SlideShare a Scribd company logo

2015-ShowNetステージ-DDoS

Interop Tokyo ShowNet NOC Team
Interop Tokyo ShowNet NOC Team

Technology
1 of 18
Copyright © INTEROP TOKYO 2015 ShowNet NOC Team ShowNetが提示する これからのDDoS対策モデル
Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 2 DoSとは DDoSについて • Denial of Service attack • サービス停止攻撃 • ネットワーク上の通信量を増大させ、回線や サーバのリソースを占有することにより、シス テムを過負荷・利用困難にする攻撃 多量の通信
Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 3 DDoSとは DDoSについて • Distributed Denial of Service attack • 分散型DoS • 複数の機器から同時に通信を発生させることで、 少しずつの通信を組み合わせて、対象に負荷を かける攻撃
Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 4 DDoS対策の難しさ DDoSについて DoS対策 • 送信元が一つ • フィルタを一つ書けばよい • フィルタによる影響も少ない • 送信元にも負荷がかかる DDoS対策 • 送信元がたくさん • フィルタ対応が困難 • 正常な通信を遮断してしまう 可能性 • 送信元には大きな影響がない 単純な対策では限界
Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 5 400Gbpsに達するDDoS攻撃 現状の課題 ボリュームが急激に増加
Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 6 DDoS攻撃事例 DDoSについて • 誰でも簡単にDDoS攻撃が できる時代に • 大規模なDDoS攻撃が増え 回線を完全に埋めてしまう ことも困難ではない 状況に応じたDDoS対策を 適材適所で行う必要性
Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 7 DDoS対策機能の最適分散配置 ShowNetでのDDoS対策 課題:インターネット基盤を揺るがす大規模DDoS攻撃 対策:IX, トランジット, 自AS内での対策機能を分散配置 2. SDN IX IX攻撃流入口での攻撃トラフィック破棄 1. 緩和サービス BGP経路操作による攻撃緩和装置への 誘導・破棄 3. BGP Flowspec 網内緩和装置への誘導攻撃トラフィック の制限・破棄自組織 IX トランジット
Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 8 ShowNetに入ってくる前の対策 ShowNet外でのDDoS対策 • ISP Free Mitigation • トランジット提供プロバイダでDDoS緩和 • IXでのMitigation • SDN-IXでフローを制御
Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 9 自組織 トランジット回線からのDDoS ISP Free Mitigation • インターネットからの帯域逼迫により他の通 信に多大な影響を及ぼすと共に、回線課金も 増大 トランジット
Copyright © INTEROP TOKYO 2015 ShowNet NOC Team トランジットと連携したDDoS防御 トランジット連携防御 サーバA life/来場者端末等 出展社 Transit xFlowサンプル ShowNet External コレクタ 攻撃者 Dest IP:サーバA Source IP: B Dest port : 80 Source port :1900 1.攻撃判定 3.攻撃防御 正常者 Dest IP:サーバA Source IP: B Dest port : 80 Source port :2345 連携装置 防御指示 2.防御連携 防御指示
Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 11 IXにおけるセキュリティ課題 SDN IX • 課題:DDoS攻撃によるIXと接続事業者間の帯域逼迫 • 現在:被害事業者内でのフィルタ →IXと事業者間の帯域逼迫を解消できない IXとの帯域を圧迫 被害事業者
Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 12 SDN IXでのDDoS防御 SDN IX • 被害事業者の運用者がコント ローラを介してフィルタ設定 • 攻撃トラフィックを流入口 で破棄 • IXと被害事業者間の帯域逼迫 を回避 被害事業者
Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 13 ShowNet内での対策 ShowNet内でのDDoS対策 • BGP Flowspec + 緩和装置 • BGP FlowspecでDDoSトラフィックを曲げて 緩和装置へ誘導 • NFVでのMitigation • On-demandでの緩和装置の追加
Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 14 ネットワーク内でのDDoS対策 網内での緩和装置 • 従来のDDoS対策は 対象となるサーバの前に インラインで導入 • 構成に制約が生じ、後 から追加するのも対象 を増やすのも難しい 緩和装置 サーバ
Copyright © INTEROP TOKYO 2015 ShowNet NOC Team BGP FlowspecによるDDoS防御 BGP Flowspec + 緩和装置 サーバA life/来場者端末等 出展社 Transit Transit xFlowサンプル 2.フィルタルール生成 RR vMX By Juniper ShowNet External ShowNet Backbone コレクタ Samurai By NTTCOM Peer BGP Flowspec 対応ルータ 攻撃者 1.攻撃判定 4.攻撃防御 正常者 3.経路配布 Cisco ASR9900 Huawei NE5000E Juniper MX480
Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 16 Traffic analysis Firewall DDoSミチゲータ vCPE (NAT/ToS) NFVでのDDoS対策 NFVでのMitigation • ユーザごとにサービスチェインを選択 • vCPEでパケットにマーキング • 各サービスをToSの各bitに埋め込む • OpenFlowでサービスを適用するか判断 • ToSの特定bitをチェック • 1ならVNFへ、0なら迂回 • ユーザの要求に応じて機能を追加 OpenFlow Switch OpenFlow Switch OpenFlow Switch OpenFlow Switch
Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 17 ISP Free Mitigation SDN-IX BGP Flowspec + 緩和装置 NFV
Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 18 トラフィックに応じたDDoS対策 ShowNetでのDDoS対策 適材適所の対策で効果的なDDoS対策を! 2. SDN IX IX攻撃流入口での攻撃トラフィック破棄 1. 緩和サービス BGP経路操作による攻撃緩和装置への 誘導・破棄 3. BGP Flowspec 網内緩和装置への誘導攻撃トラフィック の制限・破棄自組織 IX トランジット

