Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
アタック VS 連合軍 (事業部 x CS x システム)
GMOインターネット株式会社
システム本部
割田 太郎
防
衛
あ
ん
し
ん
2
・自己紹介
・アタックへの取組み
・実証済みアイテムの紹介
・まとめ
アジェンダ
3
割田 太郎 Taro Warita
自己紹介
システム本部 システムオペレーション開発部
クオリティアシュアランスチーム
マネージャ
業務内容
多角的にサービスの品質維持+向上を支援
①サービスの安定提供の為の各種対策
②IPアドレスの管理...
4
・自己紹介
・アタックへの取組み
>> 安心
・実証済みアイテムの紹介
・まとめ
アジェンダ
5
アタックへの取組み
一覧 ⇒
サービス環境を脅かす
Q:アタック(Attack)には
どのようなものが
ありますか?
アタックの定義
6
アタックへの取組み
アタックの定義
今回は、その中でも⇒
DDoS
DoSハッキング
脆弱性利用型
マルウェア感染
不正入会・利用
内部からのアタック
不正利用型
不正アクセス
物量型
リスト攻撃
XSS
SQLi
高Session
7
アタックへの取組み
アタックの定義
DDoS攻撃の意味は⇒
DDoS攻撃
今回フォーカスするのは
8
アタックへの取組み
アタックの定義
Dos攻撃 ドス攻撃
(Denial of Service attack : ディナイル オブ サービス アタック)
Denail = "拒否"/"否認"/"拒絶"
日本語では、サービス停止攻撃とかいいま...
9
アタックへの取組み
アタックの状況
Q:アタックの
頻度と規模は?
正解は ⇒
10
アタックへの取組み
アタックの状況
頻度
月15回~30回程度
(1G以上のもの)
2日に1回から2回
これらアタックへ対応する為に ⇒
規模
平均3.5Gbps程度
12月の最大値 14.3Gbps
0
5
10
15
20
2016年...
11
アタックへの取組み
まずは人員の体制強化 ⇒
体制強化の為に
何をすれば?!
12
アタックへの取組み
まずは人員の体制強化 ⇒
1.人員強化(組織強化)
2.情報強化
3.枠組み強化
体制強化
13
アタックへの取組み
体制強化(その1) = 人員強化 連合軍の結成
人員の体制の次は ⇒
事業部
シス
テム
カスマー
サービス
週1回キープ実施
チャットで
随時情報交換
アイディア
出し合い
各部署内とも
参加メンバが
中心となり調整...
14
アタックへの取組み
体制強化(その2) = 情報強化 各セグメントで情報収集
OpenStack
傾向情報
情報整備の後は⇒
DDos
対策機器
基幹
ルータ
弊社管理
各種機器
検知ログ
傾向情報OpenvSwtich
情報ログ
帯域情...
15
アタックへの取組み
体制強化(その3) = 枠組み強化 基本サイクル作成
実際の代表的な成果としては ⇒
•情報収集(仕組み作り)
•分析
•対策方法検討
•手動での実施
•自動化対応
•導入(逐次+定期MTG)
•横展開(継続的対応)
...
16
アタックへの取組み
代表的な実施成果
①DDoS対策機器強化(環境強化)
現状を分析+報告し予算確保
②アタック自動分析(対応迅速化)
傾向分析情報を利用
③Abuseへの対処迅速化(原因軽減)
etc
もうすこしDDoSの部分掘り下げま...
17
アタックへの取組み
説明
DDoS対策機器の動き
①基幹ルータのFlow情報を元に通信監視
②アタック検知時には、該当通信をBGPで制御し
該当通信をCleanBOX経由に切り替える
③CleanBOXでアタック判別を自動実施
④正常通信...
18
アタックへの取組み
通信制限の取組み
DDoS
対策機器
•[CleanBOX]で
アタックと正常通信を自動判断し
アタックのみ停止(自動)
Flowspec
• フロースペック機能等で
アタック情報を元に
特定通信のみ制限(管理者)
ア...
19
アタックへの取組み
お持ち帰りのもの確認
安 心
では2つ目のお話に行きます ⇒
20
・自己紹介
・アタックへの取組み
・実証済みアイテムの紹介
>> 運用に行かせるアイディア
・まとめ
アジェンダ
21
実証済みアイディアの紹介
チャットBOTの運用
こんな感じの使い方 ⇒
[利用内容]
・決まった文字列に反応と情報に
反応させ
各種情報を表示
[技術的内容]
・チャット側公開API(REST)利用
・HubotやAPIモジュールをつくり...
22
実証済みアイディアの紹介
チャットBOTの運用
また、ほかには ⇒
『アタック VS 連合軍』
1.アタックへの取組み
2.実証済みアイディアの紹介
[神様]HosCon 割田太郎
BOT-API 2月16日19:21
BOT
割田 2月...
23
実証済みアイディアの紹介
チャットBOTの運用
少し小ネタ ⇒
[導入しての付帯効果]
①利用頻度が見える
②利用者が見える
③要望を直接利用者から聞ける
④利用者も要望を開発者に
言いやすい
利用と改善の良いサイクル
24
実証済みアイディアの紹介
チャットBOTの運用
アイディアの2つ目は ⇒
[技術メモ]
ChatWorkのAPIを手軽に
試したいときに
はまる日本語変換の知恵
perl -Xpne 's/¥¥u([0-9a-fA-F]{4})/chr(...
25
実証済みアイディアの紹介
プライベートWHOISの運用
実際の利用はこんな感じ ⇒
[利用目的]
・IPアドレスに関する情報の集約
・各種情報回答(利用ブランド,環境,連絡先etc)
[技術情報]
JWhoisServer利用(Java ...
26
実証済みアイディアの紹介
プライベートWhoisの運用
[wari]$whois –h privatewhois 210.xxx.20.100
network: 210.xxx.20.128/26
inetnumstart: 210.xx...
27
実証済みアイディアの紹介
プライベートWhoisの運用
network: 210.xxx.20.128/26
inetnumstart: 210.xxx.20.128
inetnumend: 210.xxx.20.191
[gmo_inf...
28
実証済みアイディアの紹介
プライベートWhoisの運用
[導入しての付帯効果]
①各種自動化の足掛かりになる
②IPの利用内容確認の時間短縮
③他部署からの利用参照業務解消
では まとめ ⇒
29
実証済みアイディアの紹介
まとめ
1.アタックへの取組み(安心)
2.運用のアイディア2つ
プライベートWHOIS運用
チャットBOT運用
ご清聴ありがとうございました。
Upcoming SlideShare
Loading in …5
×

