Microsoft PowerPoint irs14-rtbh.ppt

Similar documents
宛先変更のトラブルシューティ ング

All Rights Reserved. Copyright(c)1997 Internet Initiative Japan Inc. 1

BGPルートがアドバタイズされない場合のトラブルシューティング

ネットワークのおべんきょしませんか? 究める BGP サンプル COMMUNITY アトリビュートここまで解説してきた WEIGHT LOCAL_PREFERENCE MED AS_PATH アトリビュートはベストパス決定で利用します ですが COMMUNITY アトリビュートはベストパスの決定とは

untitled

【公開】村越健哉_ヤフーのIP CLOSネットワーク

橡C14.PDF

経路奉行の取り組み

ループ防止技術を使用して OSPFv3 を PE-CE プロトコルとして設定する

BGP ( ) BGP4 community community community community July 3, 1998 JANOG2: What is BGP Community? 2

Microsoft PowerPoint - irs-sflow-kokai.ppt

JUNOSインターネットソフトウェアとIOSのコンフィグレーション変換

15群(○○○)-8編

_IRS25_DDoS対策あれこれ.pptx

ip nat outside source list コマンドを使用した設定例

はじめに xsp のルータにおいて設定を推奨するフィルタの項目について の IPv6 版 最低限 設定することが推奨されるフィルタ について まず議論したい 接続形態に変化はないので IPv6 対応をメインに IETF draft RIR でproposal 進行中のものについては今回の検討外とした

PowerPoint プレゼンテーション

網設計のためのBGP入門

2014/07/18 1

アライドテレシス・コアスイッチ AT-x900 シリーズ で実現するエンタープライズ・VRRPネットワーク

JANOG14-コンバージェンスを重視したMPLSの美味しい使い方

BGPベストパス選択の実際

Microsoft PowerPoint - janog20-bgp-public-last.ppt

橡3-MPLS-VPN.PDF

untitled

IRS-Meeting-Log txt

RENAT - NW検証自動化

RPKI in DNS DAY

外部ルート向け Cisco IOS と NXOS 間の OSPF ルーティング ループ/最適でないルーティングの設定例

学生実験

Polling Question 1

routing_tutorial key

IPv6 トラブルシューティング~ ISP編~

初めてのBFD

untitled

untitled

rpki-test_ver06.pptx

ISPのトラフィック制御とBGPコミュニティの使い方

25.pdf

Inter-IX IX/-IX 10/21/2003 JAPAN2003 2

Microsoft PowerPoint - janog15-irr.ppt

BGP/MPLS-VPN とは ルータによる 多様な IF による提供が可能 (ATM~ HSD などの非対称構成も可能 ) 暗号に頼らないセキュリティの確保が可能 (FR などと同等の機能を IP ネットワークで実現 ) お客様側への特別な装置が不要 (a)ipsec-vpn 方式 暗号化装置 (

PIM-SSMマルチキャストネットワーク

第1回 ネットワークとは

NetworkKogakuin12

<4D F736F F F696E74202D C F815B834E95D2836E E9197BF2E707074>

IPv6 リンクローカル アドレスについて

VyOSではじめるBGPルータ

PowerPoint プレゼンテーション

IIJ Technical WEEK2017 経路制御の課題と対策

2004 IPv6 BGP G01P005-5

¥¤¥ó¥¿¡¼¥Í¥Ã¥È·×¬¤È¥Ç¡¼¥¿²òÀÏ Âè5²ó

Microsoft PowerPoint - s2-TatsuyaNakano-iw2012nakano_1105 [互換モード]

9.pdf

Office 365 とのドメイン間フェデレーション

Policy Based Routing:ポリシー ベース ルーティング

MPLS-VPN とは C 社を中心として RFC2547(Informational) に記された ISP サービスとしての IP-VPN 実現技術 網内パケット転送に MPLS(LDP/TDP) VPN 経路情報交換に BGP(mpBGP:RFC2283) を使用 ルーティングプロトコルがエッジ

untitled

shtsuchi-janog35.5-grnet.pptx

Clos IP Fabrics with QFX5100 Switches

TCP/IP Internet Week 2002 [2002/12/17] Japan Registry Service Co., Ltd. No.3 Internet Week 2002 [2002/12/17] Japan Registry Service Co., Ltd. No.4 2

