Upload File

sdnを用いた反射型dos攻撃の遮断方式 - dnsops.jpsdnを用いた反射dos攻撃対策...

  • Home
  • Documents
  • SDNを用いた反射型DoS攻撃の遮断方式 - DNSOPS.JPSDNを用いた反射DoS攻撃対策 標的システム イ AS ン タ ー ネ ッ ト リフレクタ 他ASとの境界ルータで
13
Copyright©2014 NTT corp. All Rights Reserved. SDNを用いた反射型DoS攻撃の遮断方式 NTTセキュアプラットフォーム研究所 首藤裕一

Upload: others

Post on 18-Mar-2020

1 views

Category:

Documents


0 download

Report

TRANSCRIPT

Page 1: SDNを用いた反射型DoS攻撃の遮断方式 - DNSOPS.JPSDNを用いた反射DoS攻撃対策 標的システム イ AS ン タ ー ネ ッ ト リフレクタ 他ASとの境界ルータで

Copyright©2014 NTT corp. All Rights Reserved.

SDNを用いた反射型DoS攻撃の遮断方式

NTTセキュアプラットフォーム研究所

首藤裕一

Page 2: SDNを用いた反射型DoS攻撃の遮断方式 - DNSOPS.JPSDNを用いた反射DoS攻撃対策 標的システム イ AS ン タ ー ネ ッ ト リフレクタ 他ASとの境界ルータで

2

背景:反射型DoS攻撃

Page 3: SDNを用いた反射型DoS攻撃の遮断方式 - DNSOPS.JPSDNを用いた反射DoS攻撃対策 標的システム イ AS ン タ ー ネ ッ ト リフレクタ 他ASとの境界ルータで

Pizza

基本アイディア

3BさんAさん

Aさんの嫌がらせ:宅配ピザをBさんの住所宛に注文

Bと申します。ピザを100枚ください。

住所は…

ピザ100枚お持ちしました!

Page 4: SDNを用いた反射型DoS攻撃の遮断方式 - DNSOPS.JPSDNを用いた反射DoS攻撃対策 標的システム イ AS ン タ ー ネ ッ ト リフレクタ 他ASとの境界ルータで

標的システム

反射型DoS攻撃

・ リフレクタを用いて大量のパケットを標的システムに送信・ 標的システムのネットワーク帯域を飽和 ⇒ サービス不能にさせる

例)DNS増幅攻撃

攻撃者 DNSサーバ(リフレクタ)

宛先IP=DNSサーバ送信元IP=標的システム

応答パケット

宛先IP=標的システム送信元IP=DNSサーバ

偽装要求パケット

4数十byte/p ~4000byte/p

Page 5: SDNを用いた反射型DoS攻撃の遮断方式 - DNSOPS.JPSDNを用いた反射DoS攻撃対策 標的システム イ AS ン タ ー ネ ッ ト リフレクタ 他ASとの境界ルータで

実際には。。。

標的システム

ボット

攻撃指示

偽装要求パケット

応答パケット

リフレクタ

・ 攻撃者はボットネットに攻撃指示・ 各ボットは多数のリフレクタに偽装要求パケットを送信

・ 標的システムに大量の応答パケットが殺到

10Gbps 100Gbps

5

Page 6: SDNを用いた反射型DoS攻撃の遮断方式 - DNSOPS.JPSDNを用いた反射DoS攻撃対策 標的システム イ AS ン タ ー ネ ッ ト リフレクタ 他ASとの境界ルータで

6

SDNを用いた反射型DoS攻撃対策

Page 7: SDNを用いた反射型DoS攻撃の遮断方式 - DNSOPS.JPSDNを用いた反射DoS攻撃対策 標的システム イ AS ン タ ー ネ ッ ト リフレクタ 他ASとの境界ルータで

