_Janog37.pptx

Similar documents
NTT Communications PowerPoint Template(38pt)

MPLS Japan 2015 キャリアサービスへの EVPN 適 用の検討と課題 横 山博基 NTT コミュニケーションズ株式会社 ネットワークサービス部 Copyright NTT Communications Corporation. All right reserved.

Copyright 2008 NIFTY Corporation All rights reserved. 2

製品概要

相続支払い対策ポイント

150423HC相続資産圧縮対策のポイント

ハピタス のコピー.pages

Copyright 2008 All Rights Reserved 2

DDoS攻撃について

sdnjapan-keynote-toyama-for-public

お客様からの依頼内容とその現状

2014 年電子情報通信学会総合大会ネットワークシステム B DNS ラウンドロビンと OpenFlow スイッチを用いた省電力法 Electric Power Reduc8on by DNS round- robin with OpenFlow switches 池田賢斗, 後藤滋樹

ブロードバンドルータにおける問題(オープンリゾルバ)の解説、対策の説明

初心者にもできるアメブロカスタマイズ新2016.pages

- 2 Copyright (C) All Rights Reserved.

Cisco1812-J販促ツール 競合比較資料 (作成イメージ)

Copyright 2006 KDDI Corporation. All Rights Reserved page1

Copyright All Rights Reserved. -2 -!

_IRS26_withdraw選手権_西塚事後.pptx

なぜIDSIPSは必要なのか?(v1.1).ppt

PowerPoint Presentation

Microsoft Word - 最終版 バックせどりismマニュアル .docx

! Copyright 2015 sapoyubi service All Rights Reserved. 2

2017 年 6 月 14 日 スムーズな API 連携でデジタルビジネスを推進する API Gateway as a Service の提供を開始 ~ 外部との API 接続を容易にし xtech ビジネス連携を加速 ~ NTT コミュニケーションズ ( 以下 NTT Com) は 複数のシステム

Sample 5

事例でわかる!スマートフォン対応手法カタログ

dekiru_asa

KDDI

ICT-ISACにおけるIoTセキュリティの取組について

URL AdobeReader Copyright (C) All Rights Reserved.

untitled

Corp ENT 3C PPT Template Title

初めてのBFD

OP2

ライフサイクル管理 Systemwalker Centric Manager カタログ

Microsoft IISのWebDAV認証回避の脆弱性に関する検証レポート

SHODANを悪用した攻撃に備えて-制御システム編-

目次 1. はじめに SSL 通信を使用する上での課題 SSL アクセラレーターによる解決 SSL アクセラレーターの導入例 SSL アクセラレーターの効果... 6 富士通の SSL アクセラレーター装置のラインナップ... 8

Re-Quest 操作クイックマニュアル < 勤怠管理編 >. 承認方法. タイムシートを検索します 勤怠管理 メニューをクリックして勤怠状況画面を表示します タイムシートのステータスごとの件数が表示されています 該当するステータスをクリックして対象のタイムシートを検索します 日次の承認を行う場合

アジェンダ 注目のキーワード SDN SD-WANの登場 SD-WAN 導入の課題 SD-WAN 検討ポイント 導入事例紹介

Microsoft PowerPoint - d2-Shin Miyakawa-NTT-COM-IPv IW

健康保険組合のあゆみ_top

リバースマップ原稿2

Copyright 2010 Sumitomo Mitsui Banking Corporation. All Rights Reserved.

高速ソフトウェアルータ Kamuee

20 180pixel 180pixel Copyright 2014 Yahoo Japan Corporation. All Rights Reserved.

電子申告の達人とは 法人税の達人 などの 申告書作成ソフト で作成した申告 申請等データを電子申告データに変換し 署名 送信から受信確認までの一連の操作を行うことができます 2

JP1 Version 12

Microsoft PowerPoint irs14-rtbh.ppt

_IPv6summit_nishizuka.pptx

MC3000一般ユーザ利用手順書

CloudEdgeあんしんプラス月次レポート解説書(1_0版) _docx

_JANOG_BOF_これからのDDoS攻撃対策_pub.pptx

<4D F736F F F696E74202D208E9197BF31322D D BB8CA48B8689EF C835B83938E9197BF284E F E B8CDD8AB B83685D>

Drive-by Download 攻撃に おけるRIG Exploit Kitの 解析回避手法の調査

Microsoft PowerPoint - 入門編:IPSとIDS、FW、AVの違い(v1.1).ppt

2ACL DC NTMobile ID ACL(Access Control List) DC Direction Request DC ID Access Check Request DC ACL Access Check Access Check Access Check Response DC

McAfee Application Control ご紹介


J システム による道路交通情報の提供について 平成 29 年 6 月現在 公益財団法人日本道路交通情報センター 1

2030 年頃の社会とインターネット 社会的課題の解決や新たな価値創造を通じ 様々な産業や社会システム のデジタルトランスフォーメーション (DX) が加速 企業は事業者 / 産業の垣根を越えてつながり あらゆるデータがやり取りされる時代 以前はオフライン主流のニュース / 動画 / 音楽 / 放送

