自社ネットワーク内でDDoS攻撃を検知および阻止
ネットワーク内 DDoS 防御は、トラフィックを経路外のスクラビングセンターへ迂回させるのではなく、ルーター自身のネットワークエッジで攻撃を検知・緩和します。IP Infusion はこれを一つのシステムとして提供します: BGP FlowSpec と RTBH を備えた OcNOS を稼働するオープンスイッチおよびルーターを、一つの契約でサポートします。sFlow テレメトリが FastNetMon 検知エンジンに供給され、同エンジンが FlowSpec または RTBH ルールをルーターへ戻して ASIC 内でラインレートフィルタリングを実行します。
検知から緩和まで数秒。
アーキテクチャ概要とデプロイメントアプリケーションノート:高レベルの全体像に加え、FastNetMonと連携したOcNOS上のBGP FlowspecおよびRTBHの段階的な設定手順。
トラフィックの迂回なしに、エッジのハードウェアで攻撃トラフィックをフィルタリング。
OcNOS を実行するルーターは、すでに顧客トラフィックを運んでいるボックス上で攻撃トラフィックを破棄するため、すべてのパケットは通常のパス上に留まり、クリーンなトラフィックが転送プレーンから離れることはありません。経由すべきオフパスのスクラビングセンターも、パケットごとの迂回も、購入してサイジングすべき個別のスクラビング容量も存在しません。
FastNetMon を備えた OcNOS を実行するルーターは、検知と緩和をネットワークエッジに直接配置します: sFlow telemetry streams from the router to FastNetMon continuously; when an attack is detected, FastNetMon pushes BGP Flowspec rules back to the router; the router installs the rules in the ASIC hardware at line rate. The entire loop completes in under 2 seconds, and clean traffic passes with no added latency.
検知・緩和される攻撃の種類:
FastNetMon:緩和処理をトリガーする検知エンジン
FastNetMon AdvancedはルーターがエクスポートするsFlowを監視し、設定したホスト単位またはサブネット単位のしきい値をトラフィックが超えた瞬間に、自動的に緩和処理をトリガーします。これは世界中の数百のISPおよびホスティングプロバイダーですでに稼働している本番グレードのソフトウェアであり、本ページの検知エンジンは事業者が本番環境で信頼するものと同一です。
BGP FlowSpec:BGPルートとして投入される精密フィルタリング
他に影響を与えず1つの攻撃だけをブロックする必要がある場合、ルーターは送信元および宛先IP、プロトコル、ポート、パケット長、TCPフラグ、DSCP、フラグメントタイプでマッチング。ルールはBGP経由で到着しミリ秒単位でASICに反映されるため、CPUオーバーヘッドゼロで該当トラフィックをラインレートでドロップ、レート制限、またはリダイレクト。FlowSpecはRFC 8955に準拠。
RTBH: 大量トラフィックのフラッドを到達前に阻止
大規模なボリューム型攻撃に対して、ルーターは対象プレフィックスをBGP経由でブラックホール化します。これは事業者のコマンドによる場合と、FastNetMonがそのプレフィックスへのトラフィックのしきい値超過を検知した際に自動的に行われる場合があります。RTBH経路は上流のピアおよびトランジットプロバイダーへ伝播するため、彼らは攻撃が各ネットワークに流入する前に自身のエッジでドロップします。
sFlow: the traffic feed that makes detection possible
ルーターは、設定したレートでハードウェアアクセラレーションによるサンプリングを用いて、すべてのエッジインターフェースから sFlow をエクスポートするため、検知は CPU に負荷をかけずにトラフィックを把握します。同じフィードは DDoS 検知のために FastNetMon へ送られ、同時に、トラフィック分析のためにすでに運用中の Kentik、PRTG、Prometheus、その他任意の sFlow コレクターへも送られます。sFlow は RFC 3176 に従います。
ハードウェアACL:既知の悪意ある通信元を一度、恒久的にブロック
すでに敵対的と判明しているトラフィックに対しては、ルーターがASIC内にACLを設定し、IP、サブネット、プロトコル、ポート単位でそれを恒久的にドロップし、インターフェイス単位、VLAN単位、プレフィックス単位でレート制限します。一度設定すれば、以降はハードウェアがそれを適用し、ルーティングや処理のオーバーヘッドは発生しません。