SDNを用いた反射DoS攻撃対策

標的システム

ASインターネット

リフレクタ

他ASとの境界ルータで分散してDNS応答を廃棄

収容ルータおよび末端回線が保護される

目標:反射型DoS攻撃から標的システムを保護概要:攻撃検知 ⇒ SDNを用いて転送ルールを動的に変更(防御モード)。

他ASとの境界ルータで攻撃パケットのみを遮断。

7

大量のDNS応答

SDN Controller

Page 8: SDNを用いた反射型DoS攻撃の遮断方式 - DNSOPS.JPSDNを用いた反射DoS攻撃対策 標的システム イ AS ン タ ー ネ ッ ト リフレクタ 他ASとの境界ルータで

SDNでできること(Openflowの場合)

• 各ルータの転送ルール(フローテーブル)をコントローラが一元管理

• 転送ルールはL1~L4レベルで記載可能– 物理ポート、Ethernetヘッダ、IPヘッダ、TCP・UDPヘッダなどをもとに

パケットの処理(任意ポートへの転送、コントローラへ転送、廃棄など)を指定可能

– 例: 「172.18.20.0/24宛のDNS応答はコントローラへ転送」

• コントローラは各ルータの転送ルールをいつでも変更可能

• コントローラは各ルールにマッチしたトラヒックの統計情報が取得可能– 例:172.18.20.0.24宛のDNS応答のトラヒック量

8

AS

SDN Controller

Page 9: SDNを用いた反射型DoS攻撃の遮断方式 - DNSOPS.JPSDNを用いた反射DoS攻撃対策 標的システム イ AS ン タ ー ネ ッ ト リフレクタ 他ASとの境界ルータで

対策詳細

• 通常モード– 収容ルータにてDNS応答トラヒックを監視

– DNS応答トラヒックが閾値超過⇒ 標的システムを保護する防御モードへ移行

• 防御モード– DNS応答パケットは境界ルータで原則遮断

– 標的システムからDNS要求発生⇒ コントローラが例外処理を施して対応するDNS応答を通過させる

9

標的システム

ASインターネット

リフレクタ 大量のDNS応答

SDN Controller

Page 10: SDNを用いた反射型DoS攻撃の遮断方式 - DNSOPS.JPSDNを用いた反射DoS攻撃対策 標的システム イ AS ン タ ー ネ ッ ト リフレクタ 他ASとの境界ルータで

通常モードから防御モードへの移行

標的システム

AS

インターネット

リフレクタ

SDN Controller

①収用ルータで大量のDNS応答を観測②境界ルータの設定変更:

DNS応答パケット(送信元ポート=53)を廃棄

③収容ルータの設定変更:標的システムからのDNS要求パケットを制御サーバに転送

・収容ルータで大量のDNS応答を観測⇒ コントローラの指示の下、AS全体を防御モードに移行

10

Page 11: SDNを用いた反射型DoS攻撃の遮断方式 - DNSOPS.JPSDNを用いた反射DoS攻撃対策 標的システム イ AS ン タ ー ネ ッ ト リフレクタ 他ASとの境界ルータで

防御モードの処理

・ DNS応答パケットは境界ルータで原則遮断

・ 標的システムからDNS要求発生⇒ 制御サーバの指示の下、対応するDNS応答パケットを通過させる

標的システム

AS

インターネット

リフレクタ

SDN Controller

②防御モードの設定によりPを転送③各境界ルータの転送許可リストに設定追加:

Pに対応する応答パケットを許可

①DNS要求パケットPを送信

11

Page 12: SDNを用いた反射型DoS攻撃の遮断方式 - DNSOPS.JPSDNを用いた反射DoS攻撃対策 標的システム イ AS ン タ ー ネ ッ ト リフレクタ 他ASとの境界ルータで

