が発 してサービスやネット ワークがダウン Server Down サーバ群 IDS/IPS Down FW/IDS/IPS 6

7 DoS 攻撃 /DDoS 攻撃 DoS(Denial of Service) 攻撃 Internet attack サービス提供不可 1:1 Denial-of-Service attack イ サービス妨害攻撃 ( 悪意のある が ) 企業のウェブサイトに 量のデータを 送信して そのサーバーが正常に機能しなくなるようにして ( その企業の ) 顧客またはユーザーがアクセス不可能な状態にすること DDoS(Distributed Denial of Service) 攻撃 Distributed コ 分散型の 英辞郎 on the Web より bot bot botnet bot bot Internet attack サービス提供不可 bot bot bot 複数の攻撃元攻撃量も増加 多 :1 7

8 DDoS 攻撃の種類と影響範囲 攻撃 法により 影響箇所は異なる ネットワーク帯域 NW サーバリソース アプリケーション お客さま インターネット 量的攻撃 不正セッション攻撃 アプリケーション攻撃 DNS/NTP サーバ リフレクション攻撃等 SYN flood 攻撃等 Get Flood 攻撃等 攻撃者 被害者 300Gbps 量トラフィック で回線を埋める Session Table full セッションを い潰す Resource full サーバリソースを消費する 8

9 DDoS 攻撃 法 ü 攻撃タイプ毎の割合 アクセス回線を埋めるため 上流 ISP での対策が必要 量的 不正セッション アプリレイヤ 量的攻撃が全体の 2/3 を占める Worldwide Infrastructure Security Report 2016, Arbornetworks based on a survey comprised of 172 free-form and multiple choice questions 9

10 DDoS 攻撃対象 企業ネットワークにおける脅威として Internet 接続部の輻輳が 1 位 DDoS 攻撃 攻撃元 インターネット 輻輳 アクセス回線 Worldwide Infrastructure Security Report 2016, Arbornetworks based on a survey comprised of 172 free-form and multiple choice questions Customer Site 10

11 IoT デバイスを利 したボリューム攻撃 リフレクション攻撃ではないボリューム攻撃の発 マルウェアに感染した IoT デバイスで構成されるボットネットからの攻撃 記録的な DDoS 攻撃が 1 ヶ 以内に複数件発 リフレクション攻撃とは異なり IP アドレスを spoof することもなく正常な通信と同様にセッションの確 Source: Downdetector.com 発 時 攻撃対象 攻撃帯域 攻撃元攻撃 法 2016/9/20 KrebsOnSecurit y.com web 625Gbps router, DVR, IP camera BASHLITE Mirai o SYN/GET/ POST flood o GRE 2016/9/20 OVH hosting 1Tbs+ DVR IP camera 145,607 IP o TCP/ack otcp/ack+psh o TCP/syn 2016/10/21 Dyn Managed DNS 基盤 1Tbs+ 11 Mirai 10s of millions of IP o Pseudo Random Subdomain Attack

12 2. DDoS 対策 法 12

13 DDoS 対策の流れ 検知 フロー監視 パケット監視 サービス監視 申告 防御 遮断 設備増強 緩和 検知と防御でそれぞれの 法があり どのように組み合わせるかが重要

14 DDoS 対策 法 ~ 検知 ~ 14

15 DDoS 攻撃 検知 法フロー監視 vs パケット監視 ISP フローデータ ( サンプリング ) パケット監視 フロー監視 フロー監視 (Netflow/sFlow) ルータから受信したフローデータを いて異常監視 アウトラインに設置 網全体のトラフィックを集中監視 フローデータは送受信 IP アドレス プロトコルなど IP ヘッダ内の情報 不正侵 監視 ウイルス監視等には向かない 量トラフィックの DDoS 攻撃を集中監視し 網全体の分析 対策に有効 パケット監視 (DPI) インラインに設置 全 IP パケットの内容 ( ペイロード ) を てウイルス等を監視 ミリ秒 秒単位で検知 対策 インラインなので 装置の信頼性が必要 DC/Cloud 不正侵 監視 規模 DDoS 攻撃 セッション占有攻撃監視に有効 回線帯域を埋められる攻撃には対処不能 規模攻撃で全断 15

