DDoS対策最新動向 - PDF Free Download

S6 今を知り今後に備える! ルーティングセキュリティ DDoS 対策最新動向 Internet Week 2017 2017 年 11 28

紹介 n 塚要 ( にしづかかなめ ) 2006 年 NTT コミュニケーションズ社 OCN アクセス系ネットワークの設計に従事した後規模 ISP の運サービスを担当現在は研究開発組織にてトラフィック分析など ISP の課題に関する研究開発に従事 n メインフィールドトラフィック分析 DDoS 対策 IPv4 枯渇対策関連技術 n 社外活動 IETF 標準化 DOTS WG JPNIC IPv6 教育専家チーム 2

1. DDoS 攻撃の傾向 3

DDoS の字がニュース誌にも登場 - 銀のネットバンキングが使えない - オンラインのゲームができない - 攻撃をめて欲しければを払え 4

規模 DDoS 攻撃の事例時継続時間攻撃対象影響内容 2014 年 6 数時間 Evernote 400Gbps 以上のDDoS 攻撃を受けサービスに障が出た銭要求 2014 年 6 半 Feedly Evernoteとほぼ同時にDDoS 攻撃を受けサービス停銭要求国 ISPなどの協によりサービス復旧 2014 年 8 数時間 PlayStation Network ネットワークに接続障害サービス利停 2014 年 12 不明北朝鮮 (STAR-KP) 9 時間半にわたり北朝鮮がインターネットから孤 2015 年 3 6 間以上 Greatfire.org 2.6B/h( 通常の 2500 倍 ) の接続要求が発サービス停 2015 年 3 4 以上 Github 改竄された第三者 Webサイトから2 秒毎にGithubへ量アクセスが発攻撃が繰り返され都度対策を実施 2015 年 5 1 時間 FX プライム by GMO ネットバンキングに接続しつらい状況銭要求 2015 年 6 約 2 時間セブン銀ネットバンキングに接続しつらい状況銭要求 2015 年 8 約 3 時間ゲーム Dota2 の世界会賞総額 1800 万ドルの世界会 The International 2015 に DDoS 攻撃が発約 3 時間試合中 2016 年 1 5 間以上産動国際的ハッカー集団アノニマスによるDDoS 攻撃により Webサイトが全停 ( 捕鯨への抗議のため ) 2016 年 10 約 6 時間 Dyn (Managed DNS 基盤 ) IoT 機器向けマルウェア Mirai による DDoS 攻撃により Amazon, PayPal, Twitter など多くののサービスに障 (1.2Tbps) 2017 年 6 3 間 ( 断続的 ) Final Fantasy XIV 北サーバ 2017 年 10 2 間スウェーデンの複数の交通機関 5 FF14 の北サーバが DDoS 攻撃を受け 6 17 19 21 にネットワーク障害が発列運を管理する Trafikverket( スウェーデン産業省交通局 ) の IT システムが痺し列の運停や遅延が発

DDoS 攻撃とは DDoS(Distributed Denial of Service: 分散サービス妨害 ) 攻撃はインターネット上に存在する量のコンピュータからに特定サイト (WEB サーバなど ) や企業のネットワークへ不正パケットを送出しサーバ / システム負荷ネットワーク輻輳を招きサービスを停させてしまう攻撃ここ数年で DDoS 攻撃も深刻化複雑化しており事前のセキュリティ対策が不可になりつつあるゾンビ PC 群 (Botnet) 1 攻撃命令インターネット上の数万規模のゾンビ PC(Botnet) を遠隔操作し WEB サーバ等に攻撃を仕掛ける 2 攻撃パケット送信ゾンビ PC(Botnet) から特定サイト ( サーバ ) への量のパケット送信 Network Congestion 3DDoS 被害の発 DDoS 攻撃対象となったサイトではサーバ負荷 (FW/IDS/IPS 等も含む ) NW 輻輳が発してサービスやネットワークがダウン Server Down サーバ群 IDS/IPS Down FW/IDS/IPS 6

DoS 攻撃 /DDoS 攻撃 DoS(Denial of Service) 攻撃 Internet attack サービス提供不可 1:1 Denial-of-Service attack イサービス妨害攻撃 ( 悪意のあるが ) 企業のウェブサイトに量のデータを送信してそのサーバーが正常に機能しなくなるようにして ( その企業の ) 顧客またはユーザーがアクセス不可能な状態にすること DDoS(Distributed Denial of Service) 攻撃 Distributed コ分散型の英辞郎 on the Web より bot bot botnet bot bot Internet attack サービス提供不可 bot bot bot 複数の攻撃元攻撃量も増加多 :1 7