Hoscon@2017(Taro Warita)

680 views

Published on

アタックVS連合軍(事業部xCSxシステム)
https://gmohoscon.connpass.com/event/49184/
外部からのアタックは日々増加しています。それら各種アタックやクラックなどに対しGMOインターネットでは、事業担当/カスタマーサービス担当/システム担当の各部署から有志を募り、部署横断で「サービス安定化対策プロジェクト」を実施しています。今回は、その中の幾つかをご紹介させていただきます。

Published in: Business
  • Be the first to comment

  • Be the first to like this

Hoscon@2017(Taro Warita)

  1. 1. アタック VS 連合軍 (事業部 x CS x システム) GMOインターネット株式会社 システム本部 割田 太郎 防 衛 あ ん し ん
  2. 2. 2 ・自己紹介 ・アタックへの取組み ・実証済みアイテムの紹介 ・まとめ アジェンダ
  3. 3. 3 割田 太郎 Taro Warita 自己紹介 システム本部 システムオペレーション開発部 クオリティアシュアランスチーム マネージャ 業務内容 多角的にサービスの品質維持+向上を支援 ①サービスの安定提供の為の各種対策 ②IPアドレスの管理 ③開発と運用の分離促進対策 ④各種 事務局の仕事 ( ITSMS/ISMS申請, 危機管理, データセンタ全般,セキュリティ全般 ) 目次⇒
  4. 4. 4 ・自己紹介 ・アタックへの取組み >> 安心 ・実証済みアイテムの紹介 ・まとめ アジェンダ
  5. 5. 5 アタックへの取組み 一覧 ⇒ サービス環境を脅かす Q:アタック(Attack)には どのようなものが ありますか? アタックの定義
  6. 6. 6 アタックへの取組み アタックの定義 今回は、その中でも⇒ DDoS DoSハッキング 脆弱性利用型 マルウェア感染 不正入会・利用 内部からのアタック 不正利用型 不正アクセス 物量型 リスト攻撃 XSS SQLi 高Session
  7. 7. 7 アタックへの取組み アタックの定義 DDoS攻撃の意味は⇒ DDoS攻撃 今回フォーカスするのは
  8. 8. 8 アタックへの取組み アタックの定義 Dos攻撃 ドス攻撃 (Denial of Service attack : ディナイル オブ サービス アタック) Denail = "拒否"/"否認"/"拒絶" 日本語では、サービス停止攻撃とかいいますね。 サーバやネットワークなどのリソース(CPU/メモリ/帯域)に対して意図的に過剰な負荷をかける攻撃 DDoS攻撃 ディードス攻撃 (Distributed Denial of Service attack : ディストリビューテッド ディナイル オブ サービス アタック) Distributed = "分配する"/"配る" 日本語では、分散Dos攻撃/分散型サービス停止攻撃 DoS攻撃の送信元が複数の場合の名称がこちらになります。 次は現状理解 ⇒
  9. 9. 9 アタックへの取組み アタックの状況 Q:アタックの 頻度と規模は? 正解は ⇒
  10. 10. 10 アタックへの取組み アタックの状況 頻度 月15回~30回程度 (1G以上のもの) 2日に1回から2回 これらアタックへ対応する為に ⇒ 規模 平均3.5Gbps程度 12月の最大値 14.3Gbps 0 5 10 15 20 2016年10月 2016年11月 2016年12月 2017年1月 2017年2月 UDP:NTP関連 19 9 15 9 19 その他 6 5 12 6 5 件数推移 0.00 2.00 4.00 6.00 8.00 10.00 12.00 14.00 16.00 2016年10月 2016年11月 2016年12月 2017年1月 2017年2月 平均帯域(Gbps) 3.75 3.92 3.32 3.31 2.40 最大値(Gbps) 12.35 6.37 14.32 5.25 6.15 規模
