NTTコミュニケーションズにおける マルチホームのお客様向けソリューションのご紹介 2018年02月23日 NTTコミュニケーションズ株式会社 ネットワークサービス部 Nguyen Tuan Duong Transform your business, transcend expectations with our technologically advanced solutions. NTTコミュニケーションズ株式会社 部署名 名称 年月日 Copyright NTT Communications Corporation. All rights reserved.
自己紹介 Nguyen Tuan Duong ( グエントウアンズオン ) ネットワークサービス部ネットワークビジネスエキスパート東京オリンピック パラリンピック推進室 ( 兼務 ) 1985 年 10 月 1 日生まれベトナム出身 NTT Com のインターネットサービス GIN/OCN や NW セキュリティの SE Cisco の SE 最上位資格 CCIE Routing and Switching(#55027) 2004 年 ~2012 年日本留学 2012 年 4 月 (H24) NTT Com 入社 2012 年 ~2013 年 NTT America 勤務 2014 年 ~ NTT Com 勤務 Copyright NTT Communications Corporation. All rights reserved. 2
Agenda 第一部 : マルチホームのお客様向け DDoS 対策ソリューションのご紹介 1. 最近の DDoS 攻撃を中心としたトピック 2.DDoS 攻撃および DDoS 対策手法 3. マルチホーム DDoS 対策ソリューションのご紹介 第二部 : トランジット +IX 接続のお客様向けソリューションのご紹介 4. マルチホームのお客様の現状 & 課題 5.JPNAP 接続ソリューションのご紹介 Copyright NTT Communications Corporation. All rights reserved. 3
Agenda 第一部 : マルチホームのお客様向け DDoS 対策ソリューションのご紹介 1. 最近の DDoS 攻撃を中心としたトピック 2.DDoS 攻撃および DDoS 対策手法 3. マルチホーム DDoS 対策ソリューションのご紹介 第二部 : トランジット +IX 接続のお客様向けソリューションのご紹介 4. マルチホームのお客様の現状 & 課題 5.JPNAP 接続ソリューションのご紹介 Copyright NTT Communications Corporation. All rights reserved. 4
最近の DDoS 攻撃を中心としたトピック 1.DDoS 攻撃の大規模化 米セキュリティ情報サイトの Krebs on Security が大規模な DDoS 攻撃 665Gbps 2. 日本国内での被害 FX サイトや仮想通貨サイトに DDoS 攻撃 ダウン相次ぐ Copyright NTT Communications Corporation. All rights reserved. 5
最近の DDoS 攻撃を中心としたトピック 3.IoT 端末の Bot 化 ( ウィルス感染 ) Copyright NTT Communications Corporation. All rights reserved. 6
( 参考 )DDoS 攻撃の現状 ( グローバル ) 拡大傾向の DDoS 攻撃をユーザ側だけで防御するのは限界ネットワークの利用を継続するには上流ネットワークでの防御が不可欠 DDoS 攻撃のリスクの顕在化 拡大する DDoS 攻撃の規模 84% の事業者で DDoS 攻撃をすでに経験 懸念事項としても DDoS 攻撃がトップ 900 800 700 600 500 400 300 309 Gbps 494 Gbps 394 Gbps 800 Gbps 200 100 24 Gbps 38 Gbps 44 Gbps 100 Gbps 55 Gbps 55 Gbps 0 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 Arbor Networks, WORLDWIDE INFRASTRUCTUR ESECURITY REPORT [January 24, 2017] における 回答者 (N=356) が受けたDDoS 攻撃の最大値 < 出展 >Arbor Networks DDoS の攻撃規模も年々拡大サーバダウンだけでなく ネットワークの利用不能を目的とした攻撃も増加 Copyright NTT Communications Corporation. All rights reserved. 7
( 参考 )DDoS 攻撃の現状 ( 日本 ) Copyright NTT Communications Corporation. All rights reserved. 8
( 参考 )DDoS 攻撃の現状 ( 日本 ) Copyright NTT Communications Corporation. All rights reserved. 9