16 DDoS 検知 法 Netflow Firewall logs SNMP が上位 Netflow は昨年より 11% 増 Firewall logs は 8% 減 Worldwide Infrastructure Security Report 2017, Arbornetworks 16

17 DDoS 対策 法 ~ 防御 ~ 17

18 防御 法の違い 遮断 正常通信も含めて全ての通信が まる 設備増強 通信はできるが 攻撃も受け続ける 緩和攻撃のみ遮断 正常通信は通す より インテリジェンスな防御 遮断 設備増強 緩和 アクセス回線 アクセス回線 アクセス回線 被害者 被害者 被害者 Customer Site Customer Site Customer Site 正規ユーザに対するサーバの可 性を確保 18

19 DDoS 防御 法 DDoS Mitigation 装置 Blackhole Routing ACL が中 増減が つのは IDMS 73% 83%, ACL 70% 52% 緩和 遮断 遮断 / 緩和 遮断 遮断 緩和 遮断 / 緩和 緩和 増設 増設 Worldwide Infrastructure Security Report 2017, Arbornetworks 19

20 DDoS 防御 法 -Mitigation 装置 - 遮断 増設 緩和 Firewall 攻撃元 Mitigation 装置 IPS ロードバランサ WAF ACL Blackhole scrubbing center Mitigation 装置 ロードバランサ WAF Internet アクセス回線 ACL n DDoS 攻撃緩和装置 パケットレベルの解析により 攻撃トラフィックのみを識別して阻 する で 正常な業務トラフィックは透過するため 業務を妨げることなく防御が可能 1 正常通信 5 正常通信は透過しサービスは継続 トラフィック増で DDoS を検知 DDoS 攻撃 NTT Com Network 3 2 顧客システム 4 経路制御で顧客システム のパケットを迂回 ( 引き込み ) DDoS 防御装置で攻撃だけを除去 防御依頼 DDoS 防御装置 Customer Site 20

21 DDoS 防御 法 -Blackhole Routing- 遮断 増設 緩和 ISP ISP 攻撃元 ACL Blackhole ISP Dst NH a.a.a.a null0 Dst NH a.a.a.a null0 scrubbing center Mitigaiotn 装置 Dst NH a.a.a.a null0 x.x.x.x a.a.a.a x.x.x.x a.a.a.a ロードバランサ x.x.x.x a.a.a.a WAF Internet x.x.x.x/32 の NH=a.a.a.a となるように経路広告 アクセス回線 ACL Firewall Mitigation 装置 IPS ロードバランサ 宛先 IP アドレス向けトラヒックを廃棄 x.x.x.x/32 with BH community WAF Customer Site 21

22 DDoS 防御 法 -BGP Flowspec- 遮断 増設 緩和 ISP ISP 攻撃元 ACL ISP Blackhole Flowspec scrubbing center Mitigaiotn 装置 ロードバランサ WAF Internet dst: x.x.x.x/32 dst:port 80 Action: rate limit dst: x.x.x.x/32 dst:port 80 Action: rate limit dst: x.x.x.x/32 dst:port 80 Action: rate limit x.x.x.x/32 rate limit 経路広告 アクセス回線 ACL Firewall Mitigation 装置 IPS ロードバランサ WAF Customer Site 宛先 IP アドレス向けトラヒックの廃棄だけでなく Src/Dst IP, Src/Dst Port 等の Flow 情報を指定して rate limit やリダイレクトが可能 22 x.x.x.x/32 with BGP Flowspec