Recommended

2015-ShowNetステージ-BGPFlowspec
2015-ShowNetステージ-BGPFlowspec2015-ShowNetステージ-BGPFlowspec
2015-ShowNetステージ-BGPFlowspecInterop Tokyo ShowNet NOC Team
 
2015-ShowNet-Tester/IoT
2015-ShowNet-Tester/IoT2015-ShowNet-Tester/IoT
2015-ShowNet-Tester/IoTInterop Tokyo ShowNet NOC Team
 
2015-ShowNet -DDoS/IX/BGPFlowspec/External
2015-ShowNet -DDoS/IX/BGPFlowspec/External2015-ShowNet -DDoS/IX/BGPFlowspec/External
2015-ShowNet -DDoS/IX/BGPFlowspec/ExternalInterop Tokyo ShowNet NOC Team
 
2015-ShowNetステージ-RPKI
2015-ShowNetステージ-RPKI2015-ShowNetステージ-RPKI
2015-ShowNetステージ-RPKIInterop Tokyo ShowNet NOC Team
 
2015-ShowNetステージ-ファシリティ
2015-ShowNetステージ-ファシリティ2015-ShowNetステージ-ファシリティ
2015-ShowNetステージ-ファシリティInterop Tokyo ShowNet NOC Team
 
2015-ShowNetステージ-SDN/NFV
2015-ShowNetステージ-SDN/NFV2015-ShowNetステージ-SDN/NFV
2015-ShowNetステージ-SDN/NFVInterop Tokyo ShowNet NOC Team
 
2015-ShowNet-Cloud/VxLAN
2015-ShowNet-Cloud/VxLAN2015-ShowNet-Cloud/VxLAN
2015-ShowNet-Cloud/VxLANInterop Tokyo ShowNet NOC Team
 
Open stackdaystokyo2016
Open stackdaystokyo2016Open stackdaystokyo2016
Open stackdaystokyo2016Daisuke Nakajima
 

Recommended

2015-ShowNetステージ-BGPFlowspec
2015-ShowNetステージ-BGPFlowspec2015-ShowNetステージ-BGPFlowspec
2015-ShowNetステージ-BGPFlowspecInterop Tokyo ShowNet NOC Team
 
2015-ShowNet-Tester/IoT
2015-ShowNet-Tester/IoT2015-ShowNet-Tester/IoT
2015-ShowNet-Tester/IoTInterop Tokyo ShowNet NOC Team
 
2015-ShowNet -DDoS/IX/BGPFlowspec/External
2015-ShowNet -DDoS/IX/BGPFlowspec/External2015-ShowNet -DDoS/IX/BGPFlowspec/External
2015-ShowNet -DDoS/IX/BGPFlowspec/ExternalInterop Tokyo ShowNet NOC Team
 
2015-ShowNetステージ-RPKI
2015-ShowNetステージ-RPKI2015-ShowNetステージ-RPKI
2015-ShowNetステージ-RPKIInterop Tokyo ShowNet NOC Team
 
2015-ShowNetステージ-ファシリティ
2015-ShowNetステージ-ファシリティ2015-ShowNetステージ-ファシリティ
2015-ShowNetステージ-ファシリティInterop Tokyo ShowNet NOC Team
 
2015-ShowNetステージ-SDN/NFV
2015-ShowNetステージ-SDN/NFV2015-ShowNetステージ-SDN/NFV
2015-ShowNetステージ-SDN/NFVInterop Tokyo ShowNet NOC Team
 
2015-ShowNet-Cloud/VxLAN
2015-ShowNet-Cloud/VxLAN2015-ShowNet-Cloud/VxLAN
2015-ShowNet-Cloud/VxLANInterop Tokyo ShowNet NOC Team
 
Open stackdaystokyo2016
Open stackdaystokyo2016Open stackdaystokyo2016
Open stackdaystokyo2016Daisuke Nakajima
 
シェルスクリプトで簡易ping監視
シェルスクリプトで簡易ping監視シェルスクリプトで簡易ping監視
シェルスクリプトで簡易ping監視Kazuhiro Nishiyama
 
2016-ShowNetステージ-EVPN相互接続検証レポート
2016-ShowNetステージ-EVPN相互接続検証レポート2016-ShowNetステージ-EVPN相互接続検証レポート
2016-ShowNetステージ-EVPN相互接続検証レポートInterop Tokyo ShowNet NOC Team
 
2017.9.1 JANOG BoF & LT Night#2 クラウド向けのL3VPNサービスを作ってみた話
2017.9.1 JANOG BoF & LT Night#2 クラウド向けのL3VPNサービスを作ってみた話2017.9.1 JANOG BoF & LT Night#2 クラウド向けのL3VPNサービスを作ってみた話
2017.9.1 JANOG BoF & LT Night#2 クラウド向けのL3VPNサービスを作ってみた話Shuichi Ohkubo
 
そろそろビジネスに貢献するSDNを考えませんか?~キーワードは“オープン”~
そろそろビジネスに貢献するSDNを考えませんか?~キーワードは“オープン”~そろそろビジネスに貢献するSDNを考えませんか?~キーワードは“オープン”~
そろそろビジネスに貢献するSDNを考えませんか?~キーワードは“オープン”~Brocade
 
