グローバルISP運用での DDoS アタックの現状/対策

Transcript

1. グローバルISP運用での DDoSアタックの現状 / 対策 NTT Communications 小島　慎太郎 <[email protected]>

2. グローバルISPとは?

3. NTT Communications GLOBAL IP NETWORK インターネットトラフィックの急速な増加をサポートする グローバルTier 1 IPバックボーンにより，高速・大容量のIP通信サービス を提供．

   ユーザは主に国内ISP．

4. バックボーンISPが扱うべきセキュリティ 2002 Computer Crime & Security Survey (CSI/FBI) インシデント別 年間被害総額　

   2005年情報 ISPサービスにおいてもセキュリティ維持は 必須条件ではあるが， ・ 原則として“通信の秘密”に抵触する 　セキュリティインシデントを扱うことは 　電気通信事業法で規制されている． ・ 数百Gbps～の大規模なトラフィック 　に対し，Deep Packet Inspection(DPI) 　は困難． 　パケットのペイロードを解析することによる 　ウィルスや不正アクセスの検知/防御など 　パケットのペイロードを参照せずに行える 　DDoSアタックの検知/防御など 　ただし，ISPバックボーンネットワークの 　保護，またはユーザとの合意に基づく 　ユーザネットワークの保護，という目的に 　限る OK: NG:

5. DDoSアタックの現状

6. DDoSアタックとは? Distributed Denial of Service：分散サービス妨害 (DDoS)攻撃* は，インターネット上に存 在する大量のコンピュータから一斉に特定サイト（WEBサーバなど）へ不正パケットを送出し， サーバ/システム負荷、ネットワーク輻輳を招き，サービスを停止させてしまう攻撃． ①攻撃命令

   インターネット上の数十万規模の ゾンビPC（Botnet）を遠隔操作し WEBサーバ等に攻撃を仕掛ける． Server Down サーバ群 ②攻撃パケット送信 ゾンビPC（Botnet）から，特定サイト （サーバ）への大量のパケット送信． ③DDoS被害の発生 DDoS攻撃対象となったサイトでは、 サーバ高負荷（FWIDS/IPS等も含む)， NW輻輳が発生してサービスがダウン． Network Congestion IDS/IPS Down FW/IDS/IPS ゾンビPC群（Botnet）

7. DDoSアタックの変遷 規模：1-100台のPC（比較的小規模） 数量：10,000 pps程度 手法：比較的シンプル（大量PING等） アタックの規模 規模：数百万以上のゾンビPCから 数量： 1,000,000 pps以上

   手法：新種（未知）のアタック 規模：数百から数十万規模のゾンビ PC（Botnet） 数量：100,000pps以上 手法：複合アタック、アドレス詐称(IP Spoofing等)　　　 時間 インフラの 破壊 金銭目的 の犯罪 愉快犯 ▲現在 大規模化・複雑化するDDoS攻撃の変遷 DDoS攻撃の 大規模化＆複雑化 インターネット発展と共に，DDoS攻撃も大規模化・複雑化しており，今後はEコマースサイト （WEBサーバ，顧客DB/課金サーバ)や，インターネットを利用したビジネスインフラ（VPN装置、 VoIPサーバ）への攻撃も増加していくことが予想され，事前のセキュリティ対策が不可欠にな りつつある．

8. DDoSアタックの現状 (海外編 1/5) ISPにおけるDDoSアタック対策が 進んでいることにより 被害は現象傾向． DDoSアタックによる被害状況 2005 NSP-SEC Survey

9. DDoSアタックの現状 (海外編 2 /5) 過半数を超えるISP内で1Gbps～のDDoS攻撃が“観測”されている． 最大で17Gbps．日本 (ntt.netを通る通信に限る)でも数Gbpsのアタックが 何件か観測された．そのほぼ全てが，日本→US / EUへの攻撃．

   日本向きの攻撃は通常数百Mbpsで，1Gbpsを超えることはまれ． 2005 NSP-SEC Survey 大規模DDoSアタック

10. DDoSアタックの現状 (海外編 3 /5) 依然として不正アクセス(brute force attack)が支配的ではあるが， それを除けばSYN Floodがほぼ半数を占める．近年DNSサーバへの UDP

    FloodやFlagment アタックが増加傾向にある． 2005 NSP-SEC Survey DDoSアタック種別 DDoS攻撃対象： •  IRC サーバ •  ゲームサーバ •  アダルトサイト •  ギャンブル / オンラインショップ •  政府/宗教団体