23 DDoS 防御 法 -ACL- 遮断 増設 緩和 攻撃元 ACL Blackhole 正常トラフィック scrubbing center Mitigation ロードバランサ WAF Internet 不正トラフィック X 特定の宛先 ポートの通信を フィルタリング アクセス回線 ACL Firewall Mitigation 装置 IPS ロードバランサ 設定が 較的容易 攻撃者のフィルタリングができない場合は正常トラフィックも遮断 WAF Customer Site 23

24 DDoS 防御 法 -Firewall- 緩和 増設 遮断 DDoS 攻撃 攻撃元 ACL Blackhole scrubbing center Mitigation 装置 ロードバランサ WAF 通常の Firewall は DDoS 攻撃防御には不 分 DDoS 攻撃は Firewall で許可されたプロトコル ポート番号を いて実 される さらに 下図で すように サーバやアクセス回線と同様に Firewall 体が DDoS 攻撃対象になっている DDoS 攻撃パケットで Firewall のフィルター処理負荷を上げられ Firewall ダウンによりサイト全断する事例が発 している Internet アクセス回線 ACL Firewall Mitigation 装置 IPS ロードバランサ WAF Customer Site 24

25 DDoS 防御 法 -IPS- 緩和 増設 遮断 DDoS 攻撃 攻撃元 ACL Blackhole scrubbing center Mitigation 装置 ロードバランサ WAF Internet アクセス回線 ACL IPS: Intrusion Prevention System ( 侵 防 システム ) 対処箇所は オンプレミス # 量攻撃時にはボトルネックになる IPS には TCP SYN Flood 攻撃などの 部の DoS 攻撃 法を検出し廃棄する機能を持つ製品がある 使 している IPS が検出可能な攻撃で パケット数やセッション数等で機器性能内であれば IPS で不正パケットを廃棄することでサービスの継続が可能 Firewall Mitigation 装置 IPS ロードバランサ WAF Customer Site 25

26 DDoS 防御 法 -WAF- 緩和 増設 遮断 DDoS 攻撃 攻撃元 ACL Blackhole scrubbing center Mitigation 装置 ロードバランサ WAF WAF: Web Application Firewall 対処箇所は クラウドおよびオンプレミス # 量攻撃時にはボトルネックになる Web サーバに特化した DoS 攻撃も出現していることから TCP SYN Flood 攻撃から Slow DoS 攻撃のような TCP コネクションに関わるリソースを占有する攻撃に対策可能な製品が存在 Internet アクセス回線 ACL Firewall Mitigation 装置 IPS ロードバランサ WAF Customer Site 26

27 DDoS 防御 法 - ロードバランサ - 遮断 増設 緩和 DDoS 攻撃 攻撃元 ACL Blackhole scrubbing center Mitigation 装置 ロードバランサ WAF Internet トラフィックを負荷分散させることで 不正パケットに対するサーバ負荷を分散し サービスの継続が可能 # 攻撃を める訳ではなく 技!! 負荷分散の 段としては CDN(Content Delivery Network) IP Anycast も同様に 不正パケットに対するサーバ負荷を分散し サービスの継続が可能 アクセス回線 CDN サーバ ACL CDN サーバ Web サーバ Firewall Mitigation 装置 IPS ロードバランサ WAF 同一のコンテンツを CDN サーバに配信 CDN サーバ ユーザから見てネットワーク的に近い CDN サーバに誘導 CDN によるトラフィック分散 IP アドレス =X IP アドレス =X IP アドレス =X サーバが一つのIPアドレスを共有 IP Anycast によるトラフィック誘導 Customer Site 27

28 3.BGPDDoS 28

29 BGP を利用した DDoS 対策 BGP を利用した DDoS 対策手法 1. RTBH(Remotely Triggered Black-Hole Rou<ng) 2. BGP Flowspec 3. (BGP を利用したトラフィック引き込み ) 直接の防御手法ではなく クラウドタイプの防御手法で組み合わせて使われる なぜ BGP を使うのか 隣接 AS へ防御を依頼するため