UPS管理システムSAN GUARD IV

中継サーバを用いたセキュアな遠隔支援システム

PowerPoint プレゼンテーション

やよいの顧客管理

弥生給与/やよいの給与計算

弥生 シリーズ

弥生会計 プロフェッショナル/スタンダード/やよいの青色申告

弥生会計/やよいの青色申告

弥生会計 ネットワーク/プロフェッショナル2ユーザー

PowerPoint プレゼンテーション

Transcription:

DDoS 対策に関するテスト話 2016.01.21 16:00 ~ 17:30 JANOG37 meeting BoF, どんなテストしてる? ( 続 ) NTT コミュニケーションズ 技術開発部 池 田賢 斗

自 己紹介 n 2014 年年 NTT コミュニケーションズ 入社 n DDoS 対策ソリューションの開発や xflow 関連技術の開発に従事 n JANOG33 ( 学 生時代 ) JANOG36 のスタッフ活動 n wakamonog の運営委員 2

前回の BoF での 小岩さんの発表資料料 http://www.janog.gr.jp/meeting/janog36/download_ file/view/166/196 本発表ではこの部分に関する実例例を共有し Bof のネタ提供ができればと思います 3

DDoS 軽減専 用装置の検証実例例 n 今回ご紹介する PJ の主な 目的 複数の DDoS 軽減専 用装置に対して横並び検証を 実施することで各製品毎の弱み 強みを評価し 商 用サービスへの製品選定時の参考情報とする Ø 商 用サービスへの導 入のための検証ではないことをご留留意ください 複数の DDoS 軽減専 用装置の API に関する検証を 行行い DDoS 防御オーケストレータシステムの開発を 行行なう DDoS 防御オーケストレータシステムについて <http://www.ntt.com/release/monthnews/detail/20150604.html> 開発したシステムを実網上に構築し 複数企業で トライアルを実施する 4

( 参考 )DDoS テストベッドトライアルを実施中 ISP A 社 トライアル利利 用企業 正常通信のみ透過 フローデータ 1 GIN/OCN 2 疑似 DDoS 攻撃 3 DDoS 防御 オーケストレータ 3 つの特徴 1NTT Com 独 自の経路路制御技術 DDoS 攻撃を GIN/OCN に引き込み 一元的に防御 2 適切切な防御 手段の選択 マネジメントポータルから 状況に応じた防御 手段を選択 3 擬似攻撃発 生による試験実施 トライアル利利 用企業が 自社への 擬似 DDoS 攻撃が可能 利利 用企業が 自ら試験シナリオを 作成 実 行行し有効性を評価 トライアル利利 用企業 ご担当者 セキュリティ機器ベンダ提供の DDoS 緩和装置 Copyright NTT Communications Corporation. All rights reserved. 5

DDoS 対策に関する 事前知識識の共有 6

DDoS 攻撃とは DDoS 攻撃とは DDoS(Distributed Denial of Service: 分散サービス妨害 ) 攻撃は インターネット上に存在する 大量量の コンピュータから 一 斉に特定サイト (WEB サーバなど ) や企業のネットワークへ不不正パケットを送出し サーバ / システム負荷 ネットワーク輻輻輳を招き サービスを停 止させてしまう攻撃です ここ数年年で DDoS 攻撃が 大規模化 複雑化しており 事前のセキュリティ対策が不不可 欠になりつつあります ゾンビ PC 群 (Botnet) 1 攻撃命令令 インターネット上の数 十万規模の ゾンビ PC(Botnet) を遠隔操作し WEB サーバ等に攻撃を仕掛ける 2 攻撃パケット送信 ゾンビ PC(Botnet) から 特定サイト ( サーバ ) への 大量量のパケット送信 Network Congestion 3DDoS 被害の発 生 DDoS 攻撃対象となったサイトでは サーバ 高負荷 (FW/IDS/IPS 等も含む ) NW 輻輻輳が発 生してサービスやネット ワークがダウン IDS/IPS Down 7 FW/IDS/IPS サーバ群 Server Down

DDoS 防御のトレードオフ n DDoS 対策において 精度度 - 費 用間のトレードオフが存在する n DDoS 防御の精度度 False positive: 通常トラフィックを誤って攻撃トラフィックと判断して遮断してしまうこと False negative: 攻撃トラフィックを誤って通常トラフィックと判断して通してしまうこと 手法 特徴 巻込 費 用 1 ブラックホールルーティング 2 アクセス制御 設定 3 DDoS 軽減専 用装置 大規模アタックに対する対処 特定 IP 宛の全てのトラフィックを全て破棄 ルータ等における ACL 設定にて IP+Port の組み合わせでパケットを破棄 きめ細やかな DDoS 対処が可能 DDoS 軽減専 用装置にトラフィックを通して防御実施 8

n 主な構成 DDoS 軽減専 用装置を利利 用した防御 Internet- side DDoS 攻撃 DDoS 攻撃 正常通信 正常通信 customer- side flow BGP GRENW DDoS flow DDoS DDoS 構成によって 使 用できない機能がある DDoS 軽減装置も 9

