Upgrade to Pro — share decks privately, control downloads, hide ads and more …

2015-ShowNetステージ-DDoS

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for ShowNet ShowNet PRO
July 01, 2015
Technology
0
15

 2015-ShowNetステージ-DDoS

Avatar for ShowNet

ShowNet PRO

July 01, 2015
Tweet

More Decks by ShowNet

See All by ShowNet
【swonet.conf_ 2025】AI技術 x 高精度な監視データ収集で築くインテリジェントな運用・監視基盤
Avatar for ShowNet shownet
PRO
0
110
【swonet.conf_ 2025】ゼロトラストで支える広帯域セキュリティサービスと脅威監視基盤
Avatar for ShowNet shownet
PRO
0
140
【swonet.conf_ 2025】効率化と見える化で進化し続けるファシリティの構築
Avatar for ShowNet shownet
PRO
0
100
【swonet.conf_ 2025】ShowNet Watt Quest ~ネットワーク省電力化に向けた計測・分析~
Avatar for ShowNet shownet
PRO
0
97
【swonet.conf_ 2025】オープニングセッション
Avatar for ShowNet shownet
PRO
0
350
【swonet.conf_ 2025】ShowNet基礎知識
Avatar for ShowNet shownet
PRO
0
190
【swonet.conf_ 2025】ShowNet Media-X : ShowNetがつないだ放送のミライ
Avatar for ShowNet shownet
PRO
0
120
【swonet.conf_ 2025】AI基盤からエッジまで、多様化するネットワークとテストの進化
Avatar for ShowNet shownet
PRO
0
100
【swonet.conf_ 2025】SRv6 による k8s マルチテナント環境と次世代 AI ネットワーク/サービス基盤
Avatar for ShowNet shownet
PRO
0
140

Other Decks in Technology

See All in Technology
外部キー制約の知っておいて欲しいこと - RDBMSを正しく使うために必要なこと / FOREIGN KEY Night
Avatar for soudai sone soudai
PRO
12
5.3k
Azure Durable Functions で作った NL2SQL Agent の精度向上に取り組んだ話/jat08
Avatar for TonyTonyKun thara0402
0
180
[CV勉強会@関東 World Model 読み会] Orbis: Overcoming Challenges of Long-Horizon Prediction in Driving World Models (Mousakhan+, NeurIPS 2025)
Avatar for abemii_ abemii
0
120
日本の85%が使う公共SaaSは、どう育ったのか
Avatar for たけだ taketakekaho
1
150
Digitization部 紹介資料
Avatar for Sansan, Inc. sansan33
PRO
1
6.8k
20260208_第66回 コンピュータビジョン勉強会
Avatar for KeiichiIto1978 keiichiito1978
0
120
OCI Database Management サービス詳細
Avatar for oracle4engineer oracle4engineer
PRO
1
7.4k
広告の効果検証を題材にした因果推論の精度検証について
Avatar for ZOZO Developers zozotech
PRO
0
160
Amazon S3 Vectorsを使って資格勉強用AIエージェントを構築してみた
Avatar for usanchuu usanchuu
3
450
レガシー共有バッチ基盤への挑戦 - SREドリブンなリアーキテクチャリングの取り組み
Avatar for Konishi tatsuhiro tatsukoni
0
210
Agile Leadership Summit Keynote 2026
Avatar for seki at druby.org m_seki
1
580
フルカイテン株式会社 エンジニア向け採用資料
Avatar for FULL KAITEN fullkaiten
0
10k

Featured

See All Featured
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
Avatar for Joe Casabona jcasabona
34
2.6k
Winning Ecommerce Organic Search in an AI Era - #searchnstuff2025
Avatar for Aleyda Solis aleyda
0
1.9k
Keith and Marios Guide to Fast Websites
Avatar for Keith Pitt keithpitt
413
23k
Facilitating Awesome Meetings
Avatar for Lara Hogan lara
57
6.8k
Utilizing Notion as your number one productivity tool
Avatar for Mfonobong Umondia mfonobong
3
220
For a Future-Friendly Web
Avatar for Brad Frost brad_frost
182
10k
Reality Check: Gamification 10 Years Later
Avatar for Sebastian Deterding codingconduct
0
2k
Between Models and Reality
Avatar for mayunak mayunak
1
180
Ten Tips & Tricks for a 🌱 transition
Avatar for Manu Carrasco Molina stuffmc
0
65
RailsConf 2023
Avatar for Aaron Patterson tenderlove
30
1.3k
Navigating Weather and Climate Data
Avatar for Ryan Abernathey rabernat
0
100
brightonSEO & MeasureFest 2025 - Christian Goodrich - Winning strategies for Black Friday CRO & PPC
Avatar for Christian Goodrich cargoodrich
3
98

Transcript

  1. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team ShowNetが提示する これからのDDoS対策モデル

    ShowNet NOC member 遠峰 隆史

  2. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 2 DoSとは

    DDoSについて • Denial of Service attack • サービス停止攻撃 • ネットワーク上の通信量を増大させ、回線や サーバのリソースを占有することにより、シス テムを過負荷・利用困難にする攻撃 多量の通信