30 隣接 NW における RTBH サービス 一部のトランジット AS や IX 事業者は 顧客からの RTBH 経路を受け入れている DDoS 攻撃 : 宛先 X ブラック ホール 隣接 NW ブラック ホール ブラック ホール 対外ルータ : 経路広告 : ebgp match community <AS>:666 then set community 65535:666 ebgp 対象 システム 対外ルータ AS 宛先 X:X.X.X.X ebgp 対外ルータ 30 経路 成 ルータ 経路 成ルータ : 経路 成 : ip route X.X.X.X/32 null0 static-to-bgp 経路広報 : ibgp community <AS>:666

31 隣接する NW(ISP/IXP) による RTBH メリット 自 AS に攻撃が入ってくる前に攻撃を止められるため 上流回線の輻輳を避けることができる 自 AS の RTBH と組み合わせて利用できる 自動化が容易である デメリット 攻撃が止まったかどうかの判断ができない 注意点 対応していない事業者もある RTBH 用の広告経路を受け入れてもらえるようフィルタを空けてもらうことを忘れないように

32 Selec<ve RTBH 全網内でブラックホール化するのではなく 地域ごとや国ごとなどの特定エリアのルータでのみパケットを破棄する 自国内の折り返しについてはブラックホールさせたくない場合などの利用方法が考えられる 例 :AS2914 Selective Blackhole communities 2914:661 only blackhole inside the region the announcement originated 2914:663 only blackhole inside the country the announcement originated 2914:660 only blackhole outside the region the announcement originated 2914:664 only blackhole outside the country the announcement originated

33 4. DDoS 対策サービス 33

34 Cloud 型 DDoS 防御サービス引込 + 戻し 般的な 法 インフラ防御 scrubbing center Mitigation Box Mitigation Box Mitigation 装置 ISP/ DDoS VPN を利 した戻しお客さまサイトと事業者間で VPN(GRE 等 ) 専 線を張る BGP を利 した引込お客さまセグメントの BGP 経路広告 お客さまセグメント宛て通信 Internet DNS を利 した引込 お客さまホスト名に紐づく IP アドレスを変更 ISP/ DDoS サーバ防御 scrubbing center Mitigation Box Mitigation Box Mitigation 装置 NAT/ PROXY NAT/PROXY を利 した戻し宛先アドレスをお客さまアドレスに変換して戻す お客さまネットワークセグメント (/24) お客さまホスト Customer 34 Site

35 DDoS 防御サービス選択のポイント Type of Attacks 攻撃対象 攻撃例 防御サーヒ ス 事業者 NW 引込 戻し 防御ホ イント 防御提供 式 法 Volume 量的攻撃 不正セッション攻撃 ネットワーク帯域 Saturate Bandwidth サーバー群 ( サーハ ー Fireawall LoadBlancer 等 ) UDP floods, ICMP floods Spoofed packet floods SYN floods, fragmented packet attack, Ping of Death, SmurfDDoS 事業者 NW 顧客 Site 事業者 NW 顧客 Site Cloud 型 mitigation Cloud 型 WAF auto-scaling (CDN,VM,DNS) acl/null-route * 顧客サイトでの防御困難 Cloud 型 mitigation Cloud 型 WAF オンフ レ WAF IPS オンフ レ Mitigation 引込 BGP DNS IP 割当 戻し GRE NAT Proxy CDN 専 線 x-connect Sophistication アフ リケーションレイヤ攻撃 サーバーアプリケーション Slowloris, HTTP flood, DNS dictionary, Zero-day DDoS 事業者 NW 顧客 Site Cloud 型 *mitigation Cloud 側 *WAF * 対称ルート環境下で シク ネチャヘ ース対応に制限有 オンフ レ WAF IPS オンフ レ Mitigation 装置 クラウト 型 : ユーサ オンフ レではなく ISP DDoS 防御サーヒ ス事業者等の事業者ネットワーク内に配置した設備で防御を提供するサーヒ ス形態 35

