OcNOS-SP · FastNetMon · BGP Flowspec · RTBH

自社ネットワーク内でDDoS攻撃を検知および阻止

ネットワーク内 DDoS 防御は、トラフィックを経路外のスクラビングセンターへ迂回させるのではなく、ルーター自身のネットワークエッジで攻撃を検知・緩和します。IP Infusion はこれを一つのシステムとして提供します: BGP FlowSpec と RTBH を備えた OcNOS を稼働するオープンスイッチおよびルーターを、一つの契約でサポートします。sFlow テレメトリが FastNetMon 検知エンジンに供給され、同エンジンが FlowSpec または RTBH ルールをルーターへ戻して ASIC 内でラインレートフィルタリングを実行します。

なぜネットワーク内 DDoS 緩和なのか?

トラフィックの迂回なしに、エッジのハードウェアで攻撃トラフィックをフィルタリング。

OcNOS を実行するルーターは、すでに顧客トラフィックを運んでいるボックス上で攻撃トラフィックを破棄するため、すべてのパケットは通常のパス上に留まり、クリーンなトラフィックが転送プレーンから離れることはありません。経由すべきオフパスのスクラビングセンターも、パケットごとの迂回も、購入してサイジングすべき個別のスクラビング容量も存在しません。

FastNetMon を備えた OcNOS を実行するルーターは、検知と緩和をネットワークエッジに直接配置します: sFlow telemetry streams from the router to FastNetMon continuously; when an attack is detected, FastNetMon pushes BGP Flowspec rules back to the router; the router installs the rules in the ASIC hardware at line rate. The entire loop completes in under 2 seconds, and clean traffic passes with no added latency.

検知・緩和される攻撃の種類:

UDP 増幅攻撃 SYNフラッド TCP RST フラッド ICMPフラッド DNS クエリフラッド NTP 増幅攻撃 Memcached リフレクション攻撃 ボリューメトリック帯域飽和攻撃 フラグメントパケット攻撃

FastNetMon:緩和処理をトリガーする検知エンジン

FastNetMon AdvancedはルーターがエクスポートするsFlowを監視し、設定したホスト単位またはサブネット単位のしきい値をトラフィックが超えた瞬間に、自動的に緩和処理をトリガーします。これは世界中の数百のISPおよびホスティングプロバイダーですでに稼働している本番グレードのソフトウェアであり、本ページの検知エンジンは事業者が本番環境で信頼するものと同一です。

BGP FlowSpec:BGPルートとして投入される精密フィルタリング

他に影響を与えず1つの攻撃だけをブロックする必要がある場合、ルーターは送信元および宛先IP、プロトコル、ポート、パケット長、TCPフラグ、DSCP、フラグメントタイプでマッチング。ルールはBGP経由で到着しミリ秒単位でASICに反映されるため、CPUオーバーヘッドゼロで該当トラフィックをラインレートでドロップ、レート制限、またはリダイレクト。FlowSpecはRFC 8955に準拠。

RTBH: 大量トラフィックのフラッドを到達前に阻止

大規模なボリューム型攻撃に対して、ルーターは対象プレフィックスをBGP経由でブラックホール化します。これは事業者のコマンドによる場合と、FastNetMonがそのプレフィックスへのトラフィックのしきい値超過を検知した際に自動的に行われる場合があります。RTBH経路は上流のピアおよびトランジットプロバイダーへ伝播するため、彼らは攻撃が各ネットワークに流入する前に自身のエッジでドロップします。

sFlow: the traffic feed that makes detection possible

ルーターは、設定したレートでハードウェアアクセラレーションによるサンプリングを用いて、すべてのエッジインターフェースから sFlow をエクスポートするため、検知は CPU に負荷をかけずにトラフィックを把握します。同じフィードは DDoS 検知のために FastNetMon へ送られ、同時に、トラフィック分析のためにすでに運用中の Kentik、PRTG、Prometheus、その他任意の sFlow コレクターへも送られます。sFlow は RFC 3176 に従います。

ハードウェアACL:既知の悪意ある通信元を一度、恒久的にブロック

すでに敵対的と判明しているトラフィックに対しては、ルーターがASIC内にACLを設定し、IP、サブネット、プロトコル、ポート単位でそれを恒久的にドロップし、インターフェイス単位、VLAN単位、プレフィックス単位でレート制限します。一度設定すれば、以降はハードウェアがそれを適用し、ルーティングや処理のオーバーヘッドは発生しません。