  3. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 3 DDoSとは

    DDoSについて • Distributed Denial of Service attack • 分散型DoS • 複数の機器から同時に通信を発生させることで、 少しずつの通信を組み合わせて、対象に負荷を かける攻撃

  4. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 4 DDoS対策の難しさ

    DDoSについて DoS対策 • 送信元が一つ • フィルタを一つ書けばよい • フィルタによる影響も少ない • 送信元にも負荷がかかる DDoS対策 • 送信元がたくさん • フィルタ対応が困難 • 正常な通信を遮断してしまう 可能性 • 送信元には大きな影響がない 単純な対策では限界

  5. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 5 400Gbpsに達するDDoS攻撃

    現状の課題 ボリュームが急激に増加

  6. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 6 DDoS攻撃事例

    DDoSについて • 誰でも簡単にDDoS攻撃が できる時代に • 大規模なDDoS攻撃が増え 回線を完全に埋めてしまう ことも困難ではない 状況に応じたDDoS対策を 適材適所で行う必要性

  7. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 7 DDoS対策機能の最適分散配置

    ShowNetでのDDoS対策 課題:インターネット基盤を揺るがす大規模DDoS攻撃 対策:IX, トランジット, 自AS内での対策機能を分散配置 2. SDN IX IX攻撃流入口での攻撃トラフィック破棄 1. 緩和サービス BGP経路操作による攻撃緩和装置への 誘導・破棄 3. BGP Flowspec 網内緩和装置への誘導攻撃トラフィック の制限・破棄 自組織 IX トランジット

  8. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 8 ShowNetに入ってくる前の対策

    ShowNet外でのDDoS対策 • ISP Free Mitigation • トランジット提供プロバイダでDDoS緩和 • IXでのMitigation • SDN-IXでフローを制御

  9. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 9 自組織

    トランジット回線からのDDoS ISP Free Mitigation • インターネットからの帯域逼迫により他の通 信に多大な影響を及ぼすと共に、回線課金も 増大 トランジット

  10. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team トランジットと連携したDDoS防御 トランジット連携防御

    サーバA life/来場者端末等 出展社 Transit xFlowサンプル ShowNet External コレクタ 攻撃者 Dest IP:サーバA Source IP: B Dest port : 80 Source port :1900 1.攻撃判定 3.攻撃防御 正常者 Dest IP:サーバA Source IP: B Dest port : 80 Source port :2345 連携装置 防御指示 2.防御連携 防御指示

  11. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 11 IXにおけるセキュリティ課題

    SDN IX • 課題:DDoS攻撃によるIXと接続事業者間の帯域逼迫 • 現在:被害事業者内でのフィルタ →IXと事業者間の帯域逼迫を解消できない IXとの帯域を圧迫 被害事業者

  12. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 12 SDN

    IXでのDDoS防御 SDN IX • 被害事業者の運用者がコント ローラを介してフィルタ設定 • 攻撃トラフィックを流入口 で破棄 • IXと被害事業者間の帯域逼迫 を回避 被害事業者

  13. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 13 ShowNet内での対策

    ShowNet内でのDDoS対策 • BGP Flowspec + 緩和装置 • BGP FlowspecでDDoSトラフィックを曲げて 緩和装置へ誘導 • NFVでのMitigation • On-demandでの緩和装置の追加

  14. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 14 ネットワーク内でのDDoS対策

    網内での緩和装置 • 従来のDDoS対策は 対象となるサーバの前に インラインで導入 • 構成に制約が生じ、後 から追加するのも対象 を増やすのも難しい 緩和装置 サーバ

  15. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team BGP FlowspecによるDDoS防御

    BGP Flowspec + 緩和装置 サーバA life/来場者端末等 出展社 Transit Transit xFlowサンプル 2.フィルタルール生成 RR vMX By Juniper ShowNet External ShowNet Backbone コレクタ Samurai By NTTCOM Peer BGP Flowspec 対応ルータ 攻撃者 1.攻撃判定 4.攻撃防御 正常者 3.経路配布 Cisco ASR9900 Huawei NE5000E Juniper MX480

  16. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 16 Traffic

    analysis Firewall DDoSミチゲータ vCPE (NAT/ToS) NFVでのDDoS対策 NFVでのMitigation • ユーザごとにサービスチェインを選択 • vCPEでパケットにマーキング • 各サービスをToSの各bitに埋め込む • OpenFlowでサービスを適用するか判断 • ToSの特定bitをチェック • 1ならVNFへ、0なら迂回 • ユーザの要求に応じて機能を追加 OpenFlow Switch OpenFlow Switch OpenFlow Switch OpenFlow Switch

  17. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 17 ISP

    Free Mitigation SDN-IX BGP Flowspec + 緩和装置 NFV

  18. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 18 トラフィックに応じたDDoS対策

    ShowNetでのDDoS対策 適材適所の対策で効果的なDDoS対策を! 2. SDN IX IX攻撃流入口での攻撃トラフィック破棄 1. 緩和サービス BGP経路操作による攻撃緩和装置への 誘導・破棄 3. BGP Flowspec 網内緩和装置への誘導攻撃トラフィック の制限・破棄 自組織 IX トランジット