36 DDoS 対策サービス 提供事業者分類 Cloud Hosting DC 事業者 NTTCom Cloudn/BHEC +WIDE ANGLE WAF Softlayer Null route Firewall/IPS Equinix *Incapsula ハ ートナー Amazon AWS +VPC autoscaling +WAF Imperva Imperva Incapsula * 国内代理店 NTT Soft F5 Silverline DDoS Protection * 国内代理店 NTT-AT Level3 (BlackLotus) DDoS Mitigation * キャリアフリー提供 Arbor Arbor Cloud * 事業者向け卸サーヒ ス有 DDoS 防御サービス事業者 Akamai (Prolexic) Prolexic Routed Private ISP IIJ DDoS フ ロテクションサーヒ ス KDDI DDoS 対策サーヒ ス NTTCom GIN DPS OCN DDoS 対策サーヒ ス Amazon CloudFront +WAF Verizon (Edgecast) Digital Media Defense Service Neustar KDDI (CDNetworks) Cloud Security Akamai Kona Security Suite CDN 事業者 防御 法 Cloud 型スクラヒ ンク センター Cloud 型 WAF auto-scaling(vm,cdn,dns) オンフ レWAF acl/null-route オンフ レmitigation 装置 引込 法 BGP DNS IP 割当 戻し 法 GRE NAT 専 線 CDN PROXY X-conne

37 5. DDoS 対策サービス 37

38 これからの DDoS 対策 n パケットフィルタリングアウトソーシング 1 つの NW のキャパシティを超える攻撃 別の NW に防御を依頼する 例 : NANOG71 (2017/10) における AT&T と CenturyLink の DDoS Peering(flowspec ルールの相互流通 ) の発表 n セキュリティオートメーション ( 動化 ) Pulse wave DDoS での対策は困難 38

39 防御依頼と相互信頼 X 宛のパケットを落として Customer Customer 攻撃元 AS 攻撃先 AS Customer Customer 果たして 相 の防御依頼は信頼できるだろうか? n セキュリティオートメーションと相互信頼を実現する技術として IETF にて DOTS プロトコルが検討されている 39

40 DOTS プロトコルとは n DOTS プロトコル DDoS Open Threat Signaling の略称 DDoS 対策における組織内 / 間の防御依頼の標準化をめざして DOTS WG が 2015 年に IETF で発 n 既存の DDoS 対策の問題点 インターネットへつながる回線が輻輳させられてしまうほどの 規模な攻撃であった場合には 上流のサービスプロバイダや専 の DDoS 対策事業者に防御 ( ミチゲーション ( 緩和 ) やスクラビング ( 除去 ) と呼ばれます ) を依頼する他に 回線の輻輳を避ける 法がない しかし 防御依頼を受け付ける機械的な窓 がなく 間がメールあるいは電話対処するため 防御を発動するまでの時間がかかり その間は攻撃が成 し続けてしまう 40

41 DOTS プロトコルの動き n DOTS プロトコルの動き 利 者側の DOTS クライアントから提供者側の DOTS サーバに対して 攻撃を受けている IP アドレスなどの情報とともに防御を依頼 依頼を受けた DOTS サーバ側は 認証および防御依頼のバリデーションを実施した上で DDoS 対策を実施 n DOTS プロトコルのメリット 1. 間を介さない防御受付のインタフェースが規定されることで DDoS 対策の 動化が可能になる 2. 複数の対策事業者に対して共通のプロトコルで防御依頼をすることができるようになる 3. 別の対策事業者に防御依頼をするような事業者間連携を実現できる 41

42 DOTS 利 シーンその 1 n 間を介さない防御受付インタフェースによる DDoS 対策 動化 防御装置 (DOTS 対応 ) 防御指 NF V F W 防御装置 Internet 攻撃 DOTS サーバ 防御 Transit NW DOTS プロトコルによる 防御依頼 DOTS クライアント VictimNW 42