内容 2003 年のトピック ルーティング動向 ネットワーク トポロジーの状況 トラフィック状況 2

Policy Based Routing:ポリシー ベース ルーティング

仕様と運用

Juniper Networks Corporate PowerPoint Template

橡2-TrafficEngineering(revise).PDF

今日のトピック 実験結果の共有 RPKI/Router 周りの基本的な動き 今後の課題と展望 2012/7/6 copyright (c) tomop 2

EIGRP MPLS VPN PE-CE Site of Origin の設定

設定例: 基本 ISDN 設定

第11回ネットワークプランニング18(CS・荒井)

Firepower Threat Defense の BGP

Microsoft PowerPoint f-InternetOperation04.ppt

パブリック6to4リレールータに おけるトラフィックの概略

ルーティングの国際動向とRPKIの将来

irs-log.txt

amplification attacks とは 送信元を偽装した dns query による攻撃 帯域を埋める smurf attacks に類似 攻撃要素は IP spoofing amp 2006/07/14 Copyright (C) 2006 Internet Initiative Jap

total.dvi

janog40-sr-mpls-miyasaka-00

P コマンド

LSM-L3-24設定ガイド(初版)

_JANOG44_LINE_tsuchiya

R80.10_FireWall_Config_Guide_Rev1

本日のお話 運用 / 運用システムの現状 ネットワーク運用の自動化のススメ 1) ネットワーク管理の自動化 2) ネットワーク工事 ( 設定 ) の自動化 3) ネットワーク運用時 ( 障害時 ) の自動化 Copyright 2012 NTT Communications Corporation.

November 29, 2016 BGP COMMUNITY の世界動向 吉村知夏 NTT America Internet Week 2016 / Tokyo 1

スライド 1

ISP バックボーンネットワークにおける経路制御設計 ~ 実践編 ~ NTTコミュニケーションズ ( 株 ) 吉田友哉 Copyright 2003 Tomoya Yoshida

第一回 輪講 ~インターネットルーティング入門~

コンテンツセントリックネットワーク技術を用いた ストリームデータ配信システムの設計と実装

IP.dvi

第9回ネットワークプランニング16(CS3年・荒井)

tcp/ip.key

事例から学ぶIPv6トラブルシューティング~ISP編~

IPv4

スライド 1

索引

Microsoft PowerPoint - s07-nakano tatsuya-iw2011-s7-nakano( ) [互換モード]

CCIE IP Anycast RP Anycast RP Anycast RP Anycast RP PIM-SM RP RP PIM-SM RP RP RP PIM Register RP PIM-SM RP PIM-SM RP RP RP RP Auto RP/BSR RP RP RP RP

第9回ネットワークプランニング19(CS3年・荒井)

_mokuji_2nd.indd

アライドテレシス コア・スイッチ AT-x900 シリーズ とディストリビューションスイッチ AT-x600 シリーズ で実現するOSPFv3/OSPFv2 & RIP/RIPng デュアルスタック ・ ネットワーク

Transcription:

RTBH 実装例の紹介 ~AS9370 編 ~ さくらインターネット ( 株 ) 技術部大久保修一 ohkubo@sakura.ad.jp

今日の Agenda はじめに RTBH とは? RTBH 実装の背景 構成の検討 ルータの試験 OSPF vs BGP BGP 広報経路の RTBH 化 まとめ

RTBH とは? Remotely Triggered Black Hole Filtering の略 NANOG23(2001/10) で紹介されました ISP Security - Real World Techniques Remote Triggered Black Hole Filtering and Backscatter Traceback http://www.nanog.org/mtg-0110/greene.html BGP にて Nexthop を null に向けた経路を広報することにより AS 内の全 BGP ルータに 一斉に null routing を設定できる DoS アタックの対応方法の 1 つ

RTBH の仕組み ebgp 上位 ISP など 192.168.1.0/24 to null0 Static 10.0.0.1/32 to null0 192.168.1.0/24 宛て 192.168.1.0/24 宛て ebgp ibgp BGP 経路広報 192.168.1.0/24 Nexthop: 10.0.0.1 Static 10.0.0.1/32 to null0 RR など 192.168.1.0/24 to null0 受信側であらかじめ 10.0.0.1/32 を null0 に向けておく BGP の Nexthop は 10.0.0.1 Recursive Lookup した結果 192.168.1.0/24 も null0 に向く自分の AS

RTBH 導入の背景 DoS アタック発生時 以前はボーダー付近の null routing で対応していた 最近の DoS アタックは 規模が大きくなってきた ( 数 Gbps) 分散型 (DDoS) になってきた 単純な null routing では 10Gbps 中継回線の輻輳が懸念 RTBH により 網の入り口で破棄できるようにしたい