DDoS 攻撃の種類と影響範囲攻撃法により影響箇所は異なるネットワーク帯域 NW サーバリソースアプリケーションお客さまインターネット量的攻撃不正セッション攻撃アプリケーション攻撃 DNS/NTP サーバリフレクション攻撃等 SYN flood 攻撃等 Get Flood 攻撃等攻撃者被害者 300Gbps 量トラフィックで回線を埋める Session Table full セッションをい潰す Resource full サーバリソースを消費する 8

DDoS 攻撃法 ü 攻撃タイプ毎の割合アクセス回線を埋めるため上流 ISP での対策が必要量的不正セッションアプリレイヤ量的攻撃が全体の 2/3 を占める Worldwide Infrastructure Security Report 2016, Arbornetworks based on a survey comprised of 172 free-form and multiple choice questions 9

DDoS 攻撃対象企業ネットワークにおける脅威として Internet 接続部の輻輳が 1 位 DDoS 攻撃攻撃元インターネット輻輳アクセス回線 Worldwide Infrastructure Security Report 2016, Arbornetworks based on a survey comprised of 172 free-form and multiple choice questions Customer Site 10

IoT デバイスを利したボリューム攻撃リフレクション攻撃ではないボリューム攻撃の発マルウェアに感染した IoT デバイスで構成されるボットネットからの攻撃記録的な DDoS 攻撃が 1 ヶ以内に複数件発リフレクション攻撃とは異なり IP アドレスを spoof することもなく正常な通信と同様にセッションの確 Source: Downdetector.com 発時攻撃対象攻撃帯域攻撃元攻撃法 2016/9/20 KrebsOnSecurit y.com web 625Gbps router, DVR, IP camera BASHLITE Mirai o SYN/GET/ POST flood o GRE 2016/9/20 OVH hosting 1Tbs+ DVR IP camera 145,607 IP o TCP/ack otcp/ack+psh o TCP/syn 2016/10/21 Dyn Managed DNS 基盤 1Tbs+ 11 Mirai 10s of millions of IP o Pseudo Random Subdomain Attack

2. DDoS 対策法 12

DDoS 対策の流れ検知フロー監視パケット監視サービス監視申告防御遮断設備増強緩和検知と防御でそれぞれの法がありどのように組み合わせるかが重要

DDoS 対策法 ~ 検知 ~ 14

DDoS 攻撃検知法フロー監視 vs パケット監視 ISP フローデータ ( サンプリング ) パケット監視フロー監視フロー監視 (Netflow/sFlow) ルータから受信したフローデータをいて異常監視アウトラインに設置網全体のトラフィックを集中監視フローデータは送受信 IP アドレスプロトコルなど IP ヘッダ内の情報不正侵監視ウイルス監視等には向かない量トラフィックの DDoS 攻撃を集中監視し網全体の分析対策に有効パケット監視 (DPI) インラインに設置全 IP パケットの内容 ( ペイロード ) をてウイルス等を監視ミリ秒秒単位で検知対策インラインなので装置の信頼性が必要 DC/Cloud 不正侵監視規模 DDoS 攻撃セッション占有攻撃監視に有効回線帯域を埋められる攻撃には対処不能規模攻撃で全断 15

DDoS 検知法 Netflow Firewall logs SNMP が上位 Netflow は昨年より 11% 増 Firewall logs は 8% 減 Worldwide Infrastructure Security Report 2017, Arbornetworks 16

DDoS 対策法 ~ 防御 ~ 17

防御法の違い遮断正常通信も含めて全ての通信がまる設備増強通信はできるが攻撃も受け続ける緩和攻撃のみ遮断正常通信は通すよりインテリジェンスな防御遮断設備増強緩和アクセス回線アクセス回線アクセス回線被害者被害者被害者 Customer Site Customer Site Customer Site 正規ユーザに対するサーバの可性を確保 18

DDoS 防御法 DDoS Mitigation 装置 Blackhole Routing ACL が中増減がつのは IDMS 73% 83%, ACL 70% 52% 緩和遮断遮断 / 緩和遮断遮断緩和遮断 / 緩和緩和増設増設 Worldwide Infrastructure Security Report 2017, Arbornetworks 19