(参考)flowspecを 用いたオフランプ型DDoS緩和の例例 http://www.janog.gr.jp/meeting/janog36/download_ file/view/160/216 10

検証の実例例のご紹介 11

ご紹介する検証の概要 n 主な検証構成はオフランプ構成 DDoS 攻撃の検知 BGP 経路路広告によるトラフィック迂回 DDoS 軽減装置による攻撃トラフィックの除去 GREトンネルによるトラフィック戻し の4つの技術の検証が必要 ( 本発表では除去機能の検証について ) n 本 PJ の検証の流流れ ラボ試験 ü 上記の検証に加え API 制御に関する開発を 行行なう 実網試験 ü 検証 用の AS を 用いて実網上で試験を 行行なう 主にトラフィックの迂回 戻しの検証を重点的に 他社様との共同検証 12

ラボ検証の概要 1. (GEIKO) 2. 3. DDoS 緩和 装置 ( 複数 ) 連携 DDoS 防御 オーケスト レータ ibgp GRE Tunnel トラフィック情報 (NetFlow) Web サーバ (victim) 1. [] 2. [] ebgp 主な検証構成はオフランプ型 ü 検証対象のDDoS 緩和装置からvictim サーバIPアドレスの経路路広告を 行行い トラフィックを引き込む ü 正常通信はGRE 経由で戻す 攻撃通信と正常通信の混在通信で試験を 行行なう ü 攻撃通信は主に内製の攻撃システムを 用いて発 生 ( 次ページで説明 ) ü 正常通信に影響がないことを レスポンスタイム取得とブラウザアクセスにより確認 ü victim で Packet Capture を 行行い 攻撃が 止まるまでの時間を測定 13

n GEIKO の構成 内製の攻撃システム (GEIKO) の概要 GEIKO:C&C ü Web ポータルから ( 複数の )GEIKO:BOT に攻撃の開始 / 終了了の 指 示を 行行なう Ø 使 用するGEIKO:BOT 攻撃の種類 攻撃対象の選択が可能 GEIKO:BOT ü GEIKO:C&C から指 示を受け 攻撃を 行行なう Ø Ø 現在 26 種類の DDoS 攻撃を選択可能 ( 主に攻撃頻出度度の観点から選定 ) BOT の追加や攻撃ツールの追加は Ansible を 用いて実施 n 内製の攻撃システムを 用いるモチベーション 実網上での検証に拡張可能 ( 次ページ ) 公開されている攻撃ツール ( ペネトレーションテストツール ) に対してアンテナを 高く持つきっかけとなる テスタで 足りない攻撃があった場合に対応可能 低コスト 14

実網検証環境の概要 内製の攻撃発 生システムを構築し 国内外の 自社拠点にGEIKO:BOTを配置 GINに影響がない範囲で 実網上でDDoS 対策関連の検証を実施可能 GEIKO:C&C 疑似攻撃者 正常通信 WEB BOT GIN(AS2914) GEIKO:BOT 国内 BOT 1 国内 BOT 2 海外 BOT 1 海外 BOT2 DDoS 攻撃 ebgp ebgp オフランプ型で実網上に検証環境を構築 防御対象アドレスの経路路広告を GIN に 行行なうことで DDoS 軽減装置への引き込みが可能 連携 ibgp DDoS 防オーケストレータ DDoS 緩和 装置 ( 複数 ) GRE Tunnel トラフィック情報 (xflow) Web サーバ (victim) Customer 相当の AS DDoS 検証 AS

実網検証環境の活 用例例 n トラフィックの引き込み 戻しの検証を実網上で実施 BGP 経路路の伝搬の検証 DDoS 緩和装置の MTU に関する検証を実網上で実施 ü DDoS 緩和装置と Customer が GIN 上で GRE トンネルを はる場合 GRE の MTU を 1500 にすることが可能 ü 通常の GRE の MTU は 1476 となるが GIN のバックボーンは MTU が 大きく設定されているため GRE の MTU を拡張可能 トラフィック戻しの際のフラグメントを防ぐことが可能 n GeoIP ベースの緩和 ( 除去 ) 機能の検証を実施 国内外に配置した BOT を 用いることにより検証を実施 n 他社様との共同検証を実施 16

まとめ BoF で議論論したい内容 n オフランプ型 DDoS 緩和の場合 1 検知 2トラフィック迂回 3 除去 4トラフィック戻し の4 技術に関する検証が必要 本 日は主に除去機能の検証についてお話しました n セキュリティアプライアンスの検証の場合 テスタの使 用だけでは なく 世の中に出回っているツールのウォッチも重要 n セキュリティアプライアンスは L7 機器なので正解データがない 複数種類の攻撃を組み合わせや それと正常通信の 組み合わせを考えるとトラフィックパターンは無数に存在する ( セキュリティアプライアンスに限らず ) L4 以上の機器検証を 行行なう際 みなさまどのような ( どこまで ) 試験を 行行ってますか? 実際に導 入してしまい チューニングをしていくことも 必要なのではないでしょうか? 17

ご清聴ありがとうございました 18

2026 © docsplayer.net プライバシー | 利用規約 | フィードバック