なぜ RTBH か? Null routing の場合 DoS トラフィックが集まってくる 中継回線輻輳のおそれ Static: 192.168.1.0/24 to null0 ボーダー付近で null routing 設定 (OSPF へ再配布 ) 192.168.1.0/24 宛て DoS アタック 192.168.1.0/24 宛て DoS アタック 192.168.1.0/24 宛て DoS アタック なるべく網の入り口で止めたい 192.168.1.0/24 宛て DoS アタック

なぜ RTBH か? RTBH の場合 網の入り口で破棄できる 中継回線の輻輳を免れる 192.168.1.0/24 宛て DoS アタック 192.168.1.0/24 宛て DoS アタック ibgp で経路広報 192.168.1.0/24 宛て DoS アタック RR など 192.168.1.0/24 宛て DoS アタック

構成の検討 BGP Community 9370:XXX no-export あらかじめNullに向けておくアドレス 他の実装例では TestNet(192.0.2.0/24) を使ってるケースが多い? 弊社では グローバルアドレスのうち Anycast 用のブロックから /32のIPアドレスを確保 経路広報の方法 既存のRRで生成するか? トリガルータ (RTBH 経路広報専用ルータ ) を準備するか?

トリガルータ RR で経路生成するよりも 専用のトリガルータを用意するのが オペレーション上よさそう トリガルータを専用に準備 FreeBSD-6.2RELEASE+quagga 0.99.7 RR RR 経路広報 ibgp ピア トリガルータ RRC RRC RRC RRC 15 台くらい

ルータの試験 試験対象ルータ 経路広報 192.168.255.1/24 192.168.255.2/24 BGP: 172.16.0.0/16 Next-hop: 10.0.0.1 トリガルータ Static: 10.0.0.1/32 null0 ibgp ピア 設定 172.16.0.0/16 が null0 に向くか? router bgp 65001 network 172.16.0.0/16 route-map RM-LOCAL neighbor 192.168.255.1 remote-as 65001 neighbor 192.168.255.1 soft-reconfiguration inbound route-map RM-LOCAL permit 10 set ip next-hop 10.0.0.1

ルータの試験 問題なく動作するルータ Foundry BigIron-RX シリーズ Force10 E シリーズ ALAXALA 7800R シリーズ RTBH が動作しないルータ Foundry NetIron シリーズ BGP Next-hop が null0 を向いていると採用されない 仕様? バグ? NetIron Router#sho ip bgp Total number of BGP Routes: 1 Status codes: s suppressed, d damped, h history, * valid, > best, i internal Origin codes: i - IGP, e - EGP,? - incomplete Network Next Hop Metric LocPrf Weight Path *i 172.16.0.0/16 10.0.0.1 0 100 0 i BEST にならない

パケット破棄が遅いルータ Null0 宛てのパケットを CPU 処理するルータ Forwarding はハードウェア処理 大量のトラフィックを破棄させると CPU 負荷上昇 BGP ピアダウン 通信障害 Telnet ログインもできない 破棄よりも Forwarding したほうが速い

ワークアラウンド RTBH が動作しないルータ パケット破棄が遅いルータ Anycast 的に破棄させる 入り口で破棄 入り口で破棄 外部 Static:10.0.0.1/32 to null0 BGP:192.168.1.0/24 to null0 Static:10.0.0.1/32 to null0 BGP:192.168.1.0/24 to null0 10.0.0.1/32 は OSPF へ再配布 Static:10.0.0.1/32 to null0 BGP:192.168.1.0/24 to null0 OSPF:10.0.0.1/32 to eth1/1 BGP:192.168.1.0/24 to eth1/1 近場の破棄できるルータに転送 内部 入り口で破棄 外部

OSPF vs BGP BlackHole しようとする経路が OSPF で観測されていると BGP 経路が BEST にならない RTBH で破棄できず OSPF 経路に沿ってそのまま転送され続ける

OSPF vs BGP 192.168.200.0/24 を BlackHole 化したい! DoS アタック発生 トリガルータ OSPF BGP コア BEST にならない BEST BGP 192.168.200.0/24 OSPF 192.168.200.0/24 OSPF へ再配布 Static 192.168.200.0/24 エッジ お客様 お客様

