インターネットオペレーション 第 9 回 ネットワーク 運 用 と 監 視 / 計 測 技 術 ~インターネットはよく 変 わる( 続 き)~ 重 近 範 行 2005/12/2
網 に 対 するオペレーション end-endの 到 達 性 経 路 の 確 保 フィルタリング/NATの 有 無 品 質 の 確 保 RTTとスループット 網 の 状 態 把 握 経 路 制 御 プロトコルの 動 作 トラフィック 状 況 の 把 握 定 常 と 異 常 観 測 技 術 質 の 高 いネットワーク 運 用 本 日 の 内 容
ネットワークに 対 する 要 求 の 違 い スループット ファイル 転 送 など 低 遅 延 ゲーム,ssh,telnet 低 ジッタ(ゆらぎ) ストリーミング
スループットとジッタ ジッタ =パケット 到 着 間 隔 の 揺 らぎ B A 3 2 1 3 2 1 3BA 2 1 スループット = 単 位 時 間 当 たりに 通 過 したトラフィック 量
量 で 見 張 るvs 詳 しく 見 る 量 で 見 張 る 利 点 全 体 が 把 握 しやすい 設 置 / 設 定 が 簡 単 欠 点 トラブルシュートが 困 難 パケットの 中 身 を 見 る 利 点 トラブルシュートの 際 に 有 用 トラフィック 制 御 の 際 に 有 用 欠 点 設 置 / 設 定 に 費 用 時 間 がか かる 網 全 体 を 見 張 る 事 が 困 難
Water-markの 設 定 : 定 常 と 異 常
Water-markの 設 定 : 手 動 設 定 オペレータが 上 限 下 限 を 設 定 異 常 : 多 すぎ 定 常 異 常 : 少 なすぎ time
Water-markの 設 定 : 自 動 生 成 Holt-winter 方 株 価 予 測 などで 用 いられる 異 常 定 常 異 常 time
keioの 出 口 : 量 を 見 ていれば 運 用 できる? KEIO WIDE 信 濃 町 日 吉 藤 沢 藤 沢 矢 上 三 田 大 手 町
keioの 出 口 : 量 を 見 ていれば 運 用 できる? これは 一 体 何 が 原 因? KEIO WIDE 信 濃 町 日 吉 藤 沢 藤 沢 矢 上 三 田 大 手 町
何 が 攻 撃? Host A Attacker Server Router A Host B Router C Router D Host C Router B
何 が 攻 撃? Host A Attacker Server Router A Host B Router C Router D Host C Router B
何 が 攻 撃? Host A Attacker Server Router A Host B Router C Router D Packet 破 棄 Host C Router B
何 が 攻 撃? Host A Attacker 1. 検 知 ネットワークが おかしいぞ? Server Router A Host B Router C Router D Packet 破 棄 Host C Router B
何 が 攻 撃? 量 を 監 視 していて 分 かるのはココまで! 2. 被 害 箇 所 特 定 Host A Attacker Server Router A Host B Router C Router D Packet 破 棄 Host C Router B
何 が 攻 撃? 3. 攻 撃 特 性 の 把 握 が 攻 撃 パケットだ! Host A Attacker Server Router A Host B Router C Router D Packet 破 棄 Host C Router B
理 想 の 姿 : 本 当 はこうしたい 4. 攻 撃 対 応 のみを 破 棄 Host A Attacker Server Router A Host B Router C Router D Packet drop Host C Router B
Distributed DoS 攻 撃 Attacker Attacker Host A Attacker Server Router A Host B Router C Router D Host C Router B Attacker
原 因 がわかれば 対 応 できる もっとも 単 純 なflooding 攻 撃 deny ip hosta port 100 hostb port 200 tcp ソースアドレス 詐 称 をした 攻 撃 deny ip any port 100 hostb port 200 tcp 不 明 な 要 素 はワイルドカード 記 述 が 可 能 特 定 のアドレス 空 間 を 狙 った 攻 撃 deny ip hosta port 100 10.0.0.0/24 port 200 tcp 単 一 条 件 ではなく レンジで 指 定 可 能 要 素 を 絞 り 込 めるほど 精 度 の 高 い 対 応 が 可 能 : 速 さ 正 確 さはネットワーク 運 用 者 の 力 量 に 依 る
パケットの 中 身 を 見 ると:ethereal
トラフィックを 長 期 間 詳 しく 見 たい パケットを 収 集 する 100Mのトラフィックを 収 集 1 秒 12Mbyte 1 分 715Mbyte 1 時 間 42Gbyte 1 日 1Tbyte 1G/10Gのトラフィックなら IODATA 500GHDD 50,963 円 (kakaku.com) HDI-SA500HS (500G SATA150 7200)
スループットと 記 憶 媒 体
スループットと 記 憶 媒 体 SFC: 共 同 購 入 LaptopHDD 容 量 20G 20G 10G 10G 4G 240M 1G 32M 1990 1995 2000 2005
スループットと 記 憶 媒 体 1G 500M CD MO FD zip SuperDisk HiFD 1990 1995 2000 2005
スループットと 記 憶 媒 体 LTO 3 :800G 500G AIT-4 :520G LTO 2 :400G DLT VS600 :600G 250G AIT-3 :260G LTO 1 :200G AIT-2 :130G DLT VS160 :160G AIT-1 :91G DAT72 :72G DLT4000 :40G DDS-3 :24G DDS-1 :4G 1990 1995 2000 2005
記 憶 媒 体 とバックボーン 帯 域 記 憶 容 量 帯 域 10G 1G 155M 45M 1.5M 64K 1985 1990 1995 2000 2005
観 測 手 法 の 工 夫 1. 観 測 ポイント 2. 収 集 目 的 3. 収 集 方 法 1. サンプリング 2. フィルタリング 3. 集 約
LAN 技 術 とWAN 技 術 観 測 ポイント LAN: 比 較 的 ネットワーク 資 源 に 余 裕 を 持 たせて 設 計 / 構 築 できる WAN:ネットワーク 資 源 が 潤 沢 でない 場 合 が 多 い オペレーションドメインの 境 界 障 害 発 生 時 の 責 任 分 岐 点 異 なる 管 理 ポリシー 自 ネットワーク 隣 接 ISP
収 集 目 的 hostの 振 る 舞 い 負 荷 分 散 障 害 管 理 運 用 指 針 の 決 定 輻 輳 制 御 IDS/IPS 性 能 管 理 短 い 長 い 期 間 細 かい 粗 い 情 報 粒 度
サンプリング 池 の 中 に 赤 い 鯉 は 何 匹? 1. 何 匹 か 釣 ってみる 赤 い 鯉 の 割 合 がわかる 2. 全 体 の 数 ( 母 数 )を 調 べる( 推 測 する) 2-a: 池 全 体 を 魚 群 レーダーで 調 べる 2-b: 最 尤 法 の 適 応 : 母 数 の 推 測 何 度 も 魚 を 釣 ってはタグをつけて 逃 がす 3. 割 合 と 全 体 数 から 赤 い 鯉 の 数 が 分 かる *サンプルが 母 集 団 を 代 表 しているかどうか 注 意 が 必 要!!!
