Submit Search
Upload
CDNに脆弱性?Fowarding-Loop Attacks in Content Delivery Networks
•
2 likes
•
6,770 views
J-Stream Inc.
Follow
CDNに脆弱性?Fowarding-Loop Attacks in Content Delivery Networks
Read less
Read more
Technology
Report
Share
Report
Share
1 of 10
Download now
Download to read offline
Recommended
セキュリティCDN: Imperva Incapsula
セキュリティCDN: Imperva Incapsula
J-Stream Inc.
CDNのパフォーマンス比較/Cedexis
CDNのパフォーマンス比較/Cedexis
J-Stream Inc.
マルチCDNの概要
マルチCDNの概要
J-Stream Inc.
CDNによるInternet支配の現状とICNの可能性
CDNによるInternet支配の現状とICNの可能性
J-Stream Inc.
Cedexis
Cedexis
J-Stream Inc.
次世代CDNのトレンド
次世代CDNのトレンド
J-Stream Inc.
ストリーミングのTLS(SSL)化
ストリーミングのTLS(SSL)化
J-Stream Inc.
Web制作・運用会社に必要なCDNサービスとは?
Web制作・運用会社に必要なCDNサービスとは?
J-Stream Inc.
Recommended
セキュリティCDN: Imperva Incapsula
セキュリティCDN: Imperva Incapsula
J-Stream Inc.
CDNのパフォーマンス比較/Cedexis
CDNのパフォーマンス比較/Cedexis
J-Stream Inc.
マルチCDNの概要
マルチCDNの概要
J-Stream Inc.
CDNによるInternet支配の現状とICNの可能性
CDNによるInternet支配の現状とICNの可能性
J-Stream Inc.
Cedexis
Cedexis
J-Stream Inc.
次世代CDNのトレンド
次世代CDNのトレンド
J-Stream Inc.
ストリーミングのTLS(SSL)化
ストリーミングのTLS(SSL)化
J-Stream Inc.
Web制作・運用会社に必要なCDNサービスとは?
Web制作・運用会社に必要なCDNサービスとは?
J-Stream Inc.
WordPressのCDN化
WordPressのCDN化
J-Stream Inc.
SSLの最新トレンド
SSLの最新トレンド
J-Stream Inc.
connpass特徴と開発の流れ
connpass特徴と開発の流れ
Ikeda Yosuke
マーケティングオートメーションの真実
マーケティングオートメーションの真実
FROM SCRATCH
海外展示会を活用した東南アジア美容市場への参入のご提案
海外展示会を活用した東南アジア美容市場への参入のご提案
Yoshi Kashima
Cisco Connect Japan 2014:シスコのビデオ コミュニケーション環境を体験しよう!
Cisco Connect Japan 2014:シスコのビデオ コミュニケーション環境を体験しよう!
シスコシステムズ合同会社
インターンシップ2012_10N1042_菊地正太郎_RFC発表データ
インターンシップ2012_10N1042_菊地正太郎_RFC発表データ
unikuo0213
Educacion fe
Educacion fe
Héctor Sampieri Rubach
プロフェッショナルマーケティングPJT説明資料
プロフェッショナルマーケティングPJT説明資料
伊藤 剛志
ギャザリングLt資料
ギャザリングLt資料
Tomonori Sano
2011建築研究賞_東京の異界_08N1062須長拓也_大江研
2011建築研究賞_東京の異界_08N1062須長拓也_大江研
110484
Cisco Connect Japan 2014: シスコ ビデオ テクノロジー最前線
Cisco Connect Japan 2014: シスコ ビデオ テクノロジー最前線
シスコシステムズ合同会社
これから始めるssl対策
これから始めるssl対策
Shohei Kobayashi
CDNホットトピック(SSLとパケット着信課金)
CDNホットトピック(SSLとパケット着信課金)
J-Stream Inc.
