Se ha denunciado esta presentación.

DDoS対策の自動化

6

Compartir

Próximo SlideShare
DDoS対処の戦術と戦略
DDoS対処の戦術と戦略
Cargando en…3
×
1 de 29
1 de 29

DDoS対策の自動化

6

Compartir

Descargar para leer sin conexión

Descripción

DDoS対策の自動化について

Transcripción

  1. 1. 2015 Tajima Hirotaka DDoS対策をどこまで 自動化できるか Cloud Builder Community 2015 Tajima Hirotaka / Genie Networks
  2. 2. 2015 Tajima Hirotaka agenda • 背景 • DDoS対策の概要 • DDoS対策の実戦 • 試してること、こうあって欲しい的なこと
  3. 3. お題 DDoS対策 と自動化 3
  4. 4. DDoS攻撃は増加している 4 キーワード「DDoS」の推移 2008年 2014年 DDoS SDN
  5. 5. 被害者にも加害者にもなる 5 弊社日本オフィス (メンバー4人)の例 170M いつもは 1M
  6. 6. 6
  7. 7. DDoS攻撃対策例 (自網内の対処)
  8. 8. 3 Regional Network Regional Network 被害機 フィルタを設定する 攻撃者 Bot Bot 運用者
  9. 9. 3 Regional Network Regional Network 被害機 RTBH(BGPブラックホール) 攻撃者 Bot Bot DDoS検知 BGP生成
  10. 10. 3 Regional Network Regional Network 被害機 クリーンボックスを挟む 攻撃者 Bot Bot Clean Box Clean Box
  11. 11. 3 Regional Network Regional Network 被害機 ブラックホール+クリーンボックス 攻撃者 Bot Bot Clean Box DDoS検知 BGP生成
  12. 12. 3 Regional Network Regional Network 被害機 Flowspec 攻撃者 Bot Bot DDoS検知 flowspec 送信元addressでdrop レートリミット マーキング 回(ダイバート)
  13. 13. DDoS攻撃対策例 (自網外での対処)
  14. 14. Regional Network Regional Network 被害機 上流のmitigationサービス Bot Bot Clean Box 上流ISP1 上流ISP2
  15. 15. Regional Network Regional Network 被害機 汎用のmitigationサービス Bot Bot Clean Box トンネル 専用線
  16. 16. Regional Network Regional Network 被害機 (ちと難しそう?)上流にFlowspecを広告 Bot Bot 上流ISP1 上流ISP2 DDoS検知 flowspec
  17. 17. DDoS攻撃対策は 自網側と上流側の 双方が必要
  18. 18. でも、フローコレクタとか無 いし、お高いんでしょ? BGPルータとか触りたくない し、、、
  19. 19. そんなあなたに朗報
  20. 20. フローコレクタ(GenieATM) のASPサービスを始めます (coming soon!)
  21. 21. ここからは 作ってるもの& 今後やりたいこと(=妄想)
  22. 22. 2015 Tajima Hirotaka もっとフレキシブルに • いまどきDDoSへの対策は単一リソースの監視やアクションでは 不十分ですよね • 、NW(on オンプレ、クラウド) • 上流回線、カスタマ回線、CDN、サービス • 各リソースを横断して…… • データを取りたい&見せたい • 操作したい&させたい • むしろ外部に「見せて」かつ「操作させて」運用を任せたい • 特定の(メーカ|ベンダー|サービス)への依存度を下げて!
  23. 23. 2015 Tajima Hirotaka クラウドA クラウドB ISP1 ISP2 DDoS浄化サービスA MSPサービスA IX 監視&アクションのイメージ オンプレ API Attacker
  24. 24. 2015 Tajima Hirotaka クラウド クラウド ISP1 ISP2 DDoS MSP IX 監視 オンプレ API Attacker 自網側と外部サービス をAPIでつなげる
  25. 25. 2015 Tajima Hirotaka 最初の一歩(?) オンプレ ASPサービス フローコレクタ (GenieATM) クラウドA ログ収集 (fluentd) BGP/Flowspec制御 (Exabgp) (*)リモートからBGP/Flowspecを 発行するのは避けたいので。 (**)GenieATMもBGP/Flowspecを 話せます 異常通知 xflow 攻撃回避指示 BGP/Flowspec
  26. 26. 2015 Tajima Hirotaka そもそも、BGP/Flowspecである必然性は無い オンプレ ASPサービス フローコレクタ (GenieATM) クラウドA ログ収集 (fluentd) API Gateway 異常通知 xflow 攻撃回避指示 ミチゲーション指示
  27. 27. 2015 Tajima Hirotaka サーバ、監視装置等のログも判断にくわえる オンプレ ASPサービス フローコレクタ (GenieATM) クラウドA ログ収集 (fluentd) API Gateway 異常通知 xflow 攻撃回避指示 ミチゲーション指示 ログ 通知 通信の 詳細
  28. 28. 2015 Tajima Hirotaka 夢 オンプレ ASPサービス フローコレクタ (GenieATM) クラウドA ログ収集 (fluentd) API Gateway 異常通知 xflow 攻撃回避指示 ミチゲーション指示 ログ 通知 通信の 詳細 ミチゲーション指示 API Gateway API Gateway
  29. 29. 2015 Tajima Hirotaka まとめ • DDoS対策は自網側(オンプレ、クラウド) と上流側の対処の両方が必要 • 自動化のため、リソース同士がAPIでや り取りできる仕組みが望ましい