サンプリング:traffic trace WIDEプロジェクト 毎 日 14 時 から2 万 パケットを 収 集 5ヵ 年 継 続 http://mawi.wide.ad.jp/mawi/
サンプリング:Flow export 技 術 ステートフル 情 報 のexport (flow 単 位 でのサンプリング) netflow ver9 RFC3954 Payload 情 報 なし ステートレス 情 報 のexport ( 純 粋 1/nパケットサンプリング) sflow ver4 RFC3176 Payload 情 報 付 加 ( 設 定 可 能 )
sflowアプリケーション InMon Traffic Server
フィルタリング: 特 定 条 件 の 適 合 職 務 質 問 不 審 者 のみ 声 をかける 怪 しそうなパケットのみ 詳 細 に 観 測 外 国 要 人 来 日 会 談 施 設 に 入 る にはボディチェック 施 設 周 辺 は 検 問 守 りたい 対 象 / 周 辺 のみを 詳 細 に 観 測
フィルタリング:ACL access control list keioから 外 部 に 出 て 行 く パケットは8000 個 です router#show access-list count access-list 133.27.0.0/16 any (matches 8000packets) access-list any 133.27.0.0/16 (matches 9000packets) 外 部 からkeioに 来 たパ ケットは9000 個 です
フィルタリング:RMON SNMP Agent 定 期 的 に 蓄 積 する 情 報 を 事 前 に 記 述 しておく GetRequest MIB MIBに 蓄 積 GetResponse 欲 しい 時 に 蓄 積 された 情 報 を 取 りに 行 く SNMP Manager
フィルタリング:tcpdump expressionの 設 定 tcpdumphost 133.27.4.127 www.sfc.wide.ad.jpが 行 う 通 信 のみを 収 集 他 にも プロトコルを 指 定 tcpdump tcp ポート 番 号 を 指 定 tcpdump port 80
集 約 意 味 的 な 集 約 伝 染 病 の 流 行 具 合 / 地 震 速 報 多 い( 大 きい) 所 は 市 町 村 単 位 で 把 握 少 ない( 小 さい) 所 は 国 単 位 で 把 握 国 > 地 域 > 都 道 府 県 > 市 町 村 時 間 的 な 集 約 出 生 数 の 管 理 ここ1 年 のデータは 日 単 位 で 管 理 ここ5 年 のデータは 月 単 位 で 管 理 それ 以 上 過 去 は 年 数 単 位 で 管 理
集 約 :AGURI (Aggregation based traffic profiler) 意 味 的 な 集 約 IPアドレス/プロトコルの 意 味 空 間 を 量 に 応 じて 集 約 2002/1/25 Slammer 発 生 ポート1434 番 を 宛 先 とするパケットが 急 増
時 間 的 な 集 約 集 約 :MRTG 長 期 データほど 時 間 粒 度 が 粗 い Daily' Graph (5 Minute Average) Weekly' Graph (30 Minute Average) Monthly' Graph (2 Hour Average) Yearly' Graph (1 Day Average)
ケーススタディ:router I/F 特 定 のルータのインターフェースにICMPを 大 量 に 送 信 ルータはICMPの 返 答 にCPUリソースを 取 られる 上 位 ルータで 当 該 ルータへのICMPを 遮 断 次 のルータへ 攻 撃 を 移 行 Host A Attacker Router A Server Host B Router C Router D Host C Router B
ケーススタディ:IRC サーバ 間 の 通 信 を 切 ると 攻 撃 の 成 功 が 目 に 見 えて うれしい 特 定 チャネルの 欲 しいnickname を 奪 える No exportで 対 応 隣 接 ASは 見 える/ 連 絡 できる/ 制 御 しやすい その 隣 のASは 見 えずらい IRCサーバ IRCサーバ
まとめ トラフィック 状 況 の 把 握 定 常 と 異 常 観 測 技 術 1. 観 測 ポイント 2. 収 集 目 的 3. 収 集 方 法 1. サンプリング 2. フィルタリング 3. 集 約 質 の 高 いネットワーク 運 用