5/22 第23回 Customer系エンジニア座談会のスライド 公開用 西口瑛一
5/22 第23回 Customer系エンジニア座談会のスライド 公開用 西口瑛一
瑛一 西口
ロボットマニピュレーションの作業・動作計画 / rosjp_planning_for_robotic_manipulation_20240521
ロボットマニピュレーションの作業・動作計画 / rosjp_planning_for_robotic_manipulation_20240521
Satoshi Makita
ネットワーク可視化 振る舞い検知(NDR)ご紹介_キンドリル202405.pdf
ネットワーク可視化 振る舞い検知(NDR)ご紹介_キンドリル202405.pdf
Takayuki Nakayama
部内勉強会(IT用語ざっくり学習) 実施日:2024年5月17日(金) 対象者:営業部社員
部内勉強会(IT用語ざっくり学習) 実施日:2024年5月17日(金) 対象者:営業部社員
Sadaomi Nishi
Intranet Development v1.0 (TSG LIVE! 12 LT )
Intranet Development v1.0 (TSG LIVE! 12 LT )
iwashiira2ctf
LoRaWAN無位置ロープ式水漏れセンサーWL03A 日本語マニュアル
LoRaWAN無位置ロープ式水漏れセンサーWL03A 日本語マニュアル
CRI Japan, Inc.
2024年5月17日 先駆的科学計算フォーラム2024 機械学習を用いた新たなゲーム体験の創出の応用
2024年5月17日 先駆的科学計算フォーラム2024 機械学習を用いた新たなゲーム体験の創出の応用
KLab Inc. / Tech
クラウド時代におけるSREとUPWARDの取組ーUPWARD株式会社 CTO門畑
クラウド時代におけるSREとUPWARDの取組ーUPWARD株式会社 CTO門畑
Akihiro Kadohata
More Related Content
Viewers also liked
WordPressのCDN化
WordPressのCDN化
J-Stream Inc.
SSLの最新トレンド
SSLの最新トレンド
J-Stream Inc.
connpass特徴と開発の流れ
connpass特徴と開発の流れ
Ikeda Yosuke
マーケティングオートメーションの真実
マーケティングオートメーションの真実
FROM SCRATCH
海外展示会を活用した東南アジア美容市場への参入のご提案
海外展示会を活用した東南アジア美容市場への参入のご提案
Yoshi Kashima
Cisco Connect Japan 2014:シスコのビデオ コミュニケーション環境を体験しよう!
Cisco Connect Japan 2014:シスコのビデオ コミュニケーション環境を体験しよう!
シスコシステムズ合同会社
インターンシップ2012_10N1042_菊地正太郎_RFC発表データ
インターンシップ2012_10N1042_菊地正太郎_RFC発表データ
unikuo0213
Educacion fe
Educacion fe
Héctor Sampieri Rubach
プロフェッショナルマーケティングPJT説明資料
プロフェッショナルマーケティングPJT説明資料
伊藤 剛志
ギャザリングLt資料
ギャザリングLt資料
Tomonori Sano
2011建築研究賞_東京の異界_08N1062須長拓也_大江研
2011建築研究賞_東京の異界_08N1062須長拓也_大江研
110484
Cisco Connect Japan 2014: シスコ ビデオ テクノロジー最前線
Cisco Connect Japan 2014: シスコ ビデオ テクノロジー最前線
シスコシステムズ合同会社
これから始めるssl対策
これから始めるssl対策
Shohei Kobayashi
CDNホットトピック(SSLとパケット着信課金)
CDNホットトピック(SSLとパケット着信課金)
J-Stream Inc.
Viewers also liked
(14)
WordPressのCDN化
WordPressのCDN化
SSLの最新トレンド
SSLの最新トレンド
connpass特徴と開発の流れ
connpass特徴と開発の流れ
マーケティングオートメーションの真実
マーケティングオートメーションの真実
海外展示会を活用した東南アジア美容市場への参入のご提案
海外展示会を活用した東南アジア美容市場への参入のご提案
Cisco Connect Japan 2014:シスコのビデオ コミュニケーション環境を体験しよう!
Cisco Connect Japan 2014:シスコのビデオ コミュニケーション環境を体験しよう!
インターンシップ2012_10N1042_菊地正太郎_RFC発表データ
インターンシップ2012_10N1042_菊地正太郎_RFC発表データ
Educacion fe
Educacion fe
プロフェッショナルマーケティングPJT説明資料
プロフェッショナルマーケティングPJT説明資料
ギャザリングLt資料
ギャザリングLt資料
2011建築研究賞_東京の異界_08N1062須長拓也_大江研
2011建築研究賞_東京の異界_08N1062須長拓也_大江研
Cisco Connect Japan 2014: シスコ ビデオ テクノロジー最前線
Cisco Connect Japan 2014: シスコ ビデオ テクノロジー最前線
これから始めるssl対策
これから始めるssl対策
CDNホットトピック(SSLとパケット着信課金)
CDNホットトピック(SSLとパケット着信課金)
Recently uploaded
5/22 第23回 Customer系エンジニア座談会のスライド 公開用 西口瑛一
5/22 第23回 Customer系エンジニア座談会のスライド 公開用 西口瑛一
瑛一 西口
ロボットマニピュレーションの作業・動作計画 / rosjp_planning_for_robotic_manipulation_20240521
ロボットマニピュレーションの作業・動作計画 / rosjp_planning_for_robotic_manipulation_20240521
Satoshi Makita
ネットワーク可視化 振る舞い検知(NDR)ご紹介_キンドリル202405.pdf
ネットワーク可視化 振る舞い検知(NDR)ご紹介_キンドリル202405.pdf
Takayuki Nakayama
部内勉強会(IT用語ざっくり学習) 実施日:2024年5月17日(金) 対象者:営業部社員
部内勉強会(IT用語ざっくり学習) 実施日:2024年5月17日(金) 対象者:営業部社員
Sadaomi Nishi
Intranet Development v1.0 (TSG LIVE! 12 LT )
Intranet Development v1.0 (TSG LIVE! 12 LT )
iwashiira2ctf
LoRaWAN無位置ロープ式水漏れセンサーWL03A 日本語マニュアル
LoRaWAN無位置ロープ式水漏れセンサーWL03A 日本語マニュアル
CRI Japan, Inc.
2024年5月17日 先駆的科学計算フォーラム2024 機械学習を用いた新たなゲーム体験の創出の応用
2024年5月17日 先駆的科学計算フォーラム2024 機械学習を用いた新たなゲーム体験の創出の応用
KLab Inc. / Tech
クラウド時代におけるSREとUPWARDの取組ーUPWARD株式会社 CTO門畑
クラウド時代におけるSREとUPWARDの取組ーUPWARD株式会社 CTO門畑
Akihiro Kadohata
Hyperledger Fabricコミュニティ活動体験& Hyperledger Fabric最新状況ご紹介
Hyperledger Fabricコミュニティ活動体験& Hyperledger Fabric最新状況ご紹介
Hyperleger Tokyo Meetup
情報を表現するときのポイント
情報を表現するときのポイント
onozaty
研究紹介スライド: オフライン強化学習に基づくロボティックスワームの制御器の設計
研究紹介スライド: オフライン強化学習に基づくロボティックスワームの制御器の設計
atsushi061452
Keywordmap overview material/CINC.co.ltd
Keywordmap overview material/CINC.co.ltd
kokinagano2
LoRaWAN無位置ロープ型水漏れセンサー WL03A-LB/LSカタログ ファイル
LoRaWAN無位置ロープ型水漏れセンサー WL03A-LB/LSカタログ ファイル
CRI Japan, Inc.
MPAなWebフレームワーク、Astroの紹介 (その1) 2024/05/17の勉強会で発表されたものです。
MPAなWebフレームワーク、Astroの紹介 (その1) 2024/05/17の勉強会で発表されたものです。
iPride Co., Ltd.
Recently uploaded
(14)
5/22 第23回 Customer系エンジニア座談会のスライド 公開用 西口瑛一
5/22 第23回 Customer系エンジニア座談会のスライド 公開用 西口瑛一
ロボットマニピュレーションの作業・動作計画 / rosjp_planning_for_robotic_manipulation_20240521
ロボットマニピュレーションの作業・動作計画 / rosjp_planning_for_robotic_manipulation_20240521
ネットワーク可視化 振る舞い検知(NDR)ご紹介_キンドリル202405.pdf
ネットワーク可視化 振る舞い検知(NDR)ご紹介_キンドリル202405.pdf
部内勉強会(IT用語ざっくり学習) 実施日:2024年5月17日(金) 対象者:営業部社員
部内勉強会(IT用語ざっくり学習) 実施日:2024年5月17日(金) 対象者:営業部社員
Intranet Development v1.0 (TSG LIVE! 12 LT )
Intranet Development v1.0 (TSG LIVE! 12 LT )
LoRaWAN無位置ロープ式水漏れセンサーWL03A 日本語マニュアル
LoRaWAN無位置ロープ式水漏れセンサーWL03A 日本語マニュアル
2024年5月17日 先駆的科学計算フォーラム2024 機械学習を用いた新たなゲーム体験の創出の応用
2024年5月17日 先駆的科学計算フォーラム2024 機械学習を用いた新たなゲーム体験の創出の応用
クラウド時代におけるSREとUPWARDの取組ーUPWARD株式会社 CTO門畑
クラウド時代におけるSREとUPWARDの取組ーUPWARD株式会社 CTO門畑
Hyperledger Fabricコミュニティ活動体験& Hyperledger Fabric最新状況ご紹介
Hyperledger Fabricコミュニティ活動体験& Hyperledger Fabric最新状況ご紹介
情報を表現するときのポイント
情報を表現するときのポイント
研究紹介スライド: オフライン強化学習に基づくロボティックスワームの制御器の設計
研究紹介スライド: オフライン強化学習に基づくロボティックスワームの制御器の設計
Keywordmap overview material/CINC.co.ltd
Keywordmap overview material/CINC.co.ltd
LoRaWAN無位置ロープ型水漏れセンサー WL03A-LB/LSカタログ ファイル
LoRaWAN無位置ロープ型水漏れセンサー WL03A-LB/LSカタログ ファイル
MPAなWebフレームワーク、Astroの紹介 (その1) 2024/05/17の勉強会で発表されたものです。
MPAなWebフレームワーク、Astroの紹介 (その1) 2024/05/17の勉強会で発表されたものです。
CDNに脆弱性?Fowarding-Loop Attacks in Content Delivery Networks
1.
CDNに脆弱性? Forwarding-Loop Attacks in Content
Delivery Networks 株式会社Jストリーム 事業推進部 佐藤 太一 CDN情報サイト https://tech.jstream.jp/ 1© 2016 J-Stream Inc. All Rights Reserved. Rev:20160315
2.
自己紹介 ▶経歴 ▶1980/09 山口県光市 生 ▶2003/03
鹿児島大学 卒 ▶2003/04 Jストリーム(AS24253)に入社 ~新卒で入社してそのまま、現在も在籍 ▶本業 ▶自社CDNのセールスエンジニア ▶CDNのインフラ全般のセールスサポート・構築・運用 ▶最近は現場仕事よりマネジメント業務、顧客対応がメイン ▶CDN情報サイト: https://tech.jstream.jp/ ▶JANOG38 実行委員長 ▶趣味:楽器演奏(ファゴット) © 2016 J-Stream Inc. All Rights Reserved. 2
3.
コンテンツデリバリネットワーク (CDN) に対するサービス運用 妨害
(DoS) の問題 (Forwarding Loop 攻撃) 公開日:2016/03/01 JVNDB-2016-001538 ■JVN http://jvn.jp/vu/JVNVU94080110/ ■元の発表資料 https://www.internetsociety.org/sit es/default/files/blogs- media/forwarding-loop-attacks- content-delivery-networks.pdf © 2016 J-Stream Inc. All Rights Reserved. 3
4.
CDNに脆弱性?? どういうこっちゃ? © 2016 J-Stream
Inc. All Rights Reserved. 4
5.
研究者の発表資料 概要 ▶CDNの設定上、オリジンサーバーの指定の仕方によってはProxyループを 発生させ(D)DoS攻撃を行うことが可能 ▶設定をユーザーが行うため、 悪意を持ったユーザー 正規ユーザーのCDNの設定ミス により発生する可能性がある。 ▶CDN事業者は正しく上記を検知し、ブロックできるようにする必要がある。 対応しない事業者がいると全体としてリスクが残る。 ▶補足 ▶Web管理画面でCDNの設定が行えない事業者に関しては影響が少ない ▶オンラインサインアップ等、匿名性のあるトライアルアカウント発行が可能な場合 は悪用される危険性が増す。 © 2016
J-Stream Inc. All Rights Reserved. 5
6.
基本的な攻撃テクニック ▶CDNにおけるオリジンサーバに、CDNの配信サーバを設定する ▶ユーザからのリクエストにより、CDNサーバでループを発生させCDNサーバ の負荷を上げる。 © 2016 J-Stream
Inc. All Rights Reserved. 6
7.
ループの種類 ▶Self-Loop ▶単独CDNサーバ内部におけるリクエストループ ▶Intra-CDN Loop ▶あるCDN事業者内におけるリクエストループ ▶Inter-CDN Loop ▶CDN事業者をまたがったリクエストループ ▶Dam
Flooding ▶高度なオリジン制御を行うリクエストループ ▶オリジン設定にホスト名を使用し、ループを最大 化するようにホストのIPアドレスを制御する。 © 2016 J-Stream Inc. All Rights Reserved. 7 CDN事業者A Self-Loop Intra-Loop Inter-CDN Loop CDN事業者B
8.
対策方法 ▶社会面 ▶安易なオンラインサインアップの中止(ユーザの匿名性を排除する) ▶機能面 ▶オリジンサーバ設定におけるIPアドレスの識別 ▶CDNサーバ群のIPアドレスレンジをオリジンサーバとしない ▶ CDNに特徴的なリクエストヘッダの追加 ▶CDNサーバでは、このリクエストヘッダを持つリクエストを中継しない ▶例:Viaヘッダの適切な付与、検査 ▶タイムアウトの設定 ▶abort-forwardingを設定し、(最初の)ユーザリクエストから規定値以内に完了しな いループを強制切断する。 ▶課題 ▶上記対策を行わないCDN事業者がいる場合、Inter-CDN LoopによりCDN全体 が危険に陥る。 ©
2016 J-Stream Inc. All Rights Reserved. 8
9.
各CDN事業者の対応状況 © 2016 J-Stream
Inc. All Rights Reserved. 9 ▶Akamai ▶影響なしとブログで発表済 ▶https://blogs.akamai.com/2016/03/aka mai-response-to-forwarding-loop- issue.html ▶CloudFlare ▶影響なしとブログで発表済 ▶https://blog.cloudflare.com/preventing- malicious-request-loops/ ▶Jストリーム ▶元々影響は軽微 ▶3/8対応済 Forwarding-Loop Attacks in Content Delivery Networksより TABLE I. VULNERABILITY OF THE MEASURED CDNS TO FOUR TYPES OF FORWARDING-LOOP ATTACKS. (“Likely” refers to inference from indirect evidence.)
10.
まとめ 他 ▶CDN利用中の場合は各CDN事業者に確認を ▶大半の事業者様は対応済みだと思います ▶脆弱性が出たからといって慌てない ▶割りと重箱の隅をつつかれてる感じ・・・? ▶皆さん同じような感じなんでしょうか? ▶セキュリティ情報、どこから入手してますか? ▶JPCERT/CC,JVN,piyolog,Twitter・・・etc © 2016
J-Stream Inc. All Rights Reserved. 10
Download now