防御モードの処理

・ DNS応答パケットは境界ルータで原則遮断

・ 標的システムからDNS要求発生⇒ 制御サーバの指示の下、対応するDNS応答パケットを通過させる

標的システム

AS

インターネット

リフレクタ

SDN Controller

③各境界ルータの転送許可リストに設定追加:Pに対応する応答パケットを許可

④Pを外部に送信⑤Pへの応答パケットは

境界ルータを通過し標的システムに到着

12

Page 13: SDNを用いた反射型DoS攻撃の遮断方式 - DNSOPS.JPSDNを用いた反射DoS攻撃対策 標的システム イ AS ン タ ー ネ ッ ト リフレクタ 他ASとの境界ルータで

まとめ

• 概要:SDNを用いて反射DoS攻撃を遮断

• 長所– すべての攻撃パケットを境界ルータで廃棄

– 正常な応答パケットは廃棄されることがない

– 平時の処理は攻撃監視のみ

– DoS緩和装置などの特別な機器を必要としない

• 課題: フラグメントパケットへの対処– 攻撃パケットは往々にしてフラグメント化

– 後続フラグメントにはUDPヘッダがなく、DNS応答かどうか判断できない

– いくつかの対策を考案済み(本日は時間の都合で割愛)

13


Internet Week 2013 –DDoS攻撃の実態と対策 〜 …...Internet Week 2013 –DDoS攻撃の実態と対策 〜 DDoS攻撃の現状 〜 Takashi Sasaki SE Manager, Japan [email protected]

標的型攻撃メール訓練サービス - SCSK · 2019. 1. 30. · 標的型攻撃メール訓練サービス 増加する標的型メール攻撃に対応するためには •

ローカルプロキシを用いたCSRF攻撃検出手法の検 …...CSRFとはユーザが攻撃者が用意したWebサイトに対 してユーザの意図しないリクエストが送信される攻撃

秋季近畿オープンライフル射撃選手権大会(G3...2020/09/19  · 秋季近畿オープンライフル射撃選手権大会(G3) 主 催 近畿ライフル射撃連合

⻑期感染の実態と攻撃証跡の分析 - IPA · 「ファイルレス攻撃」 •ファイルレス攻撃 – マルウェア等の実ファイルを⽣成しない攻撃。スク

サイバー攻撃自動防御ソリューション システム構築 …...サイバー攻撃自動防御ソリューション システム構築ガイド ~パロアルト編~

四電四電 四電 ⽇時:2013年3⽉2⽇(⼟曜 …2013/03/02  · VAQ-136 VAW-115 VS-21 HELASRON HS-14 VRC-30 直属 隊名 攻撃戦闘機 隊 攻撃戦闘機 隊 攻撃戦闘機

JANOG30 日本の現状と取り組みについて - JANOG | …...他ISP 対象ISP 他ISP DNS DNS (凡例) ・攻撃のアクセス : ・対策後のアクセス: 攻撃破棄 攻撃破棄

脅威を増すサイバー攻撃に備える サイバー保険の話 …...サイバー保険の話。 脅威を増すサイバー攻撃に備える サイバー攻撃の被害に遭うと

標的型サイバー攻撃対策ソリューション - Fujitsu...標的型サイバー攻撃対策ソリューション 標的型サイバー攻撃は最も身近な経営リスクです。

セキュリティー・ソリューション総合カタログ · ネットワーク・トラフィック システム・モニタリング など 攻撃が起きた際、攻撃の種類、

APRESIA & PaloAltoサイバー攻撃自動隔離ソリューション · Title: APRESIA & PaloAltoサイバー攻撃自動隔離ソリューション Author: APRESIA Systems株式会社

サイバー攻撃(標的型攻撃)対策 防御モデルの解説3 1.1. 防御モデルの前提 1. 標的型(諜報)攻撃 銭や知的財産等の重要情報の窃取を

DDoS攻撃10年の歴史を振り返る - JANOG...DDoS攻撃 DDoS攻撃(協調分散型DoS攻撃、分散型サー ビス拒否攻撃、Distributed Denial of Service attack)とは、踏み台と呼ばれる複数のコン

企業における サイバー攻撃対策の再考 · 2012-05-24 · 攻撃指令管理と配備の体系化 攻撃者ひとり. 攻撃者の分身(手動) 攻撃者の分身(自動)