43 DOTS 利 シーンその 2 n 防御装置 (DOTS 対応 ) への防御依頼の共通化 DOTS 対応 防御装置 NF V F W 防御装置 Internet 攻撃 DOTS サーバ 防御 Transit NW DOTS プロトコルによる 防御依頼 DOTS クライアント DOTS 対応 防御装置 NF V F W 防御指 防御装置 防御 VictimNW 43

44 DOTS 利 シーンその 3 n キャパシティオーバの際に別の対策事業者に防御依頼をするような事業者間連携が実現できる 他組織への防御依頼 DOTS 対応 防御装置 NF V F W 防御装置 サードベンダ DOTS 対応 サービス Internet 防御 攻撃 DOTS サーバ 防御 Transit NW DOTS プロトコルによる 防御依頼 DOTS クライアント DOTS 対応 防御装置 NF V F W 防御指 防御装置 防御 VictimNW 44

45 業界動向 n ( 私 です ) Arbor 2016 年 9 に観測された1Tbps 規模のDDoS 攻撃を背景に 他の DDoS 対策事業者 (AKAMAI/Prolexic) との連携を模索している WG にて精 的に活動 AKAMA早期のdots プロトコル仕様確定に期待 I/ DOTS 対応をDDoS 対策サービスの選び に加えるべき Prolexi c Radwa 社サイトにて dots プロトコルへの対応を明 re Verisig n DDoS 対策サービスを提供 Arbor との連携を想定に WG にて精 的に活動 Cisco Cisco の NW 機器に dots のクライアント機能を れる狙い CPE や IoT デバイスの防御がメインのユースケースか WG にて精 的に活動 Orang e キャリアの視点で 各 DDoS 対策サービスを利 したい考え Cisco と共に マネージド CPE を出す狙いか 45

46 DOTS プロトコルスタック スタック Signal Channel Data Channel アプリケーション CoAP RESTCONF セキュリティ TLS/DTLS TLS トランスポート TCP/UDP TCP 的 ( 攻撃を受けているときに ) 防御を依頼するチャンネル クライアント サーバ 防御依頼 ( 開始 / 停 ) 攻撃を受けている IP アドレス プレフィックス 防御状況の確認 46 ( 攻撃を受けていないときに ) 防御をセットアップするチャンネル ネットワーク情報の登録 テレメトリ情報 サーバ クライアント 防御状況の報告 テレメトリ情報

47 Go implementation of DOTS Demo scenario: Enabling DDoS Protec<on in an upstream network by DOTS protocol h^ps://github.com/ n^dots/go-dots DOTS is: DDoS Open Threat Signaling Automa<on and Standardiza<on of signaling for DDoS protec<on ask for help! from a vic<m to an upstream provider - inter-organiza<on / including authn and authx in Signal Channel Data Channel spec Mi<ga<on Request Model What you can see in this demo: A DOTS client sends a mi<ga<on request to a DOTS server over DOTS signal channel. The DOTS server receives and validates the request, then starts mi<ga<on by kicking a blocker In this demo, the blocker is a gobgp server which triggers blackhole rou<ng in a service operator's network target Service Provider s Network IP/port DOTS Client Signal Channel Data Channel DOTS Server gobgp 4. Stop DDoS A^ack 1. send mi<ga<on request 2. validate request 3.enable blackhole rou<ng

48 オープンソース実装 ( 世界初 ) 48

49 IETF ハッカソン n IETF99 プラハ (2017 年 7 ) オープンソース実装の改善を実施 Best Name Award を受賞 n IETF100 シンガポール (2017 年 11 ) NCC Group の実装と相互接続試験を実施 Best Open Source Award を受賞 49

50 まとめ n DDoS 対策もルーティングセキュリティも 事業者間での合意や連携が重要 n 新しい提案が次々と出てきていますが 緒に試していきましょう 50