DDoS対策の自動化について

1. 2015 Tajima Hirotaka
DDoS対策をどこまで
自動化できるか
Cloud Builder Community 2015
Tajima Hirotaka / Genie Networks

2. 2015 Tajima Hirotaka
agenda
• 背景
• DDoS対策の概要
• DDoS対策の実戦
• 試してること､こうあって欲しい的なこと

3. お題
DDoS対策
と自動化
3

4. DDoS攻撃は増加している
4
キーワード「DDoS」の推移
2008年 2014年
DDoS
SDN

5. 被害者にも加害者にもなる
5
弊社日本オフィス
(メンバー4人)の例
170M
いつもは
1M

6. 6

7. DDoS攻撃対策例
(自網内の対処)

8. 3
Regional Network
Regional Network
被害機
フィルタを設定する
攻撃者
Bot
Bot
運用者

9. 3
Regional Network
Regional Network
被害機
RTBH(BGPブラックホール)
攻撃者
Bot
Bot
DDoS検知
BGP生成

10. 3
Regional Network
Regional Network
被害機
クリーンボックスを挟む
攻撃者
Bot
Bot Clean Box
Clean Box

11. 3
Regional Network
Regional Network
被害機
ブラックホール+クリーンボックス
攻撃者
Bot
Bot
Clean Box
DDoS検知
BGP生成

12. 3
Regional Network
Regional Network
被害機
Flowspec
攻撃者
Bot
Bot
DDoS検知
flowspec
送信元addressでdrop
レートリミット
マーキング
回(ダイバート)

13. DDoS攻撃対策例
(自網外での対処)

14. Regional Network
Regional Network
被害機
上流のmitigationサービス
Bot
Bot
Clean Box
上流ISP1
上流ISP2

15. Regional Network
Regional Network
被害機
汎用のmitigationサービス
Bot
Bot
Clean Box
トンネル
専用線

16. Regional Network
Regional Network
被害機
(ちと難しそう?)上流にFlowspecを広告
Bot
Bot
上流ISP1
上流ISP2
DDoS検知
flowspec

17. DDoS攻撃対策は
自網側と上流側の
双方が必要

18. でも､フローコレクタとか無
いし､お高いんでしょ?
BGPルータとか触りたくない
し､､､

19. そんなあなたに朗報

20. フローコレクタ(GenieATM)
のASPサービスを始めます
(coming soon!)

21. ここからは
作ってるもの&
今後やりたいこと(=妄想)

22. 2015 Tajima Hirotaka
もっとフレキシブルに
• いまどきDDoSへの対策は単一リソースの監視やアクションでは
不十分ですよね
• ､NW(on オンプレ､クラウド)
• 上流回線､カスタマ回線､CDN､サービス
• 各リソースを横断して……
• データを取りたい&見せたい
• 操作したい&させたい
• むしろ外部に「見せて」かつ「操作させて」運用を任せたい
• 特定の(メーカ|ベンダー|サービス)への依存度を下げて!

23. 2015 Tajima Hirotaka
クラウドA クラウドB
ISP1
ISP2
DDoS浄化サービスA
MSPサービスA
IX
監視&アクションのイメージ
オンプレ
API
Attacker

24. 2015 Tajima Hirotaka
クラウド クラウド
ISP1
ISP2
DDoS
MSP
IX
監視
オンプレ
API
Attacker
自網側と外部サービス
をAPIでつなげる

25. 2015 Tajima Hirotaka
最初の一歩(?)
オンプレ
ASPサービス
フローコレクタ
(GenieATM)
クラウドA
ログ収集
(fluentd)
BGP/Flowspec制御
(Exabgp)
(*)リモートからBGP/Flowspecを
発行するのは避けたいので｡
(**)GenieATMもBGP/Flowspecを
話せます
異常通知
xflow
攻撃回避指示
BGP/Flowspec

26. 2015 Tajima Hirotaka
そもそも､BGP/Flowspecである必然性は無い
オンプレ
ASPサービス
フローコレクタ
(GenieATM)
クラウドA
ログ収集
(fluentd)
API Gateway
異常通知
xflow
攻撃回避指示
ミチゲーション指示

27. 2015 Tajima Hirotaka
サーバ、監視装置等のログも判断にくわえる
オンプレ
ASPサービス
フローコレクタ
(GenieATM)
クラウドA
ログ収集
(fluentd)
API Gateway
異常通知
xflow
攻撃回避指示
ミチゲーション指示
ログ
通知
通信の
詳細

28. 2015 Tajima Hirotaka
夢
オンプレ
ASPサービス
フローコレクタ
(GenieATM)
クラウドA
ログ収集
(fluentd)
API Gateway
異常通知
xflow
攻撃回避指示
ミチゲーション指示
ログ
通知
通信の
詳細
ミチゲーション指示
API Gateway
API Gateway

29. 2015 Tajima Hirotaka
まとめ
• DDoS対策は自網側(オンプレ､クラウド)
と上流側の対処の両方が必要
• 自動化のため､リソース同士がAPIでや
り取りできる仕組みが望ましい