FastNetMon → OcNOS・自動応答(例) アラート
1。FastNetMon が sFlow 経由で異常を検出
アラート UDPフラッド → 203.0.113.50
14 Gbps。しきい値 5 Gbps を超過
2。FastNetMon が BGP Flowspec を OcNOS に配信
POST /api/flowspec/rule
match: dst 203.0.113.50/32 proto UDP
action: rate-limit 100Mbps
→ rule installed in ASIC
3。OcNOS がハードウェアでラインレート適用
Flowspec ルール有効 14
攻撃トラフィック dropped
Over-threshold rate-limited
✓ クリーントラフィックは正常に通過

FastNetMon:検出エンジン

FastNetMon Advancedは、世界中の数百のISPで利用されている専用のDDoS検知エンジンです。BGP FlowspecおよびRTBHを介してOcNOSとネイティブに統合されます。ホスト単位、サブネット単位、プロトコル単位で設定可能なしきい値を用いてsFlowテレメトリを取り込みます。

FastNetMon について学ぶ →
<2s
検知から緩和までのループ:sFlow 異常からハードウェア上の Flowspec ルールまで
0ms
正常トラフィックへの遅延追加なし:フィルタリングはオフパスのスクラビングではなく、インライン ASIC で実施
0%
ハードウェア ACL と Flowspec 適用に対する CPU オーバーヘッド:ASIC で高速化
600+オペレーター導入
60+
26ネットワーク業界での年数
リファレンスアーキテクチャ

ネットワーク内DDoS検出と緩和:トポロジ全体

以下は、稼働中のネットワークで各保護層がどこに位置するかを示します。インターネットからの攻撃トラフィックはOcNOSエッジルーターに到達し、ルーターは常時sFlowをFastNetMonへストリーミングします。FastNetMonが異常を検知した瞬間、BGP FlowSpecまたはRTBHをエッジへプッシュし、ルーターはそのルールをミリ秒単位でASICに設定します。上流のピアもRTBHアナウンスを受け取れるため、攻撃が到達する前にドロップします。

OcNOSエッジとFastNetMonによるネットワーク内DDoS防御トポロジー ボットネット発信源からの攻撃トラフィックは、上流ピアを経由して2台のOcNOS-SPエッジルーターへ到達します。エッジルーターはsFlowテレメトリをFastNetMon検知エンジンへエクスポートします。攻撃を検知すると、FastNetMonはBGP FlowspecまたはRTBHルートをBGP経由でエッジルーターへ送り返し、ラインレートフィルタリングのためのルールをASICにインストールします。クリーンなトラフィックは、保護された顧客ネットワークまたはデータセンターネットワークへと進みます。上流ピアも、保護対象ネットワークへ侵入する前に攻撃トラフィックを破棄するため、BGP経由でRTBHアナウンスメントを受信できます。 Attackers 分散型ボットネット 10 to 100 Gbps Customers 正規トラフィック HTTP/DNS/SSH トランジットピア eBGP / RTBH 受信 Tier-1インターネット RTBH /32ドロップ OcNOS Edge-01 UfiSpace S9600-72XC Qumran 2C(BCM88820) · 2.4 Tbps ASICハードウェア Flowspec + ACL ドロップ ラインレート · CPU 0% OcNOS Edge-02 UfiSpace S9600-72XC ECMP冗長構成 ASIC Flowspec + ACL 攻撃 + clean FastNetMon 検知エンジン sFlow analysis threshold-based detect sFlow ↑ BGP Flowspec ↓ + RTBH RTBHをeBGP経由で上流へ伝搬 → 保護対象サーバー DC/ホスト型インフラ クリーンなトラフィックのみ・遅延追加0ms 顧客ネットワーク テナント単位ポリシー マネージド DDoS サービス clean ✓ 攻撃のドロップ DETECT-TO-MITIGATE LOOP (EXAMPLE) 1. 異常を検知 FastNetMon telemetry 2. BGP Flowspecのプッシュ FNM → OcNOS(BGP経由) 3. ASICルールをインストール済み OcNOS ハードウェアが次を適用します: 4. ワイヤレートで攻撃をドロップ 総ループ:<2s · クリーントラフィックレイテンシ 0ms
攻撃トラフィック
正常なトラフィック
sFlow telemetry
BGP Flowspec/RTBH(コントロールプレーン)
↳ 任意のノードにホバーすると、プラットフォーム、ASIC、BGP、ポリシーの詳細を表示
仕組み