11. DDoSアタックの現状 (海外編 4 /5) ルータにおけるパケットフィルタ / Black Holing / unicast

    Reverse-Path Forwarding (uRPF) が支配的．Scrubber Box を運用で使用しているISPは少ない． 2005 NSP-SEC Survey DDoSアタック対処方法

12. DDoSアタックの現状 (海外編 5 /5) この2～3年の間にDDoS対策サービスをリリースしたグローバルISPは数多いが， 一般的にコスト高であり，回収できるだけのマージンを乗せた場合はユーザの ニーズにマッチしないという流れが大局を占める． 2005 NSP-SEC Survey

    DDoSアタックに対するISPの立場について •  30% believe ISPs are NOT in a position to mitigate future Internet threats •  69% believe they are, but: •  “ Only in limited deployment for Managed Service Customers ” •  “ Who else can do it – customers can’t ” •  “ Yes – but cost model is VERY tough! ” •  “ NOT with today’s margins! ” •  “ Position, yes, paid to do so – NO! “

13. DDoSアタックの現状 (国内編 1/4) DDoSアタック総数 0 1000 2000 3000 4000 5000

    6000 7000 8000 2006年 1月 2006年 2月 2006年 3月 2006年 4月 2006年 5月 2006年 6月 2006年 7月 Hi gh M edi um Low 0 1000 2000 3000 4000 5000 6000 7000 2006年 1月 2006年 2月 2006年 3月 2006年 4月 2006年 5月 2006年 6月 2006年 7月 H i gh M edi um Low ここ数年の国内ブロードバンドの普及により，日本国内のBotnetが拡大している． この影響を受けて，規模の大きいアタックは国内発のものが国内向けに比べ， 5倍程度観測されている． ntt.net を経由したアタックに限る Low: 1kpps～ , Medium: 5kpps～10kpps , High: 10kpps～ 海外 → 日本国内 日本国内 → 海外

14. DDoSアタックの現状 (国内編 2 /4) DDoSアタック規模 ntt.net を経由した アタックに限る 0 5000

    10000 15000 20000 25000 30000 35000 ～1k 1k～10k 10k～100k 100k～1M 1M ～10M I N C O M I N G O U TG O I N G (pps) TO TAL ～1k 1k～10k 10k～100k 100k～1M 1M ～10M I N C O M I N G 55531 21765 32274 1430 62 0 O U TG O I N G 46604 1010 32000 12768 825 1 数十Mbps～レベル 数百Mbps～レベル

15. DDoSアタックの現状 (国内編 3 /4) DDoSアタック種別 I C M P TC

    PN U LL TC PSYN I PN U LL FLA G PR I V A TE R ST I C M P TC PN U LL TC PSYN I PN U LL FLA G PR I V A TE R ST ntt.net を経由したアタックに限る 最も規模の大きいアタック： 海外 → 日本国内 　 426kpps (SYN) 日本国内 →海外 　1,557kpps (SYN) 海外 → 日本国内 日本国内 → 海外

16. DDoSアタックの現状 (国内編 4 /4) 継続時間に国内 → 海外，海外 → 国内の差はなく，１５分以内に終了する アタックが大半で，トレースバックが困難．

    DDoSアタック継続時間 ntt.net を経由した アタックに限る 0. 0% 20. 0% 40. 0% 60. 0% 80. 0% 100. 0% 120. 0% ～ 5m i n 5～ 15m i n 15～ 30m i n 30m i n～ 1hr 1hr～ 6hr 6hr～ 12hr 12hr～ 24hr 24hr～ I N C O M I N G O U TG O I N G TO TAL ～5m i n 5～15m i n 15～30m i n 30m i n～1hr 1hr～6hr 6hr～12hr 12hr～24hr 24hr～ I N C O M I N G 52473 25037 17186 5751 2388 1739 217 133 22 O U TG O I N G 49540 16805 20094 6521 2955 2813 219 99 34

17. バックボーンISPにおける DDoSアタック対策

18. バックボーンISPで対処する必要性 大規模なDDoS攻撃から，ユーザサイトを被 害（システム負荷[※1]やアクセス回線輻輳） から守る為に，これまでの対処[※2]に加えて， より上流となるバックボーンISP側での対策 が必要． ※１ 各種サーバ負荷はもちろん，FWやIDS/IPSの負荷 　　　（パフォーマンス低下）も含む． ※２　ユーザサイト側の対策として「CEルータでのパケットフィルタ」