今、本当に“オープン”が必要なそのワケ ブロケードが考えるNFVの今、SDNへの未来とは?
今、本当に“オープン”が必要なそのワケ ブロケードが考えるNFVの今、SDNへの未来とは?今、本当に“オープン”が必要なそのワケ ブロケードが考えるNFVの今、SDNへの未来とは?
今、本当に“オープン”が必要なそのワケ ブロケードが考えるNFVの今、SDNへの未来とは?Brocade
 
フロー技術によるネットワーク管理
フロー技術によるネットワーク管理フロー技術によるネットワーク管理
フロー技術によるネットワーク管理Motonori Shindo
 
Juniper Festa @ Interop Tokyo 2017
Juniper Festa @ Interop Tokyo 2017Juniper Festa @ Interop Tokyo 2017
Juniper Festa @ Interop Tokyo 2017Juniper Networks (日本)
 
IPv6によってセキュリティはどう変化するか? -LAN上の挙動の観点でー
IPv6によってセキュリティはどう変化するか? -LAN上の挙動の観点でーIPv6によってセキュリティはどう変化するか? -LAN上の挙動の観点でー
IPv6によってセキュリティはどう変化するか? -LAN上の挙動の観点でーShinsuke SUZUKI
 
ShowNet2021 テスタ_parapara
ShowNet2021 テスタ_paraparaShowNet2021 テスタ_parapara
ShowNet2021 テスタ_paraparaInterop Tokyo ShowNet NOC Team
 
WebRTCとPeer.jsを使った実装
WebRTCとPeer.jsを使った実装WebRTCとPeer.jsを使った実装
WebRTCとPeer.jsを使った実装Yuta Suzuki
 
2015-ShowNet-報告資料
2015-ShowNet-報告資料2015-ShowNet-報告資料
2015-ShowNet-報告資料Interop Tokyo ShowNet NOC Team
 
NFVアプリケーションをOpenStack上で動かす為に - OpenStack最新情報セミナー 2017年7月
NFVアプリケーションをOpenStack上で動かす為に - OpenStack最新情報セミナー 2017年7月NFVアプリケーションをOpenStack上で動かす為に - OpenStack最新情報セミナー 2017年7月
NFVアプリケーションをOpenStack上で動かす為に - OpenStack最新情報セミナー 2017年7月VirtualTech Japan Inc.
 
VPP事始め
VPP事始めVPP事始め
VPP事始めnpsg
 
NFVがやってきた!ルーターの仮想化で何が変わるの?~最先端仮想ルーター導入の勘所~
NFVがやってきた!ルーターの仮想化で何が変わるの?~最先端仮想ルーター導入の勘所~NFVがやってきた!ルーターの仮想化で何が変わるの?~最先端仮想ルーター導入の勘所~
NFVがやってきた!ルーターの仮想化で何が変わるの?~最先端仮想ルーター導入の勘所~Brocade
 
Lagopus Router v19.07.1
Lagopus Router v19.07.1Lagopus Router v19.07.1
Lagopus Router v19.07.1Tomoya Hibi
 
クラウド時代のネットワーク再入門
クラウド時代のネットワーク再入門クラウド時代のネットワーク再入門
クラウド時代のネットワーク再入門Naoto MATSUMOTO
 
Juniper Festa @ Interop Tokyo 2015
Juniper Festa @ Interop Tokyo 2015Juniper Festa @ Interop Tokyo 2015
Juniper Festa @ Interop Tokyo 2015Juniper Networks (日本)
 
パブリッククラウドにおけるL2TPv3を用いたサーバ高可用性の評価
パブリッククラウドにおけるL2TPv3を用いたサーバ高可用性の評価パブリッククラウドにおけるL2TPv3を用いたサーバ高可用性の評価
パブリッククラウドにおけるL2TPv3を用いたサーバ高可用性の評価Naoto MATSUMOTO
 
Cloud Operator Days Tokyo 2020
Cloud Operator Days Tokyo 2020Cloud Operator Days Tokyo 2020
Cloud Operator Days Tokyo 2020Daisuke Nakajima
 
Lagopus Project (Open Source Conference)
Lagopus Project (Open Source Conference)Lagopus Project (Open Source Conference)
Lagopus Project (Open Source Conference)Tomoya Hibi
 
Medio Ambiente
Medio AmbienteMedio Ambiente
Medio AmbienteGeNeVa
 
Des conseillers au service de votre séjour – Crans-Montana Tourisme & Congrès...
Des conseillers au service de votre séjour – Crans-Montana Tourisme & Congrès...Des conseillers au service de votre séjour – Crans-Montana Tourisme & Congrès...
Des conseillers au service de votre séjour – Crans-Montana Tourisme & Congrès...Institut of Entrepreneurship & Management
 

More Related Content

What's hot

シェルスクリプトで簡易ping監視
シェルスクリプトで簡易ping監視シェルスクリプトで簡易ping監視
シェルスクリプトで簡易ping監視Kazuhiro Nishiyama
 
2016-ShowNetステージ-EVPN相互接続検証レポート
2016-ShowNetステージ-EVPN相互接続検証レポート2016-ShowNetステージ-EVPN相互接続検証レポート
2016-ShowNetステージ-EVPN相互接続検証レポートInterop Tokyo ShowNet NOC Team
 
2017.9.1 JANOG BoF & LT Night#2 クラウド向けのL3VPNサービスを作ってみた話
2017.9.1 JANOG BoF & LT Night#2 クラウド向けのL3VPNサービスを作ってみた話2017.9.1 JANOG BoF & LT Night#2 クラウド向けのL3VPNサービスを作ってみた話
2017.9.1 JANOG BoF & LT Night#2 クラウド向けのL3VPNサービスを作ってみた話Shuichi Ohkubo
 