DDoS 防御法 -Mitigation 装置 - 遮断増設緩和 Firewall 攻撃元 Mitigation 装置 IPS ロードバランサ WAF ACL Blackhole scrubbing center Mitigation 装置ロードバランサ WAF Internet アクセス回線 ACL n DDoS 攻撃緩和装置パケットレベルの解析により攻撃トラフィックのみを識別して阻するで正常な業務トラフィックは透過するため業務を妨げることなく防御が可能 1 正常通信 5 正常通信は透過しサービスは継続トラフィック増で DDoS を検知 DDoS 攻撃 NTT Com Network 3 2 顧客システム 4 経路制御で顧客システムのパケットを迂回 ( 引き込み ) DDoS 防御装置で攻撃だけを除去防御依頼 DDoS 防御装置 Customer Site 20

DDoS 防御法 -Blackhole Routing- 遮断増設緩和 ISP ISP 攻撃元 ACL Blackhole ISP Dst NH a.a.a.a null0 Dst NH a.a.a.a null0 scrubbing center Mitigaiotn 装置 Dst NH a.a.a.a null0 x.x.x.x a.a.a.a x.x.x.x a.a.a.a ロードバランサ x.x.x.x a.a.a.a WAF Internet x.x.x.x/32 の NH=a.a.a.a となるように経路広告アクセス回線 ACL Firewall Mitigation 装置 IPS ロードバランサ宛先 IP アドレス向けトラヒックを廃棄 x.x.x.x/32 with BH community WAF Customer Site 21

DDoS 防御法 -BGP Flowspec- 遮断増設緩和 ISP ISP 攻撃元 ACL ISP Blackhole Flowspec scrubbing center Mitigaiotn 装置ロードバランサ WAF Internet dst: x.x.x.x/32 dst:port 80 Action: rate limit dst: x.x.x.x/32 dst:port 80 Action: rate limit dst: x.x.x.x/32 dst:port 80 Action: rate limit x.x.x.x/32 rate limit 経路広告アクセス回線 ACL Firewall Mitigation 装置 IPS ロードバランサ WAF Customer Site 宛先 IP アドレス向けトラヒックの廃棄だけでなく Src/Dst IP, Src/Dst Port 等の Flow 情報を指定して rate limit やリダイレクトが可能 22 x.x.x.x/32 with BGP Flowspec

DDoS 防御法 -ACL- 遮断増設緩和攻撃元 ACL Blackhole 正常トラフィック scrubbing center Mitigation ロードバランサ WAF Internet 不正トラフィック X 特定の宛先ポートの通信をフィルタリングアクセス回線 ACL Firewall Mitigation 装置 IPS ロードバランサ設定が較的容易攻撃者のフィルタリングができない場合は正常トラフィックも遮断 WAF Customer Site 23

DDoS 防御法 -Firewall- 緩和増設遮断 DDoS 攻撃攻撃元 ACL Blackhole scrubbing center Mitigation 装置ロードバランサ WAF 通常の Firewall は DDoS 攻撃防御には不分 DDoS 攻撃は Firewall で許可されたプロトコルポート番号をいて実されるさらに下図ですようにサーバやアクセス回線と同様に Firewall 体が DDoS 攻撃対象になっている DDoS 攻撃パケットで Firewall のフィルター処理負荷を上げられ Firewall ダウンによりサイト全断する事例が発している Internet アクセス回線 ACL Firewall Mitigation 装置 IPS ロードバランサ WAF Customer Site 24

DDoS 防御法 -IPS- 緩和増設遮断 DDoS 攻撃攻撃元 ACL Blackhole scrubbing center Mitigation 装置ロードバランサ WAF Internet アクセス回線 ACL IPS: Intrusion Prevention System ( 侵防システム ) 対処箇所はオンプレミス # 量攻撃時にはボトルネックになる IPS には TCP SYN Flood 攻撃などの部の DoS 攻撃法を検出し廃棄する機能を持つ製品がある使している IPS が検出可能な攻撃でパケット数やセッション数等で機器性能内であれば IPS で不正パケットを廃棄することでサービスの継続が可能 Firewall Mitigation 装置 IPS ロードバランサ WAF Customer Site 25

