ニュースレターNo.60/2015年7月発行
APRICOT 2015における APNIC 39カンファレンス報告 技術動向報告
本稿では、APRICOT 2015/APNIC 39カンファレンスで、DNS、ルーティングの分野において、興味深かった発表・議論をご紹介します。ここでご紹介しきれなかった発表もありますので、ご興味をお持ちの分野がありましたら、該当プログラムのWebページより、発表資料をご覧ください。なお、発表者の氏名・所属はプログラムのWebページの表記に従っています。
DNS
今回のDNS関連の発表では、各運用者が観測したデータを元に、分析と対応を表しているものが複数ありました。以下に、個別に説明します。
(1) Drilling Down into DNS DDoS Data: Bruce Van Nice(Nominum)
(2) Random DNS query attack and mitigation approaches: Eddy Winstead(Internet Systems Consortium(ISC))
(3) Water Torture:A Slow Drip DNS DDoS Attack on QTNet: Kei Nishida(Kyushu Telecommunication Network Co.,Inc)
最近のDNSを利用した攻撃の傾向としては、マルウェアをホームゲートウェイなど脆弱なデバイスにインストールし、該当デバイスを攻撃の発信元として攻撃対象の権威ネームサーバに対してランダムなサブドメイン名を大量に問い合わせる事例が増えており、現在考えられる対策が発表されていました。
上記三つの発表とも、共通した攻撃と対応案についての発表がされたのですが、各発表の特徴としては、(1) Drilling Down into DNS DDoS Dataでは世界各国のISPのトラフィックを観測した結果に基づく分析、(2) Random DNS query attack and mitigation approachesではBIND提供元としての情報提供、(3) Water Torture:A Slow Drip DNS DDoS Attack on QTNetでは九州通信ネットワーク株式会社(QTNet)からの自社の体験に基づく対応が発表されていました。
一昨年のAPRICOT 2013/APNIC 37カンファレンスにおいて話題となった、オープンリゾルバについては継続して話題として取り上げられていました。コミュニティの対応によりオープンリゾルバの件数は減少傾向にあるのですが、DNSを元にした攻撃への取り組みとしてオープンリゾルバのみならずさまざまな性質の攻撃についてコミュニティが立ち向かっている様子が印象的でした。
(4) The Resolvers We Use: Geoff Huston(APNIC)
APNICが設置している、計測用サーバへのDNS問い合わせ(クエリ)の分析から得られた傾向の発表がありました。ユーザーの利用しているDNSキャッシュサーバの分布には特徴があり、ごく少数のキャッシュサーバを多数のユーザーが使っている傾向があるということでした。具体的には、観測できたキャッシュサーバのうち0.7%にて、ユーザー全体の90%のDNSクエリが処理されており、ユーザーの利用しているキャッシュサーバのトップはGoogle Public DNSとなり、ユーザー全体の10%がGoogle Public DNSを利用しているとのことでした。
- DNSセッション 参考URL
- DNS Session
https://conference.apnic.net/39#sessions/dnssession- Drilling Down into DNS DDoS Data
- Random DNS query attack and mitigation approaches
- The Resolvers We Use
- Lightning Talks
https://conference.apnic.net/39#sessions/lightningtalks- Water Torture:A Slow Drip DNS DDoS Attack on QTNet
- News & Views vol.1071
APRICOT 2013/APNIC 35カンファレンス報告 [第2弾] 技術動向報告
https://www.nic.ad.jp/ja/mailmagazine/backnumber/2013/vol1071.html
- DNS Session
ルーティング
今回のルーティング関連の発表では、RPKI関連の話題の他、DNSと同様に各運用者が観測したデータを元に分析と対応を発表しているものが複数ありました。本稿では、そのうちいくつかのセッションについて報告します。
(1) BGP in 2014: Geoff Huston(APNIC)
2014年のBGPの動向として、IPv4の経路数がハードウェア性能上の閾値となる51万2000を超えたものの、IPv4アドレス数が絶対的に不足している等の事情から、経路数の増加傾向としてはやや低減しつつあることと、アドレスの再利用の傾向が見られることが紹介されました。IPv6アドレスの経路数は、その絶対数はIPv4と比べると少なく2万程度であるものの、増加傾向は見られるということでした。
会場から、観測した経路数が51万2000を超えたタイミングについて、発表のあったものと異なる時期で観測したとのコメントがありました。こちらについては、観測するルータが保持するiBGP(AS内部で使われるBGP経路)の経路数などの要因により51万2000を超える時期に差異はあることは十分あり得ることであり、BGPがどのように運用者に見えるかは性質上異なるという議論がされていました。
(2) Where are we with securing the Routing System?: Geoff Huston(APNIC)
現在のインターネットルーティングは運用者同士がゆるやかに信頼しあって経路情報を交換するするモデルから成り立っており、誤った経路が流れる現象を検知・防止するためのセキュリティ技術の確立が課題となっています。この発表ではルーティングセキュリティの担保に役立つものとして、IRR、逆引きDNS、RPKIといった複数の技術の特徴や今後の展望が整理されて紹介されていました。
(3) Selective blackholing - how to use and implement: Job Snijders(NTT Communications)
DDoS攻撃への対策として、全トラフィックを落とすのではなく、地域を指定して選択的にトラフィックを落とすことで、必要なサービス用通信は維持しつつ、DDoS攻撃を避ける手法について、発表者のASでの利用経験を踏まえた紹介がされていました。
(4) BGP Flowspec(RFC5575) Casestudy and Discussion: Shishio Tsuchiya(Cisco Systems G.K.)
本発表もDDoS攻撃への対策が取り上げられていました。こちらでは、許可された通信を所定の条件で「フロー」として定義する技術にて対策する案について、JANOG35で実施された議論の内容を踏まえて紹介されていました。
- ルーティングセッション 参考URL
- APOPS 1
https://conference.apnic.net/39#sessions/apops1- BGP in 2014
- Routing Session
https://conference.apnic.net/39#sessions/routingsession- Where are we with securing the Routing System?
- Selective blackholing - how to use and implement
- BGP Flowspec(RFC5575) Casestudy and Discussion
- APOPS 1
(JPNIC技術部 澁谷晃)