そろそろビジネスに貢献するSDNを考えませんか?~キーワードは“オープン”~
そろそろビジネスに貢献するSDNを考えませんか?~キーワードは“オープン”~そろそろビジネスに貢献するSDNを考えませんか?~キーワードは“オープン”~
そろそろビジネスに貢献するSDNを考えませんか?~キーワードは“オープン”~Brocade
 
今、本当に“オープン”が必要なそのワケ ブロケードが考えるNFVの今、SDNへの未来とは?
今、本当に“オープン”が必要なそのワケ ブロケードが考えるNFVの今、SDNへの未来とは?今、本当に“オープン”が必要なそのワケ ブロケードが考えるNFVの今、SDNへの未来とは?
今、本当に“オープン”が必要なそのワケ ブロケードが考えるNFVの今、SDNへの未来とは?Brocade
 
フロー技術によるネットワーク管理
フロー技術によるネットワーク管理フロー技術によるネットワーク管理
フロー技術によるネットワーク管理Motonori Shindo
 
IPv6によってセキュリティはどう変化するか? -LAN上の挙動の観点でー
IPv6によってセキュリティはどう変化するか? -LAN上の挙動の観点でーIPv6によってセキュリティはどう変化するか? -LAN上の挙動の観点でー
IPv6によってセキュリティはどう変化するか? -LAN上の挙動の観点でーShinsuke SUZUKI
 
WebRTCとPeer.jsを使った実装
WebRTCとPeer.jsを使った実装WebRTCとPeer.jsを使った実装
WebRTCとPeer.jsを使った実装Yuta Suzuki
 
NFVアプリケーションをOpenStack上で動かす為に - OpenStack最新情報セミナー 2017年7月
NFVアプリケーションをOpenStack上で動かす為に - OpenStack最新情報セミナー 2017年7月NFVアプリケーションをOpenStack上で動かす為に - OpenStack最新情報セミナー 2017年7月
NFVアプリケーションをOpenStack上で動かす為に - OpenStack最新情報セミナー 2017年7月VirtualTech Japan Inc.
 
VPP事始め
VPP事始めVPP事始め
VPP事始めnpsg
 
NFVがやってきた!ルーターの仮想化で何が変わるの?~最先端仮想ルーター導入の勘所~
NFVがやってきた!ルーターの仮想化で何が変わるの?~最先端仮想ルーター導入の勘所~NFVがやってきた!ルーターの仮想化で何が変わるの?~最先端仮想ルーター導入の勘所~
NFVがやってきた!ルーターの仮想化で何が変わるの?~最先端仮想ルーター導入の勘所~Brocade
 
Lagopus Router v19.07.1
Lagopus Router v19.07.1Lagopus Router v19.07.1
Lagopus Router v19.07.1Tomoya Hibi
 
クラウド時代のネットワーク再入門
クラウド時代のネットワーク再入門クラウド時代のネットワーク再入門
クラウド時代のネットワーク再入門Naoto MATSUMOTO
 
パブリッククラウドにおけるL2TPv3を用いたサーバ高可用性の評価
パブリッククラウドにおけるL2TPv3を用いたサーバ高可用性の評価パブリッククラウドにおけるL2TPv3を用いたサーバ高可用性の評価
パブリッククラウドにおけるL2TPv3を用いたサーバ高可用性の評価Naoto MATSUMOTO
 
Cloud Operator Days Tokyo 2020
Cloud Operator Days Tokyo 2020Cloud Operator Days Tokyo 2020
Cloud Operator Days Tokyo 2020Daisuke Nakajima
 
Lagopus Project (Open Source Conference)
Lagopus Project (Open Source Conference)Lagopus Project (Open Source Conference)
Lagopus Project (Open Source Conference)Tomoya Hibi
 

What's hot (20)

シェルスクリプトで簡易ping監視
シェルスクリプトで簡易ping監視シェルスクリプトで簡易ping監視
シェルスクリプトで簡易ping監視
 
2016-ShowNetステージ-EVPN相互接続検証レポート
2016-ShowNetステージ-EVPN相互接続検証レポート2016-ShowNetステージ-EVPN相互接続検証レポート
2016-ShowNetステージ-EVPN相互接続検証レポート
 
2017.9.1 JANOG BoF & LT Night#2 クラウド向けのL3VPNサービスを作ってみた話
2017.9.1 JANOG BoF & LT Night#2 クラウド向けのL3VPNサービスを作ってみた話2017.9.1 JANOG BoF & LT Night#2 クラウド向けのL3VPNサービスを作ってみた話
2017.9.1 JANOG BoF & LT Night#2 クラウド向けのL3VPNサービスを作ってみた話
 
そろそろビジネスに貢献するSDNを考えませんか?~キーワードは“オープン”~
そろそろビジネスに貢献するSDNを考えませんか?~キーワードは“オープン”~そろそろビジネスに貢献するSDNを考えませんか?~キーワードは“オープン”~
そろそろビジネスに貢献するSDNを考えませんか?~キーワードは“オープン”~
 
今、本当に“オープン”が必要なそのワケ ブロケードが考えるNFVの今、SDNへの未来とは?
今、本当に“オープン”が必要なそのワケ ブロケードが考えるNFVの今、SDNへの未来とは?今、本当に“オープン”が必要なそのワケ ブロケードが考えるNFVの今、SDNへの未来とは?
今、本当に“オープン”が必要なそのワケ ブロケードが考えるNFVの今、SDNへの未来とは?
 