Agenda 第一部 : マルチホームのお客様向け DDoS 対策ソリューションのご紹介 1. 最近の DDoS 攻撃を中心としたトピック 2.DDoS 攻撃および DDoS 対策手法 3. マルチホーム DDoS 対策ソリューションのご紹介 第二部 : トランジット +IX 接続のお客様向けソリューションのご紹介 4. マルチホームのお客様の現状 & 課題 5.JPNAP 接続ソリューションのご紹介 Copyright NTT Communications Corporation. All rights reserved. 10
DoS/DDoS 攻撃とは DoS(Denial of Service) 攻撃 Internet Attack 1:1 DDoS(Distributed Denial of Service) 攻撃 bot bot botnet bot Internet Attack bot bot bot bot 多 :1 Copyright NTT Communications Corporation. All rights reserved. 11
DoS/DDoS の攻撃の種類 お客さま INTERNET ネットワーク帯域 コンピュータリソース アプリケーション 量的攻撃 不正セッション攻撃アプリケーションレイヤ攻撃 DNS サーバ 攻撃者 DNS リフレクション攻撃 被害者 1T 大量トラフィックで回線を埋める 被害者 SYN flood 攻撃 Session Table full セッションを食い潰す 被害者 Slow Read Dos 攻撃 Resource full サーバリソースを消費する Copyright NTT Communications Corporation. All rights reserved. 12
DDoS 攻撃の対策方法 緩和 攻撃のみ遮断 正常通信は通す 設備増強 通信はできるが 攻撃も受け続ける 遮断 正常通信も含めて通信が止まる より インテリジェンスな防御 緩和設備増強遮断 アクセス回線 アクセス回線 アクセス回線 被害者 被害者 被害者 Customer Site Customer Site Customer Site Copyright NTT Communications Corporation. All rights reserved. 13
Agenda 第一部 : マルチホームのお客様向け DDoS 対策ソリューションのご紹介 1. 最近の DDoS 攻撃を中心としたトピック 2.DDoS 攻撃および DDoS 対策手法 3. マルチホーム DDoS 対策ソリューションのご紹介 第二部 : トランジット +IX 接続のお客様向けソリューションのご紹介 4. マルチホームのお客様の現状 & 課題 5.JPNAP 接続ソリューションのご紹介 Copyright NTT Communications Corporation. All rights reserved. 14
マルチホームでの DDoS 対策課題 1. 各 ISP で提供している DDoS 対策は対策ポリシーがバラバラで 運用 管理が大変 2. お客さまが接続している ISP 全てに DDoS 対策を契約しないと いけないため 非常にコストがかかる 3. 複数の ISP との DDoS 対策の契約をする必要があり 契約の手間や 更新などが大変 ISP-A ISP-B ISP-C DDoS 対策 DDoS 対策 DDoS 対策 各 ISP 毎に契約が必要 各 ISP 毎に契約が必要 各 ISP 毎に契約が必要 CPE CPE CPE お客様 Copyright NTT Communications Corporation. All rights reserved. 15
潜在的な問題 マルチホームDDoS 対策を行う際の潜在的な問題 1. 複数の対策ポリシーでの運用することで高スキルエンジニアの確保が必要 また いつDDoS 攻撃が発生するか分からないため 休日 夜間を含めた24 時間 365 日でのエンジニア体制が必要 2. 運用やエンジニアの稼働削減をさせるのに 設備や仕組みが必要 ISP-A ISP-B ISP-C Policy A Policy B Policy C CPE CPE CPE エンジニア お客様 対策システム Copyright NTT Communications Corporation. All rights reserved. 16
マルチホーム DDoS 対策ソリューション マルチホーム構成で DDoS 対策 (GIN のみで DDoS 対策 ) DDoS 対策を行っていない他 ISP で DDoS が発生し通常通信に影響 インターネット DDoS 緩和装置 DDoS 正常通信 GIN 他 ISP 正常通信 aaa.aaa.3.1 aaa.aaa.2.2 aaa.aaa.2.1 aaa.aaa.1.1 お客様ネットワーク (aaa.aaa.0.0/16) Copyright NTT Communications Corporation. All rights reserved. 17
DDoS 緩和機能イメージ 他 ISP トラフィック ( インターネット上に広告可能な最少ブロック (24bit Subnetmask) も含めて DDoS 対策を実施 インターネット 正常トラフィック aaa.aaa.3.0/24 は通常経路のまま GIN DDoS 緩和装置 他 ISP 正常トラフィックを含む aaa.aaa.2.0/24 を全て引き込み 正常トラフィックのみ GIN 経由で送信 正常トラフィック aaa.aaa.1.0/24 は通常経路のまま aaa.aaa.3.1 aaa.aaa.2.2 aaa.aaa.2.1 aaa.aaa.1.1 お客様ネットワーク (aaa.aaa.0.0/16) Copyright NTT Communications Corporation. All rights reserved. 18