    　　　「FWでのフィルター」「IDS/IDPでの不正アクセス検知・防御」 　　　「サーバでのフィルタ」等が挙げられるが，近年の 　　　DDoSアタックの大規模化 ・複雑化により，アクセスラインの 　　　輻輳など課題も深刻化し，ユーザサイト側の対策だけでは 　　　不十分になりつつある． Router Firewall Server (WWW,DNS,DB etc) IDS/IDP ISP backbone Customer　site Access line

19. Anti DDoSアタックオペレーション 顧客からの依頼 インフラへの アタック検知 Scrubber Box による対処 BlackHoling ルータでの

    パケットフィルタ or 検知システムによる アタック検知，解析 DDoS 沈静化

20. loose mode unicast Reverse Path Forwarding 1.  不正なsrc address を持つpacket

    routing table ........ ........ 2.  src addressが routing table上にない場合， packet を破棄 ntt.net ではunicast Reverse Path Forwarding (uRPF) をほぼ すべてのpeer edge, customer edge にloose modeで設定している． これにより，bogon アドレスブロック，プライベートアドレス ブロックからのパケットを全て破棄できる．

21. Blackholing 1.  ユーザリクエストなどに基づき， DDoSアタックを被っている/32 アドレス をあるアドレスA にルーティング 2.  各エッジルータではアドレスA 当てパケットを破棄するよう

    ルーティングしているため， DDoSアタックを受けている /32 宛てのパケットは すべて破棄される 通常，上記の運用はNOCで行われるが，ユーザ自身で blackhole のトリガを引けるようblackholing コミュニティを定めている． 上記コミュニティ付きの/32 経路広告を受け取った場合， 1. と同じ動作を自動で行う． 　　　　　　　　※ ntt.net がUSでリリースしているセキュリティサービスのひとつ

22. Scrubber BoxによるMitigationシステム　(案) DDoS Detection system 正常トラ フィック 不正トラフィック IPトンネル終端ルータ Detects!

    2. DDoSアタック 検知 / 通知 3. オペレータによる Mitigation操作 攻撃者 5. 不正トラフィックのみ遮断 (正常トラフィックは通過) DDoS Mitigation system 通常ユーザ 4. ルーティング 変更 IP トンネル Mitigates! 1. 24x365 監視 ホスティングサーバ, キャッシュサーバ

23. DDoSオペレーションポータルサイト

24. DDoSアタック対策サービス紹 介

25. Anti DDoSアタックサービス AT&T Sprint MCI Rackspace (Hosting) 開始時期 2004/06 2004/06

    2006/07 2003/08 構成機器 Arbor PeakFlow（40台以 上） Cisco Guard（80台程度） 自社開発Flood System 網内に数百のDDoS対 策機器 Arbor PeakFlow Cisco Guard Cisco Traffic Anomaly Detector 各10～20台 Arbor PeakFlow Cisco Guard ※Cloudshieldも検証 中 Exterminator（独自IDS ソフト） Arbor PeakFlow Cisco Guard 価格情報 「AT&T Internet Protect」 　月額3,300ドル～ 「DDoS Defense」 　AT&T Internet Protect 込みで 　初期費用100,000ド ル、 　月額50,000ドル～ 100,000ドル 推定月額25,000ドル ～ 初期費用は不明 「Stand-alone型」 T1 (1.5Mbps) 月額 $200 T3 (45Mbps)月額 $2,000 OC48 (2.4Gbps)　 　　　　　　　月額 $69,000 　　※初期費用 　　　　　　　$200～$2,500 「Bundle型」 500Mbps 　月額　 $3,500 3Gbps 　月額　 $14,250 　　※初期費用 $1,000 月額350ドル/サーバ （Volume Discount有り） 5サーバで2,000ドル 20-30サーバで 5,000-10,000ドル 顧客数 「AT&T Internet Protect」4,000社 「DDoS Defense」30～ 40社 （2004年度推計値） 10社 （2004年度推計値） Network-based Service ベータ8社（2004年度 推計値） 25社 （2004年度推計値）

26. Appendix

27. Computer Crime & Security Survey (CSI/FBI) 参考 2002 　１．機密情報漏洩 　２．DoSアタック

    インシデント別 年間被害総額 2005 　１．ウィルス感染　　　　　　　　４．機密情報漏洩 　２．不正アクセス　　　　　　　　５．DoSアタック 　３．ラップトップ/ 　　　モバイル機器の盗難 BACK