インターネットオペレーション 第 10 回 2006 年 12 月 15 日 ネットワークの運用と監視 計測技術 (2) 重近範行
本日の内容 ネットワーク運用と監視 観測 定常と異常 トラフィック計測 ネットワークに起こり得る 悪いこと 原因の特定 パケットを見るとわかること 長期観測と観測手法 観測の目的 観測手法 サンプリング フィルタリング 集約
ネットワーク運用と監視 観測 攻撃 故障 事故 ユーザの変化.etc 検知 切り分け 原因特定 対応 ポリシーへの反映
トラフィック計測技術 背景 インターネットは best-effort 大規模 多様 管理の分散性 品質管理困難 必要性 品質を管理 ネットワークの運用 DOS 検知 資源最適配置 経路最適化 プロトコル アプリケーション シュミレーション 擬似トラフィック パラメータ推定 ネットワークの動的 適応的制御 フロー制御 ポリシ制御 セキュリティ制御 End ユーザの興味 大丈夫なのかな?
PAM:Passive/Active measuremnt Passive measurement 観測対象 に 観測手法 が影響を与えない Active Measurement 観測対象 に 負荷 をかけることによって計測 負荷 網の状態を推測 Network
計測手法と制御 : 実時間性 負荷分散 障害管理 トラフィックモデル化 輻輳制御パケットスケジューリングバッファ管理 Fast Reroute 構成管理サーバ選択性能管理プロトコル評価 IDS/IPS 運用指針の決定セキュリティ管理 短い 長い 実時間性
何が攻撃? Host A Attacker Server Router A Host B Router C Router D Host C Router B
何が攻撃? Host A Attacker Server Router A Host B Router C Router D Host C Router B
何が攻撃? Host A Attacker Server Router A Host B Router C Router D Packet 破棄 Host C Router B
何が攻撃? Host A Attacker 1. 検知 ネットワークがおかしいぞ? Server Router A Host B Router C Router D Packet 破棄 Host C Router B
何が攻撃? 量を監視していて 分かるのはココまで! 2. 被害箇所特定 Host A Attacker Server Router A Host B Router C Router D Packet 破棄 Host C Router B
何が攻撃? 3. 攻撃特性の把握 が攻撃パケットだ! Host A Attacker Server Router A Host B Router C Router D Packet 破棄 Host C Router B
理想の姿 : 本当はこうしたい 4. 攻撃対応 のみを破棄 Host A Attacker Server Router A Host B Router C Router D Packet drop Host C Router B
Distributed DoS 攻撃 Attacker Attacker Host A Attacker Server Router A Host B Router C Router D Host C Router B Attacker
Water-mark の設定 : 定常と異常
Water-mark の設定 : 手動設定 オペレータが上限 下限を設定 異常 : 多すぎ 定常 異常 : 少なすぎ time
Water-mark の設定 : 自動生成 Holt-winter 方 株価予測などで用いられる 異常 定常 異常 time
keio の出口 : 量を見ていれば運用できる? KEIO WIDE 信濃町 日吉 藤沢 藤沢 矢上 三田 大手町
keio の出口 : 量を見ていれば運用できる? これは一体 何が原因? KEIO WIDE 信濃町 日吉 藤沢 藤沢 矢上 三田 大手町
原因がわかれば対応できる もっとも単純な flooding 攻撃 deny ip hosta port 100 hostb port 200 tcp ソースアドレス詐称をした攻撃 deny ip any port 100 hostb port 200 tcp 不明な要素はワイルドカード記述が可能 特定のアドレス空間を狙った攻撃 deny ip hosta port 100 10.0.0.0/24 port 200 tcp 単一条件ではなく レンジで指定可能 要素を絞り込めるほど 精度の高い対応が可能 : 速さ 正確さはネットワーク運用者の力量に依る
パケットの中身を見ると :ethereal
トラフィックを 長期間 詳しく 見たい パケットを収集する 100Mのトラフィックを収集 1 秒 12Mbyte 1 分 715Mbyte 1 時間 42Gbyte 1 日 1Tbyte 1G/10Gのトラフィックなら Buffalo 750GHDD 56,702 円 (kakaku.com) HD-H750FBS/M (750G U100 7200)
スループットと記憶媒体
スループットと記憶媒体 SFC: 共同購入 LaptopHDD 容量 20G 20G 10G 10G 4G 240M 1G 32M 1990 1995 2000 2005
記憶媒体とバックボーン帯域 記憶容量 帯域 10G 1G 155M 45M 1.5M 64K 1985 1990 1995 2000 2005
観測手法の工夫 全部 を 長期間 観測するのは難しい 1. 観測ポイント 2. 収集目的 3. 収集方法 1. サンプリング 2. フィルタリング 3. 集約
LAN 技術と WAN 技術 観測ポイント LAN: 比較的ネットワーク資源に余裕を持たせて設計 / 構築できる WAN: ネットワーク資源が潤沢でない場合が多い オペレーションドメインの境界 障害発生時の責任分岐点 異なる管理ポリシー 自ネットワーク 隣接 ISP
収集目的 host の振る舞い 負荷分散 障害管理 運用指針の決定 輻輳制御 IDS/IPS 性能管理 短い 長い 期間 細かい 粗い 情報粒度
サンプリング 池の中に赤い鯉は何匹? 1. 何匹か釣ってみる 赤い鯉の割合がわかる 2. 全体の数 ( 母数 ) を調べる ( 推測する ) 2-a: 池全体を魚群レーダーで調べる 2-b: 最尤法の適応 : 母数の推測何度も魚を釣ってはタグをつけて逃がす 3. 割合 と 全体数 から 赤い鯉の数が分かる * サンプルが母集団を代表しているかどうか注意が必要!!!