  11. 11. 11 アタックへの取組み まずは人員の体制強化 ⇒ 体制強化の為に 何をすれば?!
  12. 12. 12 アタックへの取組み まずは人員の体制強化 ⇒ 1.人員強化(組織強化) 2.情報強化 3.枠組み強化 体制強化
  13. 13. 13 アタックへの取組み 体制強化(その1) = 人員強化 連合軍の結成 人員の体制の次は ⇒ 事業部 シス テム カスマー サービス 週1回キープ実施 チャットで 随時情報交換 アイディア 出し合い 各部署内とも 参加メンバが 中心となり調整 対策を横展開 連合軍(れんごうぐん)の結成
  14. 14. 14 アタックへの取組み 体制強化(その2) = 情報強化 各セグメントで情報収集 OpenStack 傾向情報 情報整備の後は⇒ DDos 対策機器 基幹 ルータ 弊社管理 各種機器 検知ログ 傾向情報OpenvSwtich 情報ログ 帯域情報 基幹ルータからNetFlow情報 DDoS対策機器のアタックログ 管理機器への異常通信ログ OpenvSwitchから傾向情報取得 OpenStack基盤から課金用帯域情報 外部 情報 外部ブラックリスト/JPCERT:CC Abuse連絡など
  15. 15. 15 アタックへの取組み 体制強化(その3) = 枠組み強化 基本サイクル作成 実際の代表的な成果としては ⇒ •情報収集(仕組み作り) •分析 •対策方法検討 •手動での実施 •自動化対応 •導入(逐次+定期MTG) •横展開(継続的対応) ログや傾向情報 判断の為の分析 実利用検討 まずはナレッジ 作業効率化 実利用開始 他環境でも!
  16. 16. 16 アタックへの取組み 代表的な実施成果 ①DDoS対策機器強化(環境強化) 現状を分析+報告し予算確保 ②アタック自動分析(対応迅速化) 傾向分析情報を利用 ③Abuseへの対処迅速化(原因軽減) etc もうすこしDDoSの部分掘り下げますね ⇒
  17. 17. 17 アタックへの取組み 説明 DDoS対策機器の動き ①基幹ルータのFlow情報を元に通信監視 ②アタック検知時には、該当通信をBGPで制御し 該当通信をCleanBOX経由に切り替える ③CleanBOXでアタック判別を自動実施 ④正常通信は通常経路に戻しアタックは破棄 他含めた対応としては ⇒
  18. 18. 18 アタックへの取組み 通信制限の取組み DDoS 対策機器 •[CleanBOX]で アタックと正常通信を自動判断し アタックのみ停止(自動) Flowspec • フロースペック機能等で アタック情報を元に 特定通信のみ制限(管理者) アタック先IPでの通信制限を少しでも減らす為に 常に環境増強すると共に 新しい対策を常に考え 実施していきます! 逐次増強 自動対応 強化 削減
  19. 19. 19 アタックへの取組み お持ち帰りのもの確認 安 心 では2つ目のお話に行きます ⇒
  20. 20. 20 ・自己紹介 ・アタックへの取組み ・実証済みアイテムの紹介 >> 運用に行かせるアイディア ・まとめ アジェンダ
  21. 21. 21 実証済みアイディアの紹介 チャットBOTの運用 こんな感じの使い方 ⇒ [利用内容] ・決まった文字列に反応と情報に 反応させ 各種情報を表示 [技術的内容] ・チャット側公開API(REST)利用 ・HubotやAPIモジュールをつくり展開
  22. 22. 22 実証済みアイディアの紹介 チャットBOTの運用 また、ほかには ⇒ 『アタック VS 連合軍』 1.アタックへの取組み 2.実証済みアイディアの紹介 [神様]HosCon 割田太郎 BOT-API 2月16日19:21 BOT 割田 2月16日19:20 [IP] 192.168.0.100 [SERVICE] HosCon2017 [VM-NO] 150-8512 割田 2月16日19:22 BOT [神様]USER 192.168.0.100 BOT-API 2月16日19:23 1.BOT用の書き込みである宣言 [神様] 2.BOTに下記①②を渡す ①実行コマンド HosCon: 発表内容表示 USER : 商材と利用VM情報 ②付加情報 名称 や IPアドレス 3.BOTから①②を元に 各種情報が表示される 付帯効果 ⇒