FastNetMon:検出エンジン
FastNetMon Advancedは、世界中の数百のISPで利用されている専用のDDoS検知エンジンです。BGP FlowspecおよびRTBHを介してOcNOSとネイティブに統合されます。ホスト単位、サブネット単位、プロトコル単位で設定可能なしきい値を用いてsFlowテレメトリを取り込みます。
FastNetMon について学ぶ →ネットワーク内DDoS検出と緩和:トポロジ全体
以下は、稼働中のネットワークで各保護層がどこに位置するかを示します。インターネットからの攻撃トラフィックはOcNOSエッジルーターに到達し、ルーターは常時sFlowをFastNetMonへストリーミングします。FastNetMonが異常を検知した瞬間、BGP FlowSpecまたはRTBHをエッジへプッシュし、ルーターはそのルールをミリ秒単位でASICに設定します。上流のピアもRTBHアナウンスを受け取れるため、攻撃が到達する前にドロップします。
攻撃検知からトラフィック遮断まで4ステップで
検知から緩和までのループは自動的に実行されます。一度構成すれば、ネットワークはオペレーターの介入なしに攻撃を阻止します。
収集
OcNOS はすべてのエッジインターフェースから sFlow テレメトリを FastNetMon へエクスポートします。ハードウェアアクセラレーションによるパケットサンプリング: CPU オーバーヘッドがなく、フォワーディング性能への影響もありません。
検出
FastNetMonは、ホスト単位・サブネット単位のしきい値に対してフローデータを解析します。ボリューム型フラッド、SYNストーム、UDP増幅、DNSフラッド、NTPリフレクション攻撃を、通常1秒以内に検出します。
信号
FastNetMonはBGP経由で、外科的な緩和向けのBGP Flowspecルール、またはボリューム型攻撃向けのRTBHブラックホールルートを、OcNOSに自動的にプッシュします。完全に自動化されており、攻撃発生中にオペレータが操作する必要はありません。
緩和
OcNOS は Flowspec ルールまたは RTBH ルートを ASIC ハードウェアに直接インストール。攻撃トラフィックはフルラインレートでドロップまたはレート制限。正常トラフィックは影響を受けず継続。攻撃が収束すればルールは自動削除。
ネットワーク内DDoS防御が適合する場所
検知と緩和はすでにエッジにあるボックス上で動作するため、小規模な地域 ISP を運用する場合でも大規模なデータセンターを運用する場合でも、同一のエッジルーターおよびスイッチが DDoS 保護を担います。
ISP & SP エッジ保護
ピアリングエッジおよびトランジットリンクを、お客様向け帯域を飽和させるボリューム型DDoSから保護します。ピアリングルータでのsFlow検出と自動BGP Flowspec緩和により、フラッドが下流のお客様に到達する前に停止可能。トランジットプロバイダとの上流RTBH連携により、攻撃がネットワークに入る前に遮断します。
データセンターペリメータ
DC境界でのインラインDDoSフィルタリングにより、ホスティングされたインフラやクラウドワークロードを保護します。静的なハードウェアACLが既知の悪意あるアクターを恒久的にブロックし、動的なFlowspecルールが新たな攻撃シグネチャにリアルタイムで適応します。スクラビングセンターへのトラフィック迂回がないため、正常なトラフィックへのレイテンシ影響はゼロです。
マネージド DDoS 保護サービス
事業者は顧客単位のDDoS保護をマネージドサービスとして提供し、保護対象プレフィックス単位で課金可能。FastNetMonは顧客ごとのしきい値プロファイルをサポートし、OcNOSは顧客ごとのFlowspecルールを適用します。共有スクラビングインフラは不要:各顧客の保護は専用かつネットワーク内で実現されます。
OcNOS による DDoS 保護:FAQ
オープンハードウェア上でネットワークを防御。
お客様のトポロジ、脅威モデル、そして環境に適したFlowspecとRTBHの構成について、一緒に検討します。
手頃で自動化されたDDoS防御:OcNOS + FastNetMon
簡単なフォームです。送信後すぐに PDF がダウンロードされます。
✓ PDF を新しいタブで開いています…
開かない場合は、下記のリンクをご利用ください。
solution-brief-automated-ocnos-fastnetmon-ddos-defense.pdfDDoS自動緩和:OcNOS + FastNetMon導入ガイド
簡単なフォームです。送信後すぐに PDF がダウンロードされます。
✓ PDF を新しいタブで開いています…
開かない場合は、下記のリンクをご利用ください。
Application-Note-Automated-DDoS-Mitigation-with-OcNOS-and-FastNetMon.pdf