Descripción

DDoS対策の自動化について

Transcripción

  1. 1. 2015 Tajima Hirotaka DDoS対策をどこまで 自動化できるか Cloud Builder Community 2015 Tajima Hirotaka / Genie Networks
  2. 2. 2015 Tajima Hirotaka agenda • 背景 • DDoS対策の概要 • DDoS対策の実戦 • 試してること、こうあって欲しい的なこと
  3. 3. お題 DDoS対策 と自動化 3
  4. 4. DDoS攻撃は増加している 4 キーワード「DDoS」の推移 2008年 2014年 DDoS SDN
  5. 5. 被害者にも加害者にもなる 5 弊社日本オフィス (メンバー4人)の例 170M いつもは 1M
  6. 6. 6
  7. 7. DDoS攻撃対策例 (自網内の対処)
  8. 8. 3 Regional Network Regional Network 被害機 フィルタを設定する 攻撃者 Bot Bot 運用者
  9. 9. 3 Regional Network Regional Network 被害機 RTBH(BGPブラックホール) 攻撃者 Bot Bot DDoS検知 BGP生成
  10. 10. 3 Regional Network Regional Network 被害機 クリーンボックスを挟む 攻撃者 Bot Bot Clean Box Clean Box
  11. 11. 3 Regional Network Regional Network 被害機 ブラックホール+クリーンボックス 攻撃者 Bot Bot Clean Box DDoS検知 BGP生成
  12. 12. 3 Regional Network Regional Network 被害機 Flowspec 攻撃者 Bot Bot DDoS検知 flowspec 送信元addressでdrop レートリミット マーキング 回(ダイバート)
  13. 13. DDoS攻撃対策例 (自網外での対処)
  14. 14. Regional Network Regional Network 被害機 上流のmitigationサービス Bot Bot Clean Box 上流ISP1 上流ISP2
  15. 15. Regional Network Regional Network 被害機 汎用のmitigationサービス Bot Bot Clean Box トンネル 専用線
  16. 16. Regional Network Regional Network 被害機 (ちと難しそう?)上流にFlowspecを広告 Bot Bot 上流ISP1 上流ISP2 DDoS検知 flowspec
  17. 17. DDoS攻撃対策は 自網側と上流側の 双方が必要
  18. 18. でも、フローコレクタとか無 いし、お高いんでしょ? BGPルータとか触りたくない し、、、
  19. 19. そんなあなたに朗報
  20. 20. フローコレクタ(GenieATM) のASPサービスを始めます (coming soon!)
  21. 21. ここからは 作ってるもの& 今後やりたいこと(=妄想)
  22. 22. 2015 Tajima Hirotaka もっとフレキシブルに • いまどきDDoSへの対策は単一リソースの監視やアクションでは 不十分ですよね • 、NW(on オンプレ、クラウド) • 上流回線、カスタマ回線、CDN、サービス • 各リソースを横断して…… • データを取りたい&見せたい • 操作したい&させたい • むしろ外部に「見せて」かつ「操作させて」運用を任せたい • 特定の(メーカ|ベンダー|サービス)への依存度を下げて!
  23. 23. 2015 Tajima Hirotaka クラウドA クラウドB ISP1 ISP2 DDoS浄化サービスA MSPサービスA IX 監視&アクションのイメージ オンプレ API Attacker
  24. 24. 2015 Tajima Hirotaka クラウド クラウド ISP1 ISP2 DDoS MSP IX 監視 オンプレ API Attacker 自網側と外部サービス をAPIでつなげる
  25. 25. 2015 Tajima Hirotaka 最初の一歩(?) オンプレ ASPサービス フローコレクタ (GenieATM) クラウドA ログ収集 (fluentd) BGP/Flowspec制御 (Exabgp) (*)リモートからBGP/Flowspecを 発行するのは避けたいので。 (**)GenieATMもBGP/Flowspecを 話せます 異常通知 xflow 攻撃回避指示 BGP/Flowspec
  26. 26. 2015 Tajima Hirotaka そもそも、BGP/Flowspecである必然性は無い オンプレ ASPサービス フローコレクタ (GenieATM) クラウドA ログ収集 (fluentd) API Gateway 異常通知 xflow 攻撃回避指示 ミチゲーション指示
  27. 27. 2015 Tajima Hirotaka サーバ、監視装置等のログも判断にくわえる オンプレ ASPサービス フローコレクタ (GenieATM) クラウドA ログ収集 (fluentd) API Gateway 異常通知 xflow 攻撃回避指示 ミチゲーション指示 ログ 通知 通信の 詳細
  28. 28. 2015 Tajima Hirotaka 夢 オンプレ ASPサービス フローコレクタ (GenieATM) クラウドA ログ収集 (fluentd) API Gateway 異常通知 xflow 攻撃回避指示 ミチゲーション指示 ログ 通知 通信の 詳細 ミチゲーション指示 API Gateway API Gateway
  29. 29. 2015 Tajima Hirotaka まとめ • DDoS対策は自網側(オンプレ、クラウド) と上流側の対処の両方が必要 • 自動化のため、リソース同士がAPIでや り取りできる仕組みが望ましい

Más Contenido Relacionado

Presentaciones para usted

Libros relacionados

Gratis con una prueba de 30 días de Scribd

Ver todo

Audiolibros relacionados

Gratis con una prueba de 30 días de Scribd

Ver todo

×