  23. 23. 23 実証済みアイディアの紹介 チャットBOTの運用 少し小ネタ ⇒ [導入しての付帯効果] ①利用頻度が見える ②利用者が見える ③要望を直接利用者から聞ける ④利用者も要望を開発者に 言いやすい 利用と改善の良いサイクル
  24. 24. 24 実証済みアイディアの紹介 チャットBOTの運用 アイディアの2つ目は ⇒ [技術メモ] ChatWorkのAPIを手軽に 試したいときに はまる日本語変換の知恵 perl -Xpne 's/¥¥u([0-9a-fA-F]{4})/chr(hex($1))/eg' curl -X GET -H "X-ChatWorkToken:xxxxxxxxxxxxxx” ¥ “https://api.chatwork.com/v1/rooms/[ROOM]/messages?force=0" | ¥ sed 's/¥"message_id/¥n¥"message_id/g' | ¥ perl -Xpne 's/¥¥u([0-9a-fA-F]{4})/chr(hex($1))/eg'
  25. 25. 25 実証済みアイディアの紹介 プライベートWHOISの運用 実際の利用はこんな感じ ⇒ [利用目的] ・IPアドレスに関する情報の集約 ・各種情報回答(利用ブランド,環境,連絡先etc) [技術情報] JWhoisServer利用(Java Whois Server 0.4.1.3)
  26. 26. 26 実証済みアイディアの紹介 プライベートWhoisの運用 [wari]$whois –h privatewhois 210.xxx.20.100 network: 210.xxx.20.128/26 inetnumstart: 210.xxx.20.128 inetnumend: 210.xxx.20.191 [gmo_info] size: 64 organization: GMO Internet Brand: HosCon-SERVER network_name: GMOCL-SENYO control_flg: OFF dc: SHIBUYA Whoisコマンドで、迅速に情報を 機械的に取得することが出来るようになる 該当IPが参加する IP範囲の情報 該当IPの用途や 付加情報を取得 これをBOTと連携 ⇒
  27. 27. 27 実証済みアイディアの紹介 プライベートWhoisの運用 network: 210.xxx.20.128/26 inetnumstart: 210.xxx.20.128 inetnumend: 210.xxx.20.191 [gmo_info] size: 64 organization: GMO Internet Brand: HosCon-SERVER network_name: GMOCL-SENYO control_flg: OFF dc: SHIBUYA 割田 2月16日19:25 BOT [神様]WHOIS 210.xxx.20.100 BOT-API 2月16日19:25 付帯効果としては ⇒ 1.BOT用の書き込みである宣言 [神様] 2.BOTに下記①②を渡す ①実行コマンド WHOIS : プライベートWHOIS ②付加情報 IPアドレス 3.BOTから①②を元に WHOIS情報が表示される
  28. 28. 28 実証済みアイディアの紹介 プライベートWhoisの運用 [導入しての付帯効果] ①各種自動化の足掛かりになる ②IPの利用内容確認の時間短縮 ③他部署からの利用参照業務解消 では まとめ ⇒
  29. 29. 29 実証済みアイディアの紹介 まとめ 1.アタックへの取組み(安心) 2.運用のアイディア2つ プライベートWHOIS運用 チャットBOT運用 ご清聴ありがとうございました。

×