SDNを用いた反射型DoS攻撃の遮断方式 - DNSOPS.JPSDNを用いた反射DoS攻撃対策...

SDNを用いた反射型DoS攻撃の遮断方式

NTTセキュアプラットフォーム研究所

首藤裕一

背景：反射型DoS攻撃

基本アイディア

3BさんAさん

Aさんの嫌がらせ：宅配ピザをBさんの住所宛に注文

Bと申します。ピザを100枚ください。

住所は…

ピザ100枚お持ちしました！

標的システム

反射型DoS攻撃

・リフレクタを用いて大量のパケットを標的システムに送信・標的システムのネットワーク帯域を飽和 ⇒ サービス不能にさせる

例）DNS増幅攻撃

攻撃者 DNSサーバ（リフレクタ）

宛先IP=DNSサーバ送信元IP=標的システム

応答パケット

宛先IP=標的システム送信元IP=DNSサーバ

偽装要求パケット

4数十byte/p ～4000byte/p

実際には。。。

標的システム

ボット

攻撃指示

偽装要求パケット

応答パケット

リフレクタ

・攻撃者はボットネットに攻撃指示・各ボットは多数のリフレクタに偽装要求パケットを送信

・標的システムに大量の応答パケットが殺到

10Gbps 100Gbps

SDNを用いた反射型DoS攻撃対策

SDNを用いた反射DoS攻撃対策

標的システム

ASインターネット

リフレクタ

他ASとの境界ルータで分散してDNS応答を廃棄

収容ルータおよび末端回線が保護される

目標：反射型DoS攻撃から標的システムを保護概要：攻撃検知 ⇒ SDNを用いて転送ルールを動的に変更（防御モード）。

他ASとの境界ルータで攻撃パケットのみを遮断。

大量のDNS応答

SDN Controller

SDNでできること（Openflowの場合）

• 各ルータの転送ルール（フローテーブル）をコントローラが一元管理

• 転送ルールはL1～L4レベルで記載可能– 物理ポート、Ethernetヘッダ、IPヘッダ、TCP・UDPヘッダなどをもとに

パケットの処理（任意ポートへの転送、コントローラへ転送、廃棄など）を指定可能

– 例：「172.18.20.0/24宛のDNS応答はコントローラへ転送」

• コントローラは各ルータの転送ルールをいつでも変更可能

• コントローラは各ルールにマッチしたトラヒックの統計情報が取得可能– 例：172.18.20.0.24宛のDNS応答のトラヒック量

SDN Controller

対策詳細

• 通常モード– 収容ルータにてDNS応答トラヒックを監視

– DNS応答トラヒックが閾値超過⇒ 標的システムを保護する防御モードへ移行

• 防御モード– DNS応答パケットは境界ルータで原則遮断

– 標的システムからDNS要求発生⇒ コントローラが例外処理を施して対応するDNS応答を通過させる

標的システム

ASインターネット

リフレクタ大量のDNS応答

SDN Controller

通常モードから防御モードへの移行

標的システム

インターネット

リフレクタ

SDN Controller

①収用ルータで大量のDNS応答を観測②境界ルータの設定変更：

DNS応答パケット（送信元ポート=53）を廃棄

③収容ルータの設定変更：標的システムからのDNS要求パケットを制御サーバに転送

・収容ルータで大量のDNS応答を観測⇒ コントローラの指示の下、AS全体を防御モードに移行

防御モードの処理

・ DNS応答パケットは境界ルータで原則遮断

・標的システムからDNS要求発生⇒ 制御サーバの指示の下、対応するDNS応答パケットを通過させる

標的システム

リフレクタ

SDN Controller

②防御モードの設定によりPを転送③各境界ルータの転送許可リストに設定追加：

Pに対応する応答パケットを許可

①DNS要求パケットPを送信

防御モードの処理

・ DNS応答パケットは境界ルータで原則遮断

・標的システムからDNS要求発生⇒ 制御サーバの指示の下、対応するDNS応答パケットを通過させる

標的システム

リフレクタ

SDN Controller

③各境界ルータの転送許可リストに設定追加：Pに対応する応答パケットを許可

④Pを外部に送信⑤Pへの応答パケットは

境界ルータを通過し標的システムに到着

まとめ

• 概要：SDNを用いて反射DoS攻撃を遮断

• 長所– すべての攻撃パケットを境界ルータで廃棄

– 正常な応答パケットは廃棄されることがない

– 平時の処理は攻撃監視のみ

– DoS緩和装置などの特別な機器を必要としない

• 課題：フラグメントパケットへの対処– 攻撃パケットは往々にしてフラグメント化

– 後続フラグメントにはUDPヘッダがなく、DNS応答かどうか判断できない

– いくつかの対策を考案済み（本日は時間の都合で割愛）

SDNを用いた反射型DoS攻撃の遮断方式 - DNSOPS.JPSDNを用いた反射DoS攻撃対策...