フロー技術によるネットワーク管理
フロー技術によるネットワーク管理フロー技術によるネットワーク管理
フロー技術によるネットワーク管理
 
Juniper Festa @ Interop Tokyo 2017
Juniper Festa @ Interop Tokyo 2017Juniper Festa @ Interop Tokyo 2017
Juniper Festa @ Interop Tokyo 2017
 
IPv6によってセキュリティはどう変化するか? -LAN上の挙動の観点でー
IPv6によってセキュリティはどう変化するか? -LAN上の挙動の観点でーIPv6によってセキュリティはどう変化するか? -LAN上の挙動の観点でー
IPv6によってセキュリティはどう変化するか? -LAN上の挙動の観点でー
 
ShowNet2021 テスタ_parapara
ShowNet2021 テスタ_paraparaShowNet2021 テスタ_parapara
ShowNet2021 テスタ_parapara
 
WebRTCとPeer.jsを使った実装
WebRTCとPeer.jsを使った実装WebRTCとPeer.jsを使った実装
WebRTCとPeer.jsを使った実装
 
2015-ShowNet-報告資料
2015-ShowNet-報告資料2015-ShowNet-報告資料
2015-ShowNet-報告資料
 
NFVアプリケーションをOpenStack上で動かす為に - OpenStack最新情報セミナー 2017年7月
NFVアプリケーションをOpenStack上で動かす為に - OpenStack最新情報セミナー 2017年7月NFVアプリケーションをOpenStack上で動かす為に - OpenStack最新情報セミナー 2017年7月
NFVアプリケーションをOpenStack上で動かす為に - OpenStack最新情報セミナー 2017年7月
 
VPP事始め
VPP事始めVPP事始め
VPP事始め
 
NFVがやってきた!ルーターの仮想化で何が変わるの?~最先端仮想ルーター導入の勘所~
NFVがやってきた!ルーターの仮想化で何が変わるの?~最先端仮想ルーター導入の勘所~NFVがやってきた!ルーターの仮想化で何が変わるの?~最先端仮想ルーター導入の勘所~
NFVがやってきた!ルーターの仮想化で何が変わるの?~最先端仮想ルーター導入の勘所~
 
Lagopus Router v19.07.1
Lagopus Router v19.07.1Lagopus Router v19.07.1
Lagopus Router v19.07.1
 
クラウド時代のネットワーク再入門
クラウド時代のネットワーク再入門クラウド時代のネットワーク再入門
クラウド時代のネットワーク再入門
 
Juniper Festa @ Interop Tokyo 2015
Juniper Festa @ Interop Tokyo 2015Juniper Festa @ Interop Tokyo 2015
Juniper Festa @ Interop Tokyo 2015
 
パブリッククラウドにおけるL2TPv3を用いたサーバ高可用性の評価
パブリッククラウドにおけるL2TPv3を用いたサーバ高可用性の評価パブリッククラウドにおけるL2TPv3を用いたサーバ高可用性の評価
パブリッククラウドにおけるL2TPv3を用いたサーバ高可用性の評価
 
Cloud Operator Days Tokyo 2020
Cloud Operator Days Tokyo 2020Cloud Operator Days Tokyo 2020
Cloud Operator Days Tokyo 2020
 
Lagopus Project (Open Source Conference)
Lagopus Project (Open Source Conference)Lagopus Project (Open Source Conference)
Lagopus Project (Open Source Conference)
 

Viewers also liked

Medio Ambiente
Medio AmbienteMedio Ambiente
Medio AmbienteGeNeVa
 
Des conseillers au service de votre séjour – Crans-Montana Tourisme & Congrès...
Des conseillers au service de votre séjour – Crans-Montana Tourisme & Congrès...Des conseillers au service de votre séjour – Crans-Montana Tourisme & Congrès...
Des conseillers au service de votre séjour – Crans-Montana Tourisme & Congrès...Institut of Entrepreneurship & Management
 
Lifting plans for non-crane lifts on small construction sites
Lifting plans for non-crane lifts on small construction sitesLifting plans for non-crane lifts on small construction sites
Lifting plans for non-crane lifts on small construction sitesSimon Faulkner-Duke
 

Viewers also liked (10)

Medio Ambiente
Medio AmbienteMedio Ambiente
Medio Ambiente
 
Des conseillers au service de votre séjour – Crans-Montana Tourisme & Congrès...
Des conseillers au service de votre séjour – Crans-Montana Tourisme & Congrès...Des conseillers au service de votre séjour – Crans-Montana Tourisme & Congrès...
Des conseillers au service de votre séjour – Crans-Montana Tourisme & Congrès...
 
Diagrama de flujo.
Diagrama de flujo. Diagrama de flujo.
Diagrama de flujo.
 
lord of potato
lord of potatolord of potato
lord of potato
 
2015-ShowNet-Wireless/Monitoring
2015-ShowNet-Wireless/Monitoring2015-ShowNet-Wireless/Monitoring
2015-ShowNet-Wireless/Monitoring
 
CV JAN 2017
CV JAN 2017CV JAN 2017
CV JAN 2017
 
Guia de Informatica IV
Guia de Informatica IVGuia de Informatica IV
Guia de Informatica IV
 
Analis Kesehatan
Analis KesehatanAnalis Kesehatan
Analis Kesehatan
 
Lifting plans for non-crane lifts on small construction sites
Lifting plans for non-crane lifts on small construction sitesLifting plans for non-crane lifts on small construction sites
Lifting plans for non-crane lifts on small construction sites
 
CV (2)
CV (2)CV (2)
CV (2)
 

Similar to 2015-ShowNetステージ-DDoS

Webサーバの公共化
Webサーバの公共化Webサーバの公共化
Webサーバの公共化Tomohiro Matsuo
 
Webinar - Cyber Security basics in Japanese
Webinar - Cyber Security basics in JapaneseWebinar - Cyber Security basics in Japanese
Webinar - Cyber Security basics in JapaneseCloudflare
 
2015年3月の中国からGitHubへのDDoS攻撃(MITM)の概要
2015年3月の中国からGitHubへのDDoS攻撃(MITM)の概要2015年3月の中国からGitHubへのDDoS攻撃(MITM)の概要
2015年3月の中国からGitHubへのDDoS攻撃(MITM)の概要Zimb_
 
NGINX Back to Basics Part 3: Security (Japanese Version)
NGINX Back to Basics Part 3: Security (Japanese Version)NGINX Back to Basics Part 3: Security (Japanese Version)
NGINX Back to Basics Part 3: Security (Japanese Version)NGINX, Inc.
 
Japan SoftLayer Summit 2015 資料「SoftLayer基礎 詳細ネットワーク編」
Japan SoftLayer Summit 2015 資料「SoftLayer基礎 詳細ネットワーク編」Japan SoftLayer Summit 2015 資料「SoftLayer基礎 詳細ネットワーク編」
Japan SoftLayer Summit 2015 資料「SoftLayer基礎 詳細ネットワーク編」Nippon Information and Communication
 
DDoS vs. Dockerコンテナホスティング Arukas(Container SIG Meet-up 2016 Fall)
DDoS vs. Dockerコンテナホスティング Arukas(Container SIG Meet-up 2016 Fall)DDoS vs. Dockerコンテナホスティング Arukas(Container SIG Meet-up 2016 Fall)
DDoS vs. Dockerコンテナホスティング Arukas(Container SIG Meet-up 2016 Fall)さくらインターネット株式会社
 

Similar to 2015-ShowNetステージ-DDoS (8)

Webサーバの公共化
Webサーバの公共化Webサーバの公共化
Webサーバの公共化
 
Webinar - Cyber Security basics in Japanese
Webinar - Cyber Security basics in JapaneseWebinar - Cyber Security basics in Japanese
Webinar - Cyber Security basics in Japanese
 
2015年3月の中国からGitHubへのDDoS攻撃(MITM)の概要
2015年3月の中国からGitHubへのDDoS攻撃(MITM)の概要2015年3月の中国からGitHubへのDDoS攻撃(MITM)の概要
2015年3月の中国からGitHubへのDDoS攻撃(MITM)の概要
 
NGINX Back to Basics Part 3: Security (Japanese Version)
NGINX Back to Basics Part 3: Security (Japanese Version)NGINX Back to Basics Part 3: Security (Japanese Version)
NGINX Back to Basics Part 3: Security (Japanese Version)
 
DDoS対策の自動化
DDoS対策の自動化DDoS対策の自動化
DDoS対策の自動化
 
0805wordbench倉敷
0805wordbench倉敷0805wordbench倉敷
0805wordbench倉敷
 
Japan SoftLayer Summit 2015 資料「SoftLayer基礎 詳細ネットワーク編」
Japan SoftLayer Summit 2015 資料「SoftLayer基礎 詳細ネットワーク編」Japan SoftLayer Summit 2015 資料「SoftLayer基礎 詳細ネットワーク編」
Japan SoftLayer Summit 2015 資料「SoftLayer基礎 詳細ネットワーク編」
 
DDoS vs. Dockerコンテナホスティング Arukas(Container SIG Meet-up 2016 Fall)
DDoS vs. Dockerコンテナホスティング Arukas(Container SIG Meet-up 2016 Fall)DDoS vs. Dockerコンテナホスティング Arukas(Container SIG Meet-up 2016 Fall)
DDoS vs. Dockerコンテナホスティング Arukas(Container SIG Meet-up 2016 Fall)
 

More from Interop Tokyo ShowNet NOC Team

Shownet2021 マネジメントネットワーク・コンソールサーバ_parapara
Shownet2021 マネジメントネットワーク・コンソールサーバ_paraparaShownet2021 マネジメントネットワーク・コンソールサーバ_parapara
Shownet2021 マネジメントネットワーク・コンソールサーバ_paraparaInterop Tokyo ShowNet NOC Team
 
2021年度ShowNet ゼロトラストモデルによる次世代セキュリティアーキテクチャ_ShowNet2021 seminar
2021年度ShowNet ゼロトラストモデルによる次世代セキュリティアーキテクチャ_ShowNet2021 seminar2021年度ShowNet ゼロトラストモデルによる次世代セキュリティアーキテクチャ_ShowNet2021 seminar
2021年度ShowNet ゼロトラストモデルによる次世代セキュリティアーキテクチャ_ShowNet2021 seminarInterop Tokyo ShowNet NOC Team
 
2021年度ShowNetの作り方・コンセプトと設計思想_ShowNet2021 seminar
2021年度ShowNetの作り方・コンセプトと設計思想_ShowNet2021 seminar2021年度ShowNetの作り方・コンセプトと設計思想_ShowNet2021 seminar
2021年度ShowNetの作り方・コンセプトと設計思想_ShowNet2021 seminarInterop Tokyo ShowNet NOC Team
 
監視運用の省人化と高レジリエンスな監視システムの提供_ShowNet2021 studio 20210414
監視運用の省人化と高レジリエンスな監視システムの提供_ShowNet2021 studio 20210414監視運用の省人化と高レジリエンスな監視システムの提供_ShowNet2021 studio 20210414
監視運用の省人化と高レジリエンスな監視システムの提供_ShowNet2021 studio 20210414Interop Tokyo ShowNet NOC Team
 

More from Interop Tokyo ShowNet NOC Team (20)

ShowNet2021 トポロジ
ShowNet2021 トポロジShowNet2021 トポロジ
ShowNet2021 トポロジ
 
ShowNet2021 external_sideview
ShowNet2021 external_sideviewShowNet2021 external_sideview
ShowNet2021 external_sideview
 
ShowNet2021 mon_sideview
ShowNet2021 mon_sideviewShowNet2021 mon_sideview
ShowNet2021 mon_sideview
 
ShowNet2021 facility&tranport_sideview
ShowNet2021 facility&tranport_sideviewShowNet2021 facility&tranport_sideview
ShowNet2021 facility&tranport_sideview
 
ShowNet2021 cloud_sideview
ShowNet2021 cloud_sideviewShowNet2021 cloud_sideview
ShowNet2021 cloud_sideview
 
ShowNet2021 external_cloud_parapara
ShowNet2021 external_cloud_paraparaShowNet2021 external_cloud_parapara
ShowNet2021 external_cloud_parapara
 
ShowNet2021 DC_parapara
ShowNet2021 DC_paraparaShowNet2021 DC_parapara
ShowNet2021 DC_parapara
 
ShowNet2021 DC_parapara_noc14
ShowNet2021 DC_parapara_noc14ShowNet2021 DC_parapara_noc14
ShowNet2021 DC_parapara_noc14
 
Shownet2021 マネジメントネットワーク・コンソールサーバ_parapara
Shownet2021 マネジメントネットワーク・コンソールサーバ_paraparaShownet2021 マネジメントネットワーク・コンソールサーバ_parapara
Shownet2021 マネジメントネットワーク・コンソールサーバ_parapara
 
ShowNet2021 Wi-Fi_parapara
ShowNet2021 Wi-Fi_paraparaShowNet2021 Wi-Fi_parapara
ShowNet2021 Wi-Fi_parapara
 
ShowNet2021 伝送_parapara
ShowNet2021 伝送_paraparaShowNet2021 伝送_parapara
ShowNet2021 伝送_parapara
 
ShowNet2021 Security_parapara
ShowNet2021 Security_paraparaShowNet2021 Security_parapara
ShowNet2021 Security_parapara
 
ShowNet2021 モニタリング_parapara
ShowNet2021 モニタリング_paraparaShowNet2021 モニタリング_parapara
ShowNet2021 モニタリング_parapara
 
ShowNet2021 L2/L3_srv6_gu_parapara
ShowNet2021 L2/L3_srv6_gu_paraparaShowNet2021 L2/L3_srv6_gu_parapara
ShowNet2021 L2/L3_srv6_gu_parapara
 
ShowNet2021 L2/L3_parapara
ShowNet2021 L2/L3_paraparaShowNet2021 L2/L3_parapara
ShowNet2021 L2/L3_parapara
 
ShowNet2021 ファシリティ_parapara
ShowNet2021 ファシリティ_paraparaShowNet2021 ファシリティ_parapara
ShowNet2021 ファシリティ_parapara
 
2021年度ShowNet ゼロトラストモデルによる次世代セキュリティアーキテクチャ_ShowNet2021 seminar
2021年度ShowNet ゼロトラストモデルによる次世代セキュリティアーキテクチャ_ShowNet2021 seminar2021年度ShowNet ゼロトラストモデルによる次世代セキュリティアーキテクチャ_ShowNet2021 seminar
2021年度ShowNet ゼロトラストモデルによる次世代セキュリティアーキテクチャ_ShowNet2021 seminar
 
ShowNet 2021 みどころ解説_ShowNet2021 seminar
ShowNet 2021 みどころ解説_ShowNet2021 seminarShowNet 2021 みどころ解説_ShowNet2021 seminar
ShowNet 2021 みどころ解説_ShowNet2021 seminar
 
2021年度ShowNetの作り方・コンセプトと設計思想_ShowNet2021 seminar
2021年度ShowNetの作り方・コンセプトと設計思想_ShowNet2021 seminar2021年度ShowNetの作り方・コンセプトと設計思想_ShowNet2021 seminar
2021年度ShowNetの作り方・コンセプトと設計思想_ShowNet2021 seminar
 
監視運用の省人化と高レジリエンスな監視システムの提供_ShowNet2021 studio 20210414
監視運用の省人化と高レジリエンスな監視システムの提供_ShowNet2021 studio 20210414監視運用の省人化と高レジリエンスな監視システムの提供_ShowNet2021 studio 20210414
監視運用の省人化と高レジリエンスな監視システムの提供_ShowNet2021 studio 20210414
 

Recently uploaded

CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?akihisamiyanaga1
 
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineerYuki Kikuchi
 
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案sugiuralab
 
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...博三 太田
 
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdfクラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdfFumieNakayama
 
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)UEHARA, Tetsutaro
 
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)NTT DATA Technology & Innovation
 
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdfAWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdfFumieNakayama
 
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)Hiroshi Tomioka
 

Recently uploaded (9)

CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
 
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
 
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
 
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
 
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdfクラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
 
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
 
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
 
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdfAWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
 
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
 

2015-ShowNetステージ-DDoS

  • 1. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team ShowNetが提示する これからのDDoS対策モデル
  • 2. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 2 DoSとは DDoSについて • Denial of Service attack • サービス停止攻撃 • ネットワーク上の通信量を増大させ、回線や サーバのリソースを占有することにより、シス テムを過負荷・利用困難にする攻撃 多量の通信
  • 3. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 3 DDoSとは DDoSについて • Distributed Denial of Service attack • 分散型DoS • 複数の機器から同時に通信を発生させることで、 少しずつの通信を組み合わせて、対象に負荷を かける攻撃
  • 4. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 4 DDoS対策の難しさ DDoSについて DoS対策 • 送信元が一つ • フィルタを一つ書けばよい • フィルタによる影響も少ない • 送信元にも負荷がかかる DDoS対策 • 送信元がたくさん • フィルタ対応が困難 • 正常な通信を遮断してしまう 可能性 • 送信元には大きな影響がない 単純な対策では限界
  • 5. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 5 400Gbpsに達するDDoS攻撃 現状の課題 ボリュームが急激に増加
  • 6. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 6 DDoS攻撃事例 DDoSについて • 誰でも簡単にDDoS攻撃が できる時代に • 大規模なDDoS攻撃が増え 回線を完全に埋めてしまう ことも困難ではない 状況に応じたDDoS対策を 適材適所で行う必要性
  • 7. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 7 DDoS対策機能の最適分散配置 ShowNetでのDDoS対策 課題:インターネット基盤を揺るがす大規模DDoS攻撃 対策:IX, トランジット, 自AS内での対策機能を分散配置 2. SDN IX IX攻撃流入口での攻撃トラフィック破棄 1. 緩和サービス BGP経路操作による攻撃緩和装置への 誘導・破棄 3. BGP Flowspec 網内緩和装置への誘導攻撃トラフィック の制限・破棄自組織 IX トランジット
  • 8. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 8 ShowNetに入ってくる前の対策 ShowNet外でのDDoS対策 • ISP Free Mitigation • トランジット提供プロバイダでDDoS緩和 • IXでのMitigation • SDN-IXでフローを制御
  • 9. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 9 自組織 トランジット回線からのDDoS ISP Free Mitigation • インターネットからの帯域逼迫により他の通 信に多大な影響を及ぼすと共に、回線課金も 増大 トランジット
  • 10. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team トランジットと連携したDDoS防御 トランジット連携防御 サーバA life/来場者端末等 出展社 Transit xFlowサンプル ShowNet External コレクタ 攻撃者 Dest IP:サーバA Source IP: B Dest port : 80 Source port :1900 1.攻撃判定 3.攻撃防御 正常者 Dest IP:サーバA Source IP: B Dest port : 80 Source port :2345 連携装置 防御指示 2.防御連携 防御指示
  • 11. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 11 IXにおけるセキュリティ課題 SDN IX • 課題:DDoS攻撃によるIXと接続事業者間の帯域逼迫 • 現在:被害事業者内でのフィルタ →IXと事業者間の帯域逼迫を解消できない IXとの帯域を圧迫 被害事業者
  • 12. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 12 SDN IXでのDDoS防御 SDN IX • 被害事業者の運用者がコント ローラを介してフィルタ設定 • 攻撃トラフィックを流入口 で破棄 • IXと被害事業者間の帯域逼迫 を回避 被害事業者
  • 13. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 13 ShowNet内での対策 ShowNet内でのDDoS対策 • BGP Flowspec + 緩和装置 • BGP FlowspecでDDoSトラフィックを曲げて 緩和装置へ誘導 • NFVでのMitigation • On-demandでの緩和装置の追加
  • 14. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 14 ネットワーク内でのDDoS対策 網内での緩和装置 • 従来のDDoS対策は 対象となるサーバの前に インラインで導入 • 構成に制約が生じ、後 から追加するのも対象 を増やすのも難しい 緩和装置 サーバ
  • 15. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team BGP FlowspecによるDDoS防御 BGP Flowspec + 緩和装置 サーバA life/来場者端末等 出展社 Transit Transit xFlowサンプル 2.フィルタルール生成 RR vMX By Juniper ShowNet External ShowNet Backbone コレクタ Samurai By NTTCOM Peer BGP Flowspec 対応ルータ 攻撃者 1.攻撃判定 4.攻撃防御 正常者 3.経路配布 Cisco ASR9900 Huawei NE5000E Juniper MX480
  • 16. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 16 Traffic analysis Firewall DDoSミチゲータ vCPE (NAT/ToS) NFVでのDDoS対策 NFVでのMitigation • ユーザごとにサービスチェインを選択 • vCPEでパケットにマーキング • 各サービスをToSの各bitに埋め込む • OpenFlowでサービスを適用するか判断 • ToSの特定bitをチェック • 1ならVNFへ、0なら迂回 • ユーザの要求に応じて機能を追加 OpenFlow Switch OpenFlow Switch OpenFlow Switch OpenFlow Switch
  • 17. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 17 ISP Free Mitigation SDN-IX BGP Flowspec + 緩和装置 NFV
  • 18. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 18 トラフィックに応じたDDoS対策 ShowNetでのDDoS対策 適材適所の対策で効果的なDDoS対策を! 2. SDN IX IX攻撃流入口での攻撃トラフィック破棄 1. 緩和サービス BGP経路操作による攻撃緩和装置への 誘導・破棄 3. BGP Flowspec 網内緩和装置への誘導攻撃トラフィック の制限・破棄自組織 IX トランジット