攻撃検知からトラフィック遮断まで4ステップで

検知から緩和までのループは自動的に実行されます。一度構成すれば、ネットワークはオペレーターの介入なしに攻撃を阻止します。

1

収集

OcNOS はすべてのエッジインターフェースから sFlow テレメトリを FastNetMon へエクスポートします。ハードウェアアクセラレーションによるパケットサンプリング: CPU オーバーヘッドがなく、フォワーディング性能への影響もありません。

2

検出

FastNetMonは、ホスト単位・サブネット単位のしきい値に対してフローデータを解析します。ボリューム型フラッド、SYNストーム、UDP増幅、DNSフラッド、NTPリフレクション攻撃を、通常1秒以内に検出します。

3

信号

FastNetMonはBGP経由で、外科的な緩和向けのBGP Flowspecルール、またはボリューム型攻撃向けのRTBHブラックホールルートを、OcNOSに自動的にプッシュします。完全に自動化されており、攻撃発生中にオペレータが操作する必要はありません。

4

緩和

OcNOS は Flowspec ルールまたは RTBH ルートを ASIC ハードウェアに直接インストール。攻撃トラフィックはフルラインレートでドロップまたはレート制限。正常トラフィックは影響を受けず継続。攻撃が収束すればルールは自動削除。

ユースケース

ネットワーク内DDoS防御が適合する場所

検知と緩和はすでにエッジにあるボックス上で動作するため、小規模な地域 ISP を運用する場合でも大規模なデータセンターを運用する場合でも、同一のエッジルーターおよびスイッチが DDoS 保護を担います。

🌐

ISP & SP エッジ保護

ピアリングエッジおよびトランジットリンクを、お客様向け帯域を飽和させるボリューム型DDoSから保護します。ピアリングルータでのsFlow検出と自動BGP Flowspec緩和により、フラッドが下流のお客様に到達する前に停止可能。トランジットプロバイダとの上流RTBH連携により、攻撃がネットワークに入る前に遮断します。

🏢

データセンターペリメータ

DC境界でのインラインDDoSフィルタリングにより、ホスティングされたインフラやクラウドワークロードを保護します。静的なハードウェアACLが既知の悪意あるアクターを恒久的にブロックし、動的なFlowspecルールが新たな攻撃シグネチャにリアルタイムで適応します。スクラビングセンターへのトラフィック迂回がないため、正常なトラフィックへのレイテンシ影響はゼロです。

🛡️

マネージド DDoS 保護サービス

事業者は顧客単位のDDoS保護をマネージドサービスとして提供し、保護対象プレフィックス単位で課金可能。FastNetMonは顧客ごとのしきい値プロファイルをサポートし、OcNOSは顧客ごとのFlowspecルールを適用します。共有スクラビングインフラは不要:各顧客の保護は専用かつネットワーク内で実現されます。

