2015-ShowNet -DDoS/IX/BGPFlowspec/External

Transcript

1. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 1 ShowNetにおけるDDoS対策

   Security

2. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 2 DDoS対策機能の最適分散配置

   ShowNet におけるDDoS対策 課題：大規模DDoS攻撃を個別組織での対策が困難に 対策：IX, トランジット, 自AS内での対策機能を分散配置 2. IXにおける緩和・破棄 SDN技術を活用し攻撃の流入口での 緩和・破棄→ラック#1 1. ISPにおける緩和・破棄 BGP経路操作による攻撃を緩和装置 への誘導し緩和・破棄→ラック#10 3. 自社網での緩和・破棄 BGP Flowspecによる帯域制限および 緩和装置への誘導・破棄→ラック#2 自社網 IX ISP 1 2 3

3. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 3 SDNを活用した

   "次世代のIX” (Internet eXchange) SDN IX

4. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 4 Internet

   eXchange (IX) とは SDN IX • ISP間の相互接続点であり、レイヤ2・レイヤ3の機器 を用いて構成されています • BGPを用いて組織間で経路交換が行われます

5. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 5 SDN

   技術のIXにおける活用 SDN IX • Software Defined Networking (SDN) 技術 • OpenFlowに代表されるソフトウェアを用い たネットワーク機能制御・管理技術 • SDN技術をIXの基盤に利用 • 細かな経路制御 (GRANULARITY) • 柔軟なパス交換 (FLEXIBILITY) • セキュリティ機能 (SECURITY)

6. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 6 SDN

   IXの構成 SDN IX • 大手町・幕張にスイッチと コントローラを分散配置 • ShowNet AS間／対外組織 を接続 大手町 幕張 ShowNet NEC PF5240 NEC PF5240 O3Project Lgopus O3Project Lgopus Dell PowerEdgeFX

7. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 7 AS間レイヤ2パス構築

   SDN IX • 事業者間を跨ぐレイヤ2パスを OpenFlowを用いて自動でIX上 に構築 • 用途 クラウド事業者間や通信事業者 間での顧客ネットワークの接続

8. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 8 IXにおけるセキュリティ課題

   SDN IX • 課題：DDoS攻撃によるIXと接続事業者間の帯域逼迫 • 現在：被害事業者内でのフィルタ →IXと事業者間の帯域逼迫を解消できない IXとの帯域を圧迫 被害事業者

9. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 9 SDN

   IXでのDDoS防御 SDN IX • 被害事業者の運用者がコント ローラを介してフィルタ設定 • 攻撃トラフィックを流入口 で破棄 • IXと被害事業者間の帯域逼迫 を回避 被害事業者

10. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 10 BGP

    Flowspec

11. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 11 今までのDDoSの防ぎ方

    BGP Flowspec(RFC5575) • 今まではルータでDDoSを防ぐ技術として RTBH(Remotely Triggered Black Hole Filtering)が使用されていました。 攻撃者 Dest IP:サーバA Source IP: B Dest port : 80 Source port :1900 Transit サーバA ２．遮断 １．BGP経路 広告

12. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 12 問題点も

    BGP Flowspec(RFC5575) • ルーティングテーブルベースなので、偽装な どされると正常者も遮断されてしまう。 攻撃者 Dest IP:サーバA Source IP: B Dest port : 80 Source port :1900 正常者 Dest IP:サーバA Source IP: B Dest port : 80 Source port :2345 Transit サーバA 攻撃者、正常者 両方のトラ フィックを遮断

13. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 13 BGP

    Flowspecの登場 BGP Flowspec(RFC5575) • BGPのNLRIにきめ細やかな情報を追加しルー タにインストール。これによりルーティング とACLの融合が可能に。 Type 1 - Destination Prefix Type 2 - Source Prefix Type 3 - IP Protocol Type 4 – Source or Destination Port Type 5 – Destination Port Type 6 - Source Port Type 7 – ICMP Type Type 8 – ICMP Code Type 9 - TCP flags Type 10 - Packet length Type 11 – DSCP Type 12 - Fragment Encoding

14. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team BGP Flowspecのアクション

    BGP Flowspec(RFC5575) • マッチしたパケットに対するアクションも、さまざ まなものを指定可能。 ・ Rate-limit ・ Drop (Rate-limit=0を指定) ・ VRFへのリダイレクト ・ DSCPマーキング ・ サンプリング/ロギング

15. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 15 防御方法

    BGP Flowspec(RFC5575) • ルーティングテーブルにフロー情報が追加さ れたので、攻撃者の情報と正常者の情報を分 けてフォワーディングすることが出来る。 攻撃者 Dest IP:サーバA Source IP: B Dest port : 80 Source port :1900 正常者 Dest IP:サーバA Source IP: B Dest port : 80 Source port :2345 Transit サーバA 攻撃者のトラフィッ クのみを遮断

16. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 16 ShowNetでの取り組み

    BGP Flowspec(RFC5575) • BGP Flowspecとxflowを組み合わせることに より、DDosが発生したことを瞬時に判断し、 自動でBGP Flowspecにより、フローを生成 し悪意のあるトラフィックを遮断します。 • ＊次頁にて図解

17. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team ShowNetにおけるDDoS防御 BGP

    Flowspec(RFC5575) サーバA life/来場者端末等 出展社 Transit Transit xFlowサンプル 2.フィルタルール生成 RR vMX By Juniper ShowNet External ShowNet Backbone コレクタ Samurai By NTTCOM Peer BGP Flowspec 対応ルータ 攻撃者 Dest IP:サーバA Source IP: B Dest port : 80 Source port :1900 1.攻撃判定 正常者 Dest IP:サーバA Source IP: B Dest port : 80 Source port :2345 3.経路配布 Cisco ASR9900 Huawei NE5000E Juniper MX480 4.攻撃防御

18. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 18 ShowNetの対外接続

    2015/06/10 09:00 時点

19. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team ShowNetの対外接続 トランジットの提供

    AS番号 会社・組織名 サービス名 2516 KDDI株式会社 KDDIインター ネットゲートウェイ 2914 NTTコミュニケーションズ 株式会社 Global IP Network 4713 NTTコミュニケーションズ 株式会社 OCN 17676 ソフトバンクモバイル 株式会社 ULTINA Internet 2497 株式会社インターネット イニシアティブ インターネット 接続サービス IX接続ポートの提供 会社・組織名 IX名 サービス名 WIDE Project DIX-IE DIX-IE WIDE Project NSPIXP23 NSPIXP23 日本インターネット エクスチェンジ株式会社 JPIX IXポートサービス インターネット マルチフィード株式会社 JPNAP JPNAP東京Ⅰ サービス BBIX株式会社 BBIX IXコネクト サービス

20. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team ShowNetの対外接続 DIX-IE&NSPIXP23

    接続ネットワーク AS番号 会社名 サービス名 2500 WIDE Project WIDE 7671 NTTスマートコネクト株式会社 MCNET 7503 株式会社エアネット AIRnet 18125 農林水産省研究ネットワーク MAFFIN 7660 アジア太平洋高度ネットワーク 日本協議会(APAN-JP) Asia-Pacific Advanced Network(APAN) JPNAP東京Ⅰ 接続ネットワーク AS番号 会社名 サービス名 9595 株式会社エヌ・ティ・ティ エムイー XePhion/WAKW AK 2514 (株)NTTPCコミュニ ケーションズ InfoSphere 2510 富士通株式会社 INFOWEB 2518 ビッグローブ株式会社 ビッグローブ 15169 Google Inc. Google RouteFEEDサービスでの接続： 74 ネットワーク

21. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team ShowNetの対外接続 JPIX

    接続ネットワーク (1/3) AS番号 会社・組織名 サービス名 17961 ミテネインターネット MITENE 2907 国立情報学研究所 SINET 7522 株式会社STNet STCN 4675 ユニアデックス株式会社 U-netSURF 18070 株式会社グローバルネットコア N-plus 7529 株式会社ネットアイアールディー NETIRDインター ネットサービス 18150 株式会社佐賀新聞社 佐賀新聞・長崎新聞イ ンターネット(S.N.I) 9354 ㈱コミュニティネットワークセン ター CNCI 23780 CTBメディア株式会社 CTB 18282 Tonami Transportation Co., Ltd. CoralNet 17534 株式会社ネスク NSKNET JPIX 接続ネットワーク (2/3) AS番号 会社・組織名 サービス名 10000 株式会社長崎ケーブルメディア NCM-NET 9595 株式会社エヌ・ティ・ティ エムイー XePhion/WAKW AK 2514 (株)NTTPCコミュニケーションズ InfoSphere 2515 一般社団法人日本ネットワークインフォ メーションセンター JPNIC 7679 九州通信ネットワーク株式会社 QCN 9370 さくらインターネット株式会社 SAKURA-B 23620 株式会社DMM.comラボ DooGA 18126 中部テレコミュニケーション株式会社 コミュファ光 /CTC EtherLINK 9355 国立研究開発法人 情報通信研究機構 NICT 2518 ビッグローブ株式会社 ビッグローブ

22. Copyright © INTEROP TOKYO 2015 ShowNet NOC Team ShowNetの対外接続 BBIX

    接続ネットワーク AS番号 会社名 サービス名 17686 アクセリア株式会社 Accelia 23780 CTBメディア株式会社 CTB 17707 テコラス株式会社 DATAHOTEL 17941 株式会社ビットアイル BIT-ISLE 18150 株式会社佐賀新聞社 佐賀新聞・長崎新聞 インターネット (S.N.I) 23820 楽天株式会社 楽天市場 2518 ビッグローブ株式会社 ビッグローブ JPIX 接続ネットワーク (3/3) AS番号 会社・組織名 サービス名 4678 キヤノンITソリューションズ株式会社 FINE 38043 ソフィア総合研究所株式会社 SRINET