Documents

サイバー攻撃自動防御ソリューションシステム構築 …...サイバー攻撃自動防御ソリューションシステム構築ガイド～パロアルト編～

IIJ Technical WEEK 2010 セキュリティ動向2010(1) … E03003USEN&attachment=SEE03003USEN.PDF 5 攻撃ベクトルの変遷受動攻撃型マルウェアの増加

サイバーセキュリティの今後の研究開発課題について · • ローミングの弱点を使った攻撃 • DDoS/DoS 攻撃 • API 脆弱性を突いた攻撃など

標的型サイバー攻撃対策ソリューション - Fujitsu...標的型サイバー攻撃対策ソリューション標的型サイバー攻撃は最も身近な経営リスクです。

攻撃性とIWM（Internal Working Model）が虐待認 …撃性・IWM との関連で、「1）攻撃性の高い者は自身が攻撃的であるために、他者が攻撃を加えて

1. 攻撃対象 - JPCERTハザード分類 3. 攻撃の分類外部からの攻撃ﾞ 1. 攻撃対象ネットワーク接続のPC ﾌｨｯｼﾝｸ SQLｲﾝｼﾞｪｸｼｮﾝ

5-2 DBD攻撃対策フレームワーク

可視化から始めるサイバー攻撃対策 · あの有な Googleが運営する『DDoS攻撃』の可視化サイトです。攻撃見えるくんを利用して自社サーバへのサイバー攻撃状況を可視化できます。

セキュリティー・ソリューション総合カタログ · ネットワーク・トラフィックシステム・モニタリングなど攻撃が起きた際、攻撃の種類、

サイバー攻撃...サイバー攻撃 2015．9．12 田中達浩富士通システム統合研究所安全保障研究所サイバー担当主席研究員本日の話 ―サイバー攻撃―

ログを活用した高度サイバー攻撃（標的型攻撃）の …...2015/11/24 · ログを活用した高度サイバー攻撃（標的型攻撃）の早期発見と分析

狩人特技一覧 - at-ninja.jpclogfiddle.at-ninja.jp/senya2/01senyap_class_kari.pdf双剣刀ウィンドスラッシュ分類：攻撃タイプ／白兵分類：攻撃タイプ／白兵

ヘルスケア業界はランサムウェア攻撃のターゲット

APRESIA & PaloAltoサイバー攻撃自動隔離ソリューション · Title: APRESIA & PaloAltoサイバー攻撃自動隔離ソリューション Author: APRESIA Systems株式会社

～サイバーレスキュー隊 J－CRAT の活動を通し …1.3 標的型サイバー攻撃の連鎖～標的型サイバー攻撃の連鎖（チェーン）の実態～・標的型攻撃は、様々な攻撃形態をとるため多層防御が重要です。

CROWDSTRIKE FALCON€¦ · セキュリティ侵害を防止する革新的システム十分にテストされた、実績のあるcrowdstrike 既知の攻撃であれ、未知の攻撃であれ、マルウェア攻撃であれ、マルウェアを使わない攻撃

標的型メール攻撃対策～ITセキュリティ予防接種による組織の防 … · 標的型攻撃標的型攻撃現状の現状定義 —「情報セキュリティ上の攻撃で、無差別に攻撃が行われるものでなく、特定の組織ある

企業におけるサイバー攻撃対策の再考 · 2012-05-24 · 攻撃指令管理と配備の体系化攻撃者ひとり. 攻撃者の分身(手動) 攻撃者の分身(自動)

Internet Week 2013 –DDoS攻撃の実態と対策〜 …...Internet Week 2013 –DDoS攻撃の実態と対策〜 DDoS攻撃の現状〜 Takashi Sasaki SE Manager, Japan tsasaki@arbor.net

JANOG30 日本の現状と取り組みについて - JANOG | …...他ISP 対象ISP 他ISP DNS DNS (凡例) ・攻撃のアクセス : ・対策後のアクセス: 攻撃破棄攻撃破棄