よくあるご質問

OcNOS による DDoS 保護:FAQ

BGP Flowspec とは何ですか?また OcNOS は DDoS 緩和にどう活用しますか?
BGP FlowSpec(RFC 8955、当初はRFC 5575)は、きめ細かなトラフィックフィルタリングルールをルーター間に配布するBGP拡張であり、BGP経由でACLを投入するのに似ていますが、より細かなマッチ条件を備えます。OcNOSは、送信元IP、宛先IP、プロトコル、送信元および宛先ポート、パケット長、TCPフラグ、DSCP、IPフラグメントタイプでマッチします。FastNetMonが攻撃を検知すると、FlowSpecルールをBGP経由でOcNOSへミリ秒単位で投入し、OcNOSはそれらをASICに直接インストールします。そこでは、マッチするトラフィックをCPUオーバーヘッドゼロでフルラインレートで破棄またはレート制限します。
FastNetMon は OcNOS とどのように統合され、応答速度はどの程度ですか?
FastNetMonはルーターがエクスポートするsFlowを読み取り、設定したホスト単位およびサブネット単位のしきい値と継続的に照合します。トラフィックがしきい値を超えた場合、例えば単一の宛先へ5 Gbpsを超えるUDPフラッドが発生した場合、BGP Flowspecルール(外科的でプロトコル固有の緩和向け)またはRTBHブラックホール経路(プレフィックス全体のブラックホール化向け)のいずれかを、BGP経由でOcNOSへ自動的にプッシュします。検知から緩和までのループ全体が自動化されており、通常は2秒未満で完了します。
本ソリューションはどのような種類の DDoS 攻撃を検知・緩和しますか?
このソリューションは、オペレーターが最も多く目にする攻撃タイプをカバーします。すなわち、ボリューメトリックフラッド(UDP アンプリフィケーション、ICMP フラッド、素の帯域幅飽和)、プロトコル攻撃(SYN フラッド、TCP RST フラッド、フラグメント化パケット攻撃)、フロー分析で捕捉できるアプリケーションレイヤー攻撃(DNS クエリフラッド、NTP アンプリフィケーション、Memcached アンプリフィケーション)です。精密な緩和には、BGP Flowspec がプロトコル、ポート、TCP フラグ、フラグメントタイプでマッチングします。精密さよりも速度が重要なボリューメトリック攻撃には、RTBH ブラックホーリングが対象プレフィックス宛のすべてのトラフィックをエッジで破棄します。
OcNOS は FastNetMon なしで DDoS 緩和は可能ですか?
はい。ルーターは3つの独立したメカニズムにより自律的に緩和:既知の悪意ある発信元を恒久的にブロックする静的ハードウェアACL(ASICアクセラレーション、CPUオーバーヘッドゼロ)、プレフィックス単位でトリガーするBGP経由の手動RTBHブラックホーリング、そして任意の標準BGPスピーカーからのBGP FlowSpecルールの受信。Arbor/Netscout、A10 Networks、Cloudflare Magic Transit、Kentikといった検知プラットフォームを既に運用している場合、OcNOSはエンフォースメントプレーンとなり、既存の検知システムからFlowSpecまたはRTBHコマンドを受け取ります。
RTBH ブラックホーリングとは何ですか?Flowspec の代わりにいつ使用すべきですか?
RTBH(Remotely Triggered Black Hole)は、大量トラフィック攻撃が十分に大規模で、正規トラフィックを含めて対象宛先への全トラフィックを破棄することが、ネットワークの残りを保護するための許容できるトレードオフとなる場合に用いる。対象プレフィックスを、ディスカードインターフェースを指すnext-hopとともにBGPでアドバタイズすることで機能し、アドバタイズを受信したすべての上流ルーターが、そのプレフィックス宛てのトラフィックを自身のエッジで、ネットワークに入る前に破棄する。外科的な緩和が必要な場合、たとえばある宛先へのUDP port 53のみをブロックしTCPは通過させる場合は、代わりにBGP Flowspecを選択。実際にはオペレーターは、速度を優先してまずRTBHで開始し、攻撃の特性が把握できた時点で精度のためにFlowspecへ切り替えることが多い。
OcNOS によるインネットワーク DDoS 緩和はスクラビングセンターを置き換えますか?
それは攻撃の種類によります。ネットワーク内緩和はスクラビングセンターを補完し、一部を代替します。攻撃が自社のプレフィックスを狙う場合、FastNetMon を備えた OcNOS は、フィルタリングをエッジのハードウェア ASIC でインラインに行うため、スクラビングセンターへトラフィックを迂回させるよりも速く (2 秒未満)、低コストで対応します。攻撃がルーターに到達する前に上流リンクを飽和させるほど大規模な場合、最も効果的な手法は、トランジットプロバイダーとの上流 RTBH をネットワーク内 Flowspec と組み合わせることです。マネージド DDoS プロバイダーは、顧客単位の Flowspec ルールおよびしきい値を用いて、OcNOS を顧客単位のエンフォースメントプレーンとして運用することもできます。
保護を始める

オープンハードウェア上でネットワークを防御。

お客様のトポロジ、脅威モデル、そして環境に適したFlowspecとRTBHの構成について、一緒に検討します。

DDoS デモを予約 OcNOS VM をダウンロード