OSPF vs BGP 通常は 狙われている IP アドレス (/32) 単位で落とすので問題はない 問題は 既存ルーティングの単位 (/27 など ) で落としたい場合 BGP が OSPF に勝つように distance 値を変更する インパクトを考えると すぐには変更できない カスタマ経路を OSPF ではなく BGP に載せる 構成変更が大変 BGP に対応していないエッジルータもあるし カスタマ向けルーティングを削除する コアで落ちる 冗長化している 2 台のエッジルータで設定が必要 復旧時のオペレーションに注意が必要 経路を分割して広報する 手順化すれば なんとかオペレーションできそう 今回はこちらで運用

経路分割広報 192.168.200.0/24 を BlackHole 化したい! DoS アタック トリガルータ OSPF BGP コア BEST BGP 192.168.200.0/25 192.168.200.128/25 BEST OSPF 192.168.200.0/24 OSPF へ再配布 Static 192.168.200.0/24 エッジ お客様 お客様

config 生成フォーム Prefix の分割 192.168.1.126/26 を 2 つに分割すると???? トリガルータに設定

/32 の OSPF 経路 192.168.200.1 を BlackHole 化したい! ACL や Static null routing などで対応 DoS アタック発生 トリガールータ OSPF BGP コア BGP????????? 分割広報しようがない BEST OSPF 192.168.200.1/32 OSPF へ再配布 Static 192.168.200.1/32 エッジ お客様 お客様

やっぱり Distance 値変更か? Force10 の例 0 Connected interface 1 Static route 20 External Border Gateway Protocol (BGP) 110 OSPF 115 Intermediate System-to-Intermediate System (IS-IS) 120 Routing Information Protocol (RIP) 200 Internal BGP route-map で個別に制御できるとうれしいんだけど route-map RM-XXXX perm 10 match community 9370:xxx set distance 50 こんな感じ!? 実装しているルータありますか?

BGP 広報経路の RTBH 化 インターネット向けに広報する集約経路は RR にて生成 Static にて null routing の設定 BGP network コマンド Static は OSPF に再配布 使われていないアドレス宛のごみパケットは RR が破棄 しかし RR のリンクは細く (1Gbps) パケット破棄能力も高くない DoS を食らうと CPU 負荷上昇 RR が死ぬ バックボーン全滅 そこで! 広報する集約経路も RTBH 化すればよさそう!!

従来の構成 RR で破棄 利用中アドレス宛 未使用アドレス宛 コア 10G 回線輻輳のおそれ 1G static:59.106.0.0/16 to null0 BGP:59.106.0.0/16 to loopback RR エッジ パケット破棄による CPU 負荷上昇

新構成 RTBH 化 利用中アドレス宛 未使用アドレス宛 Static:10.0.0.1/32 to null0 BGP:59.106.0.0/16 to null0 コア 10G Static:10.0.0.1/32 to null0 BGP:59.106.0.0/16 to null0 Static:10.0.0.1/32 to null0 BGP:59.106.0.0/16 to null0 Static:10.0.0.1/32 to null0 BGP:59.106.0.0/16 to null0 1G BGP:59.106.0.0/16 to 10.0.0.1 RR エッジ BGP パケットのみやりとり

今後考えていること BGPカスタマ向け提供 東京 大阪 2ASにまたがってRTBHが効くとより良さそう さらに 上位 ISPにもRTBH 経路を広報 上位でトラフィックを止めてくれると良さそう

BGP カスタマ向けに提供 外部 AS 経路広報 9370:xxx 弊社 AS BGP カスタマ

BGP カスタマ向けに提供 外部 AS 現在 exact マッチ カスタマから受信する Prefix フィルタの変更が必要 or longer でマッチするように 経路広報 9370:xxx 弊社 AS BGP カスタマ

東阪 AS を超えて RTBH 化 大阪側から入ってくる DoS は大阪側で破棄 上位 ISP 上位 ISP ebgp トリガールータ 東京側 AS 大阪側 AS

さらに上位 ISP 向け 上位 ISP で止めてくれる 上位 ISP 上位 ISP 2914:xxx 2516:xxx 2497:xxx ebgp トリガールータ 東京側 AS 大阪側 AS

まとめ DoS アタックに対するバックボーンの耐性向上 RTBH の仕組みを実装していると 多少安心 OSPF 経路との兼ね合いは難しい RTBH は万能では無い DoS アタック対応の 1 手段 ACL などの他の対応方法も含め ケースバイケースで対応方法を考える必要がある

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック