More Related Content
Similar to 2015-ShowNetステージ-DDoS
Similar to 2015-ShowNetステージ-DDoS (8)
More from Interop Tokyo ShowNet NOC Team
More from Interop Tokyo ShowNet NOC Team (20)
2015-ShowNetステージ-DDoS
- 2. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 2
DoSとは
DDoSについて
• Denial of Service attack
• サービス停止攻撃
• ネットワーク上の通信量を増大させ、回線や
サーバのリソースを占有することにより、シス
テムを過負荷・利用困難にする攻撃
多量の通信
- 3. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 3
DDoSとは
DDoSについて
• Distributed Denial of Service attack
• 分散型DoS
• 複数の機器から同時に通信を発生させることで、
少しずつの通信を組み合わせて、対象に負荷を
かける攻撃
- 4. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 4
DDoS対策の難しさ
DDoSについて
DoS対策
• 送信元が一つ
• フィルタを一つ書けばよい
• フィルタによる影響も少ない
• 送信元にも負荷がかかる
DDoS対策
• 送信元がたくさん
• フィルタ対応が困難
• 正常な通信を遮断してしまう
可能性
• 送信元には大きな影響がない
単純な対策では限界
- 6. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 6
DDoS攻撃事例
DDoSについて
• 誰でも簡単にDDoS攻撃が
できる時代に
• 大規模なDDoS攻撃が増え
回線を完全に埋めてしまう
ことも困難ではない
状況に応じたDDoS対策を
適材適所で行う必要性
- 7. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 7
DDoS対策機能の最適分散配置
ShowNetでのDDoS対策
課題:インターネット基盤を揺るがす大規模DDoS攻撃
対策:IX, トランジット, 自AS内での対策機能を分散配置
2. SDN IX
IX攻撃流入口での攻撃トラフィック破棄
1. 緩和サービス
BGP経路操作による攻撃緩和装置への
誘導・破棄
3. BGP Flowspec
網内緩和装置への誘導攻撃トラフィック
の制限・破棄自組織
IX
トランジット
- 8. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 8
ShowNetに入ってくる前の対策
ShowNet外でのDDoS対策
• ISP Free Mitigation
• トランジット提供プロバイダでDDoS緩和
• IXでのMitigation
• SDN-IXでフローを制御
- 9. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 9
自組織
トランジット回線からのDDoS
ISP Free Mitigation
• インターネットからの帯域逼迫により他の通
信に多大な影響を及ぼすと共に、回線課金も
増大
トランジット
- 10. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team
トランジットと連携したDDoS防御
トランジット連携防御
サーバA life/来場者端末等 出展社
Transit
xFlowサンプル
ShowNet
External コレクタ
攻撃者
Dest IP:サーバA
Source IP: B
Dest port : 80
Source port :1900
1.攻撃判定
3.攻撃防御
正常者
Dest IP:サーバA
Source IP: B
Dest port : 80
Source port :2345 連携装置
防御指示
2.防御連携
防御指示
- 11. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 11
IXにおけるセキュリティ課題
SDN IX
• 課題:DDoS攻撃によるIXと接続事業者間の帯域逼迫
• 現在:被害事業者内でのフィルタ
→IXと事業者間の帯域逼迫を解消できない
IXとの帯域を圧迫
被害事業者
- 12. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 12
SDN IXでのDDoS防御
SDN IX
• 被害事業者の運用者がコント
ローラを介してフィルタ設定
• 攻撃トラフィックを流入口
で破棄
• IXと被害事業者間の帯域逼迫
を回避
被害事業者
- 13. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 13
ShowNet内での対策
ShowNet内でのDDoS対策
• BGP Flowspec + 緩和装置
• BGP FlowspecでDDoSトラフィックを曲げて
緩和装置へ誘導
• NFVでのMitigation
• On-demandでの緩和装置の追加
- 14. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 14
ネットワーク内でのDDoS対策
網内での緩和装置
• 従来のDDoS対策は
対象となるサーバの前に
インラインで導入
• 構成に制約が生じ、後
から追加するのも対象
を増やすのも難しい
緩和装置
サーバ
- 15. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team
BGP FlowspecによるDDoS防御
BGP Flowspec + 緩和装置
サーバA life/来場者端末等 出展社
Transit Transit
xFlowサンプル
2.フィルタルール生成
RR
vMX
By Juniper
ShowNet
External
ShowNet
Backbone
コレクタ
Samurai
By NTTCOM
Peer
BGP Flowspec
対応ルータ
攻撃者
1.攻撃判定
4.攻撃防御
正常者
3.経路配布
Cisco
ASR9900
Huawei
NE5000E
Juniper
MX480
- 16. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 16
Traffic analysis
Firewall
DDoSミチゲータ
vCPE (NAT/ToS)
NFVでのDDoS対策
NFVでのMitigation
• ユーザごとにサービスチェインを選択
• vCPEでパケットにマーキング
• 各サービスをToSの各bitに埋め込む
• OpenFlowでサービスを適用するか判断
• ToSの特定bitをチェック
• 1ならVNFへ、0なら迂回
• ユーザの要求に応じて機能を追加
OpenFlow Switch
OpenFlow Switch
OpenFlow Switch
OpenFlow Switch
- 17. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 17
ISP Free Mitigation
SDN-IX
BGP Flowspec +
緩和装置
NFV
- 18. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 18
トラフィックに応じたDDoS対策
ShowNetでのDDoS対策
適材適所の対策で効果的なDDoS対策を!
2. SDN IX
IX攻撃流入口での攻撃トラフィック破棄
1. 緩和サービス
BGP経路操作による攻撃緩和装置への
誘導・破棄
3. BGP Flowspec
網内緩和装置への誘導攻撃トラフィック
の制限・破棄自組織
IX
トランジット