サンプリング :traffic trace WIDE プロジェクト 毎日 14 時から2 万パケットを収集 5ヵ年継続 http://mawi.wide.ad.jp/mawi/
サンプリング :Flow export 技術 ステートフル情報の export (flow 単位でのサンプリング ) netflow ver9 RFC3954 Payload 情報なし ステートレス情報の export ( 純粋 1/n パケットサンプリング ) sflow ver4 RFC3176 Payload 情報付加 ( 設定可能 )
sflow アプリケーション InMon Traffic Server
フィルタリング : 特定条件の適合 職務質問 不審者のみ声をかける 怪しそうなパケットのみ詳細に観測 外国要人来日 会談施設に入る にはボディチェック 施設周辺は検問 守りたい対象 / 周辺 のみを詳細に観測
フィルタリング :ACL access control list keio から外部に出て行く パケットは 8000 個です router#show access-list count access-list 133.27.0.0/16 any (matches 8000packets) access-list any 133.27.0.0/16 (matches 9000packets) 外部から keio に来たパ ケットは 9000 個です
フィルタリング :RMON SNMP Agent 定期的に蓄積する情報を事前に記述しておく GetRequest MIB MIB に蓄積 GetResponse 欲しい時に 蓄積された情報を取りに行く SNMP Manager
フィルタリング :tcpdump expression の設定 tcpdump host 133.27.4.127 www.sfc.wide.ad.jpが行う通信のみを収集 他にも プロトコルを指定 tcpdump tcp ポート番号を指定 tcpdump port 80
集約 意味的な集約 伝染病の流行具合 / 地震速報 多い ( 大きい ) 所は市町村単位で把握 少ない ( 小さい ) 所は国単位で把握 国 > 地域 > 都道府県 > 市町村 時間的な集約 出生数の管理 ここ 1 年のデータは日単位で管理 ここ 5 年のデータは月単位で管理 それ以上過去は年数単位で管理
ある日の出来事 突然のトラフィック急増 2002 年 1 月 25 日
送信元 IP アドレス特徴 広い IP アドレス空間
宛先 IP アドレス特徴 128.0.0.0/1
宛先ポート番号の特徴 4:17:1434
攻撃の特徴 特徴攻撃要素送信元 IPアドレス 単一集中分散 宛先 IPアドレス送信元ポート番号宛先ポート番号プロトコル 1434 番ポートを宛先とした udp パケットを破棄
ポートスキャン IPv4 TCP dst prot 2 番ポートから開始 3 づつ加算 [ip:proto:dstport] 10933438650 (100.00%) 0/0:0:0 50394643 (0.46%/100.00%) 4:6:0/0 123970078 (1.13%/96.16%) 4:6:0/3 136730580 (1.25%/95.03%) 4:6:0/10 110321675 (1.01%/51.22%) 4:6:0/12 180612063 (1.65%/11.77%) 4:6:2 220337940 (2.02%) 4:6:5 220259760 (2.01%) 4:6:8 224630700 (2.05%) 4:6:11 220901820 (2.02%) : : 4:6:104 229349040 (2.10%) 4:6:107 220964460 (2.02%) 4:6:110 221768098 (2.03%) 4:6:119 213498789 (1.95%)
ポートスキャン 特徴攻撃要素送信元 IPアドレス 単一集中分散 宛先 IPアドレス送信元ポート番号宛先ポート番号プロトコル
ケーススタディ : 狙われた IRC IRC 1 IRC 2 IRC 2 IRC 3
ケーススタディ : 狙われた IRC サーバ間の通信を切ると 攻撃の成功が目に見えて うれしい 特定チャネルの 欲しい nickname を奪える No export で対応 隣接 AS は見える / 連絡できる / 制御しやすい その隣の AS は見えずらい IRC サーバ IRC サーバ
まとめ ネットワーク運用と監視 観測 定常と異常 トラフィック計測 ネットワークに起こり得る 悪いこと 原因の特定 パケットを見るとわかること 長期観測と観測手法 観測の目的 観測手法 サンプリング フィルタリング 集約 攻撃 故障 事故 ユーザの変化.etc 検知 切り分け 原因特定 対応 ポリシーへの反映