SAMURAIによるTier 1 Scrubbing Center【INTEROP Tokyo 2015】

2015/6/12-1

ShowNet2015で行われているSAMURAIによるDDoS攻撃ミティゲーション(Mitigation/軽減)が面白かったです。 SAMURAIがShowNet2015で行っているDDoS攻撃ミティゲーションは、以下の2種類あります。

  • Tier 1 Scrubbing Center
  • オンサイトDDoS攻撃ミティゲーション

ShowNet2015で行われているTier 1 Scrubbing Centerデモ

ShowNet2015で行われているTier 1 Scrubbing Centerデモ

この記事では、主にTier 1 Scrubbing Centerの紹介をします。

Tier 1 Scrubbing Center

SAMURAIによるTier 1 Scrubbing Centerは、BGP経路ハイジャック的な手法を活用してDDoS攻撃を受けているネットワークに向かうトラフィックを引き込んだうえでミティゲーションを行います。

Tier 1 Scrubbing Centerのポイントとしては、BGPトランジットサービスを購入しているカスタマーASがマルチホームであっても、必要に応じてTier 1 Scrubbing Centerを運営しているトランジットサービス提供者側でBGPによってトラフィックを引き込んだうえでDDoS攻撃トラフィックのミティゲーションが行える点です。

BGP経路ハイジャックは、本来のORIGIN ASが運用しているネットワークへの経路を、本来のORIGIN ASの意図に反して乗っ取ることなので「ハイジャック」ですが、Scrubbing CenterはORIGIN ASの意図に基づいて経路が変更される行為なので、本記事では「BGP経路ハイジャック」という表現ではなく、「BGPによる引き込み」と表現します。

既存Scrubbing Centerの違い

BGPによる引き込みを行うことによるDDoS攻撃トラフィックのミティゲーションは、「Scrubbing Center」や「Mitigation Center」と呼ばれており、いまでは多くのDDoS攻撃対策ベンダーがサービスを提供しています。Scrubbingという英単語には「洗浄」といった意味があります。



従来のScrubbing Centerは、IXなどでScrubbing Centerを運用しつつ、DDoS攻撃を受けている顧客の要望に応じてBGPでトラフィックを引き込んだうえで、攻撃トラフィックを遮断し、正常トラフィックを顧客側に戻します。IXなどでクラウド的なサービスとしてScrubbing Centerが運用されることもあれば、ISP内でScrubbing Centerが運営されることもあります。

Tier 1 Scrubbing Centerは、Tier 1キャリアがScrubbing Centerを直接運用して、カスタマーに対してScrubbing Centerのサービスを提供するという部分が従来手法との大きな違いです。

/32でのScrubbing

SAMURAIによるTier 1 Scrubbing Centerの特徴として、Tier 1網内(AS2914内)で行うScrubbingが/32の経路で行えるという点があげられます。AS2914が他のASに経路を広告するときには/24で広告を行い、AS2914の内部ではScrubbing対象のトラフィックを/32で、Scrubbingを行う装置へと誘導します。

一般的に、/24よりもプレフィックス長が長い経路はフィルタリングされるため、/24よりもプレフィックス長が長い経路を広告しても、その経路が利用されない可能性が高いといえます。/24よりもプレフィックス長が長い経路がフィルタアウトされる理由として、経路計算時にプレフィックス長が長い経路が優先されるという仕組みがあります。プレフィックス長が長くなれば長くなるほど、より細かいネットワークを示すことになるのですが、経路計算時に「マッチする経路のうち、最も長いプレフィックス長の経路を選択する」というlongest matchが行われます。そのため、プレフィックス長が長い経路に対するフィルタが存在しないと、単一のIPアドレスを示す/32を流すことで特定のIPアドレスに対するトラフィックを簡単にBGP経路ハイジャックできてしまいます。その他、あまりに細かい経路が世界中で多すぎると、世界中のルータに負荷がかかり過ぎてしまうので、広告する経路はできるだけアグリゲーション(まとめること)しようという話も重要だったりします。

Scrubbing Centerとしては、できるだけ無関係なトラフィックは引き込みたくないため、できるだけ細かい経路でBGP広告を行うために/24が利用されます。

AS2914内での/32活用による遅延の回避

DDoS攻撃トラフィックに埋もれた正常トラフィックを濾し取る作業は、どうしても遅延を発生させます。Scrubbing Centerを通過させることでDDoS攻撃による負荷を軽減できたとしても、正常トラフィックの通信速度に遅延が発生してしまいます。

AS2914内で/32単位でのScrubbingを行うことで、同一ネットワーク内にある他のサーバ等に対するトラフィックの遅延を発生させないという効果があります。AS2914はTier 1であり、Tier 1 Scrubbing Centerは、トランジットサービスを購入するカスタマー向けのサービスなので、Scrubbing対象となる/32以外のトラフィックは、トランジットサービスに乗ってやってくるトラフィックと何も変わらない状態になります。

監視・解析・可視化機能

SAMURAIは、もともとトラフィックの監視・解析・可視化を行うためのプラットフォームなので、Tier 1 Scrubbling Centerも、それらの機能とセットになっています。



オンサイトDDoS攻撃ミティゲーション

デモとしては、BGP引き込みとは別ですが、ShowNet2015で行われているBGP Flowspec相互接続性試験でもSAMURAIが利用されています。BGP Flowspec相互接続試験全体から見ると、SAMURAIはBGP Flowspec送信用機器として利用されています。


ShowNet2015で行われているオンサイトDDoS攻撃ミティゲーションデモ

その一方で、SAMURAI側の視点で見ると、SAMURAIがBGP Flowspecでシグナルを送り、DDoS攻撃トラフィックがShowNet内で稼働する各種セキュリティ機器へと誘導されるようにすることで、オンサイト/オンプレミスでのDDoS攻撃ミティゲーションを実現しているように見えます。

最後に

ShowNet2015は、「セキュリティ」にフォーカスした内容が非常に多くなっていました。「セキュリティ」と言っても、さまざまですが、DDoS攻撃ミティゲーションを行うために、Tier 1の特徴を活かして実現したTier 1 Scrubbing Centerは、非常に面白い試みだと思いました。

なお、Tier 1 Scrubbing Centerは、サービス化に向けて現在トライアル中であり、既に実環境で実験的に採用しているコンテンツ事業者もいるようです。

最近のエントリ

過去記事

過去記事一覧

IPv6基礎検定

YouTubeチャンネルやってます!