リオオリンピックから見たサイバー攻撃 - IPAリオオリンピックから見たサイバー攻撃 内閣官房内閣サイバーセキュリティセンター(NISC)

狩人 特技一覧 - at-ninja.jpclogfiddle.at-ninja.jp/senya2/01senyap_class_kari.pdf双剣 刀 ウィンドスラッシュ 分類:攻撃タイプ/白兵 分類:攻撃タイプ/白兵

インターネットの現状:セキュリティ | DDoS 攻撃および ......DDOS 攻撃に見えて実は攻撃ではない事例 11 ボットの増加=問題の増加 15 今後の展望

5-2 DBD攻撃対策フレームワーク

ヘルスケア業界は ランサムウェア攻撃のターゲット

第2章 サイバー攻撃と自衛権:重要インフラ攻撃と …...第2章 サイバー攻撃と自衛権:重要インフラ攻撃とグレーゾーン事態 -12- か

ログを活用した高度サイバー攻撃 (標的型攻撃)の …...2015/11/24  · ログを活用した高度サイバー攻撃 (標的型攻撃)の早期発見と分析

標的型メール攻撃対策~ITセキュリティ予防接 種による組織の防 … · 標的型攻撃標的型攻撃 現状の現状 定義 —「情報セキュリティ上の攻撃で、無差別に攻撃が行われるものでなく、特定の組織ある

2020年4月16日 セキュリティニュース: 最近のサーバ攻撃手法 … · 2020. 4. 16. · 最近のサーバ攻撃手法について。 攻撃者も休んでは居ない。

攻撃的ユーモアはポジティブな対人的機能をもつのか: 相手との親密度と攻撃的ユーモアの攻撃度から …harp.lib.hiroshima-u.ac.jp/h-bunkyo/file/12531... ·

1. 攻撃対象 - JPCERTハザード分類 3. 攻撃の分類 外部からの攻撃 ゙ 1. 攻撃対象 ネットワーク接続のPC フィッシンク SQLインジェクション

分散 SYN Flood 攻撃防御のための 構築可能なオーバーレイネッ … · 2004/12/16 IN研究会 6 SYN Flood 攻撃とは 被害者 攻撃者 送信元アドレスを偽ったSYN

高度サイバー攻撃への 備えと対応...的とする執拗な攻撃 —標的型攻撃、APT と呼ばれることも —2015年、特にこのタイプの攻撃について、社会的に注目

BIG-IP - fujitsu.com · 攻撃のフィルタリングまで、big-ip ltm

CODE BLUE 2014 : [ドローンへの攻撃] マルウェア感染とネットワーク経由の攻撃 by ドンチョル・ホン DONGCHEOL HONG

サイバー攻撃...サイバー攻撃 2015.9.12 田中達浩 富士通システム統合研究所 安全保障研究所サイバー担当主席研究員本日の話 ―サイバー攻撃―

APT 攻撃の特徴と防御方法 - Clearswiftpages.clearswift.com/rs/clearswift/images/Slideshare...APT 攻撃の特徴と防御方法組織を悩ませるサイバーセキュリティの問題:高度で執拗な攻撃

DNSキャッシュポイズニング 2 2.11.1 DNSキャッシュポイズ …...2 脅威とサイバー攻撃の手法 122 123 2 脅威とサイバー攻撃の手法 DNSキャッシュポイズニング2.11

可視化から始めるサイバー攻撃対策 · あの有な Googleが運営する『DDoS攻撃』の可視化サイトです。 攻撃見えるくんを利用して自社サーバへのサイバー攻撃状況を可視化できます。

2012 MAR NEWS No. 414 3 - NICT攻撃 サービス不能 (DoS)攻撃など (Ⅰ)脆弱性に起因しない攻撃 (Ⅱ)脆弱性に起因した攻撃 nicterによる攻撃の観測・分析