DDoS 防御法 -WAF- 緩和増設遮断 DDoS 攻撃攻撃元 ACL Blackhole scrubbing center Mitigation 装置ロードバランサ WAF WAF: Web Application Firewall 対処箇所はクラウドおよびオンプレミス # 量攻撃時にはボトルネックになる Web サーバに特化した DoS 攻撃も出現していることから TCP SYN Flood 攻撃から Slow DoS 攻撃のような TCP コネクションに関わるリソースを占有する攻撃に対策可能な製品が存在 Internet アクセス回線 ACL Firewall Mitigation 装置 IPS ロードバランサ WAF Customer Site 26

DDoS 防御法 - ロードバランサ - 遮断増設緩和 DDoS 攻撃攻撃元 ACL Blackhole scrubbing center Mitigation 装置ロードバランサ WAF Internet トラフィックを負荷分散させることで不正パケットに対するサーバ負荷を分散しサービスの継続が可能 # 攻撃をめる訳ではなく技!! 負荷分散の段としては CDN(Content Delivery Network) IP Anycast も同様に不正パケットに対するサーバ負荷を分散しサービスの継続が可能アクセス回線 CDN サーバ ACL CDN サーバ Web サーバ Firewall Mitigation 装置 IPS ロードバランサ WAF 同一のコンテンツを CDN サーバに配信 CDN サーバユーザから見てネットワーク的に近い CDN サーバに誘導 CDN によるトラフィック分散 IP アドレス =X IP アドレス =X IP アドレス =X サーバが一つのIPアドレスを共有 IP Anycast によるトラフィック誘導 Customer Site 27

3.BGPDDoS 28

BGP を利用した DDoS 対策 BGP を利用した DDoS 対策手法 1. RTBH(Remotely Triggered Black-Hole Rou<ng) 2. BGP Flowspec 3. (BGP を利用したトラフィック引き込み ) 直接の防御手法ではなくクラウドタイプの防御手法で組み合わせて使われるなぜ BGP を使うのか隣接 AS へ防御を依頼するため

隣接 NW における RTBH サービス一部のトランジット AS や IX 事業者は顧客からの RTBH 経路を受け入れている DDoS 攻撃 : 宛先 X ブラックホール隣接 NW ブラックホールブラックホール対外ルータ : 経路広告 : ebgp match community <AS>:666 then set community 65535:666 ebgp 対象システム対外ルータ AS 宛先 X:X.X.X.X ebgp 対外ルータ 30 経路成ルータ経路成ルータ : 経路成 : ip route X.X.X.X/32 null0 static-to-bgp 経路広報 : ibgp community <AS>:666

隣接する NW(ISP/IXP) による RTBH メリット自 AS に攻撃が入ってくる前に攻撃を止められるため上流回線の輻輳を避けることができる自 AS の RTBH と組み合わせて利用できる自動化が容易であるデメリット攻撃が止まったかどうかの判断ができない注意点対応していない事業者もある RTBH 用の広告経路を受け入れてもらえるようフィルタを空けてもらうことを忘れないように

Selec<ve RTBH 全網内でブラックホール化するのではなく地域ごとや国ごとなどの特定エリアのルータでのみパケットを破棄する自国内の折り返しについてはブラックホールさせたくない場合などの利用方法が考えられる例 :AS2914 Selective Blackhole communities 2914:661 only blackhole inside the region the announcement originated 2914:663 only blackhole inside the country the announcement originated 2914:660 only blackhole outside the region the announcement originated 2914:664 only blackhole outside the country the announcement originated https://www.us.ntt.net/support/policy/routing.cfm

4. DDoS 対策サービス 33

Cloud 型 DDoS 防御サービス引込 + 戻し般的な法インフラ防御 scrubbing center Mitigation Box Mitigation Box Mitigation 装置 ISP/ DDoS VPN を利した戻しお客さまサイトと事業者間で VPN(GRE 等 ) 専線を張る BGP を利した引込お客さまセグメントの BGP 経路広告お客さまセグメント宛て通信 Internet DNS を利した引込お客さまホスト名に紐づく IP アドレスを変更 ISP/ DDoS サーバ防御 scrubbing center Mitigation Box Mitigation Box Mitigation 装置 NAT/ PROXY NAT/PROXY を利した戻し宛先アドレスをお客さまアドレスに変換して戻すお客さまネットワークセグメント (/24) お客さまホスト Customer 34 Site