ブラックホール機能イメージ 他 ISP トラフィックも含めて ネットワーク単位 (24bit mask) で トラフィックを引き込んで ホストアドレス単位 (32bit mask) 全て廃棄 正常トラフィックを含む aaa.aaa.2.1/32 宛て通信を全て廃棄 インターネット DDoS 対象ホストアドレス以外は通常経路のまま GIN 他 ISP 正常トラフィックを含む aaa.aaa.2.0/24を全て引き込み DDoS 対象ホストアドレス以外はお客様 NW へ転送 DDoS 対象ホストアドレス以外は通常経路のまま aaa.aaa.3.1 aaa.aaa.2.2 aaa.aaa.2.1 aaa.aaa.1.1 お客様ネットワーク (aaa.aaa.0.0/16) Copyright NTT Communications Corporation. All rights reserved. 19
ソリューションの動作 5-1 BH 発動 5-2 緩和指示 SOC GIN (Global IP Network) 6 緩和実施 DDoS 緩和装置 他 ISP DDoS 攻撃 DDoS 攻撃 DDoS 攻撃 オペレーション チーム DDoS 検知装置 2DDoS 検知 フロー情報 4BGP /24 経路広告 お客様ネットワーク 1DDoS 攻撃発生 BGP 広告前のトラフィック BGP 広告後のトラフィック 緩和後のトラフィック 3 通知ポータル確認 管理者 攻撃対象機器 Copyright NTT Communications Corporation. All rights reserved. 20
ソリューションの特徴 1. 複数の ISP をまとめて対策!! 他社回線も含めた 1 つの運用ポリシーにて DDoS 対策が可能 ISP 毎の DDoS 対策が不要となり コスト削減が可能 2.DDoS 対策の専門部隊にアウトソーシング!! 24 時間 365 日体制でオペレーションをアウトソーシング可能 経験豊富なDDoS 対策スペシャリストが対応することで弊社のネットワークと同等な高いセキュリティレベルを実現 3. 設備投資不要!! 設備は NTT コミュニケーションズ側 ( 全世界 ) に設置することで お客様の設備投資が不要 Copyright NTT Communications Corporation. All rights reserved. 21
Agenda 第一部 : マルチホームのお客様向け DDoS 対策ソリューションのご紹介 1. 最近の DDoS 攻撃を中心としたトピック 2.DDoS 攻撃および DDoS 対策手法 3. マルチホーム DDoS 対策ソリューションのご紹介 第二部 : トランジット +IX 接続のお客様向けソリューションのご紹介 4. マルチホームのお客様の現状 & 課題 5.JPNAP 接続ソリューションのご紹介 Copyright NTT Communications Corporation. All rights reserved. 22
マルチホームのお客様の現状 1 トランジットは ローカルで複数の ISP と接続 マルチホーム構成 2OTT や xsp とは IX 経由で接続 Peering 東京 / 大阪 DC IX1 IX2 専用線 xsp 事業者様 DC ISP1 ISP2 マルチホーム Copyright NTT Communications Corporation. All rights reserved. 23
マルチホームのお客様の課題 東京 / 大阪 DC IX1 IX2 課題 1: 専用線のコスト? 専用線 課題 2: 回線の有効活用? xsp 事業者様 DC ISP1 ISP2 マルチホーム Copyright NTT Communications Corporation. All rights reserved. 24
Agenda 第一部 : マルチホームのお客様向け DDoS 対策ソリューションのご紹介 1. 最近の DDoS 攻撃を中心としたトピック 2.DDoS 攻撃および DDoS 対策手法 3. マルチホーム DDoS 対策ソリューションのご紹介 第二部 : トランジット +IX 接続のお客様向けソリューションのご紹介 4. マルチホームのお客様の現状 & 課題 5.JPNAP 接続ソリューションのご紹介 Copyright NTT Communications Corporation. All rights reserved. 25
JPNAP 接続ソリューションのご紹介 TagVLAN PE OCN AS4713 xsp 事業者様 DC CPE TagVLAN PE GIN AS 2914 TagVLAN JPNAP (IX 事業者 ) Copyright NTT Communications Corporation. All rights reserved. 26
ご清聴ありがとうございました お問い合わせは 営業担当者または下記へご連絡ください trahanki-ns@ntt.com Copyright NTT Communications Corporation. All rights reserved. 27