DDoS 防御サービス選択のポイント Type of Attacks 攻撃対象攻撃例防御サーヒス事業者 NW 引込戻し防御ホイント防御提供式法 Volume 量的攻撃不正セッション攻撃ネットワーク帯域 Saturate Bandwidth サーバー群 ( サーハー Fireawall LoadBlancer 等 ) UDP floods, ICMP floods Spoofed packet floods SYN floods, fragmented packet attack, Ping of Death, SmurfDDoS 事業者 NW 顧客 Site 事業者 NW 顧客 Site Cloud 型 mitigation Cloud 型 WAF auto-scaling (CDN,VM,DNS) acl/null-route * 顧客サイトでの防御困難 Cloud 型 mitigation Cloud 型 WAF オンフレ WAF IPS オンフレ Mitigation 引込 BGP DNS IP 割当戻し GRE NAT Proxy CDN 専線 x-connect Sophistication アフリケーションレイヤ攻撃サーバーアプリケーション Slowloris, HTTP flood, DNS dictionary, Zero-day DDoS 事業者 NW 顧客 Site Cloud 型 *mitigation Cloud 側 *WAF * 対称ルート環境下でシクネチャヘース対応に制限有オンフレ WAF IPS オンフレ Mitigation 装置クラウト型 : ユーサオンフレではなく ISP DDoS 防御サーヒス事業者等の事業者ネットワーク内に配置した設備で防御を提供するサーヒス形態 35

DDoS 対策サービス提供事業者分類 Cloud Hosting DC 事業者 NTTCom Cloudn/BHEC +WIDE ANGLE WAF Softlayer Null route Firewall/IPS Equinix *Incapsula ハートナー Amazon AWS +VPC autoscaling +WAF Imperva Imperva Incapsula * 国内代理店 NTT Soft F5 Silverline DDoS Protection * 国内代理店 NTT-AT Level3 (BlackLotus) DDoS Mitigation * キャリアフリー提供 Arbor Arbor Cloud * 事業者向け卸サーヒス有 DDoS 防御サービス事業者 Akamai (Prolexic) Prolexic Routed Private ISP IIJ DDoS フロテクションサーヒス KDDI DDoS 対策サーヒス NTTCom GIN DPS OCN DDoS 対策サーヒス Amazon CloudFront +WAF Verizon (Edgecast) Digital Media Defense Service Neustar KDDI (CDNetworks) Cloud Security Akamai Kona Security Suite CDN 事業者防御法 Cloud 型スクラヒンクセンター Cloud 型 WAF auto-scaling(vm,cdn,dns) オンフレWAF acl/null-route オンフレmitigation 装置引込法 BGP DNS IP 割当戻し法 GRE NAT 専線 CDN PROXY X-conne

5. DDoS 対策サービス 37

これからの DDoS 対策 n パケットフィルタリングアウトソーシング 1 つの NW のキャパシティを超える攻撃別の NW に防御を依頼する例 : NANOG71 (2017/10) における AT&T と CenturyLink の DDoS Peering(flowspec ルールの相互流通 ) の発表 n セキュリティオートメーション ( 動化 ) Pulse wave DDoS での対策は困難 https://www.incapsula.com/blog/pulse-wave-ddos-pins-down-multiple-targets.html 38

防御依頼と相互信頼 X 宛のパケットを落として Customer Customer 攻撃元 AS 攻撃先 AS Customer Customer 果たして相の防御依頼は信頼できるだろうか? n セキュリティオートメーションと相互信頼を実現する技術として IETF にて DOTS プロトコルが検討されている 39

DOTS プロトコルとは n DOTS プロトコル DDoS Open Threat Signaling の略称 DDoS 対策における組織内 / 間の防御依頼の標準化をめざして DOTS WG が 2015 年に IETF で発 n 既存の DDoS 対策の問題点インターネットへつながる回線が輻輳させられてしまうほどの規模な攻撃であった場合には上流のサービスプロバイダや専の DDoS 対策事業者に防御 ( ミチゲーション ( 緩和 ) やスクラビング ( 除去 ) と呼ばれます ) を依頼する他に回線の輻輳を避ける法がないしかし防御依頼を受け付ける機械的な窓がなく間がメールあるいは電話対処するため防御を発動するまでの時間がかかりその間は攻撃が成し続けてしまう 40

DOTS プロトコルの動き n DOTS プロトコルの動き利者側の DOTS クライアントから提供者側の DOTS サーバに対して攻撃を受けている IP アドレスなどの情報とともに防御を依頼依頼を受けた DOTS サーバ側は認証および防御依頼のバリデーションを実施した上で DDoS 対策を実施 n DOTS プロトコルのメリット 1. 間を介さない防御受付のインタフェースが規定されることで DDoS 対策の動化が可能になる 2. 複数の対策事業者に対して共通のプロトコルで防御依頼をすることができるようになる 3. 別の対策事業者に防御依頼をするような事業者間連携を実現できる 41

DOTS 利シーンその 1 n 間を介さない防御受付インタフェースによる DDoS 対策動化防御装置 (DOTS 対応 ) 防御指 NF V F W 防御装置 Internet 攻撃 DOTS サーバ防御 Transit NW DOTS プロトコルによる防御依頼 DOTS クライアント 10.10.10.10 VictimNW 42

DOTS 利シーンその 2 n 防御装置 (DOTS 対応 ) への防御依頼の共通化 DOTS 対応防御装置 NF V F W 防御装置 Internet 攻撃 DOTS サーバ防御 Transit NW DOTS プロトコルによる防御依頼 DOTS クライアント DOTS 対応防御装置 NF V F W 防御指防御装置防御 10.10.10.10 VictimNW 43

DOTS 利シーンその 3 n キャパシティオーバの際に別の対策事業者に防御依頼をするような事業者間連携が実現できる他組織への防御依頼 DOTS 対応防御装置 NF V F W 防御装置サードベンダ DOTS 対応サービス Internet 防御攻撃 DOTS サーバ防御 Transit NW DOTS プロトコルによる防御依頼 DOTS クライアント DOTS 対応防御装置 NF V F W 防御指防御装置防御 10.10.10.10 VictimNW 44

業界動向 n ( 私です ) Arbor 2016 年 9 に観測された1Tbps 規模のDDoS 攻撃を背景に他の DDoS 対策事業者 (AKAMAI/Prolexic) との連携を模索している WG にて精的に活動 AKAMA早期のdots プロトコル仕様確定に期待 I/ DOTS 対応をDDoS 対策サービスの選びに加えるべき Prolexi c Radwa 社サイトにて dots プロトコルへの対応を明 re Verisig n DDoS 対策サービスを提供 Arbor との連携を想定に WG にて精的に活動 Cisco Cisco の NW 機器に dots のクライアント機能をれる狙い CPE や IoT デバイスの防御がメインのユースケースか WG にて精的に活動 Orang e キャリアの視点で各 DDoS 対策サービスを利したい考え Cisco と共にマネージド CPE を出す狙いか 45

DOTS プロトコルスタックスタック Signal Channel Data Channel アプリケーション CoAP RESTCONF セキュリティ TLS/DTLS TLS トランスポート TCP/UDP TCP 的 ( 攻撃を受けているときに ) 防御を依頼するチャンネルクライアントサーバ防御依頼 ( 開始 / 停 ) 攻撃を受けている IP アドレスプレフィックス防御状況の確認 46 ( 攻撃を受けていないときに ) 防御をセットアップするチャンネルネットワーク情報の登録テレメトリ情報サーバクライアント防御状況の報告テレメトリ情報

Go implementation of DOTS Demo scenario: Enabling DDoS Protec<on in an upstream network by DOTS protocol h^ps://github.com/ n^dots/go-dots DOTS is: DDoS Open Threat Signaling Automa<on and Standardiza<on of signaling for DDoS protec<on ask for help! from a vic<m to an upstream provider - inter-organiza<on / including authn and authx in Signal Channel Data Channel spec Mi<ga<on Request Model What you can see in this demo: A DOTS client sends a mi<ga<on request to a DOTS server over DOTS signal channel. The DOTS server receives and validates the request, then starts mi<ga<on by kicking a blocker In this demo, the blocker is a gobgp server which triggers blackhole rou<ng in a service operator's network target Service Provider s Network IP/port DOTS Client Signal Channel Data Channel DOTS Server gobgp 4. Stop DDoS A^ack 1. send mi<ga<on request 2. validate request 3.enable blackhole rou<ng

オープンソース実装 ( 世界初 ) 48

IETF ハッカソン n IETF99 プラハ (2017 年 7 ) オープンソース実装の改善を実施 Best Name Award を受賞 n IETF100 シンガポール (2017 年 11 ) NCC Group の実装と相互接続試験を実施 Best Open Source Award を受賞 49

まとめ n DDoS 対策もルーティングセキュリティも事業者間での合意や連携が重要 n 新しい提案が次々と出てきていますが緒に試していきましょう 50