アタック VS 連合軍 (事業部 x CS xシステム)

GMOインターネット株式会社システム本部割田太郎

防衛

あ

ん

し

ん

2

・自己紹介

・アタックへの取組み

・実証済みアイテムの紹介

・まとめ

アジェンダ

3

割田太郎 Taro Warita

自己紹介

システム本部システムオペレーション開発部クオリティアシュアランスチームマネージャ

業務内容多角的にサービスの品質維持+向上を支援

①サービスの安定提供の為の各種対策②IPアドレスの管理③開発と運用の分離促進対策④各種 事務局の仕事

( ITSMS/ISMS申請, 危機管理, データセンタ全般,セキュリティ全般 )

目次⇒

4

・自己紹介

・アタックへの取組み

>> 安心

・実証済みアイテムの紹介

・まとめ

アジェンダ

5

アタックへの取組み

一覧 ⇒

サービス環境を脅かす

Q:アタック(Attack)にはどのようなものがありますか？

アタックの定義

6

アタックへの取組み

アタックの定義

今回は、その中でも⇒

DDoSDoSハッキング

脆弱性利用型

マルウェア感染

不正入会・利用

内部からのアタック

不正利用型不正アクセス

物量型

リスト攻撃

XSSSQLi

高Session

7

アタックへの取組み

アタックの定義

DDoS攻撃の意味は⇒

DDoS攻撃

今回フォーカスするのは

8

アタックへの取組み

アタックの定義

Dos攻撃 ドス攻撃

(Denial of Service attack : ディナイル オブ サービス アタック）Denail = "拒否"/"否認"/"拒絶"日本語では、サービス停止攻撃とかいいますね。サーバやネットワークなどのリソース(CPU/メモリ/帯域)に対して意図的に過剰な負荷をかける攻撃

DDoS攻撃 ディードス攻撃

(Distributed Denial of Service attack : ディストリビューテッド ディナイル オブ サービス アタック）Distributed = "分配する"/"配る"日本語では、分散Dos攻撃/分散型サービス停止攻撃DoS攻撃の送信元が複数の場合の名称がこちらになります。

次は現状理解 ⇒

9

アタックへの取組み

アタックの状況

Q:アタックの

頻度と規模は？

正解は ⇒

10

アタックへの取組み

アタックの状況

頻度月15回～30回程度(1G以上のもの)

２日に１回から2回

これらアタックへ対応する為に ⇒

規模平均3.5Gbps程度

12月の最大値 14.3Gbps

0

5

10

15

20

2016年10月 2016年11月 2016年12月 2017年1月 2017年2月

UDP:NTP関連 19 9 15 9 19

その他 6 5 12 6 5

件数推移

0.00

2.00

4.00

6.00

8.00

10.00

12.00

14.00

16.00

2016年10月 2016年11月 2016年12月 2017年1月 2017年2月

平均帯域(Gbps) 3.75 3.92 3.32 3.31 2.40

最大値(Gbps) 12.35 6.37 14.32 5.25 6.15

規模

11

アタックへの取組み

まずは人員の体制強化 ⇒

体制強化の為に何をすれば？！

12

アタックへの取組み

まずは人員の体制強化 ⇒

1.人員強化(組織強化)

2.情報強化

3.枠組み強化

体制強化

13

アタックへの取組み

体制強化(その1) = 人員強化 連合軍の結成

人員の体制の次は ⇒

事業部

シス

テム

カスマー

サービス

週１回キープ実施

チャットで随時情報交換

アイディア出し合い

各部署内とも参加メンバが中心となり調整

対策を横展開

連合軍(れんごうぐん)の結成

14

アタックへの取組み

体制強化(その2) = 情報強化 各セグメントで情報収集

OpenStack

傾向情報

情報整備の後は⇒

DDos対策機器

基幹ルータ

弊社管理各種機器

検知ログ

傾向情報OpenvSwtich

情報ログ

帯域情報

基幹ルータからNetFlow情報

DDoS対策機器のアタックログ

管理機器への異常通信ログ

OpenvSwitchから傾向情報取得

OpenStack基盤から課金用帯域情報

外部 情報 外部ブラックリスト/JPCERT:CCAbuse連絡など

15

アタックへの取組み

体制強化(その３) = 枠組み強化 基本サイクル作成

実際の代表的な成果としては ⇒

•情報収集(仕組み作り)

•分析

•対策方法検討

•手動での実施

•自動化対応

•導入(逐次＋定期MTG)

•横展開(継続的対応)

ログや傾向情報

判断の為の分析

実利用検討

まずはナレッジ

作業効率化

実利用開始

他環境でも！

16

アタックへの取組み

代表的な実施成果

①DDoS対策機器強化(環境強化)現状を分析＋報告し予算確保

②アタック自動分析(対応迅速化)傾向分析情報を利用

③Abuseへの対処迅速化(原因軽減)

etcもうすこしDDoSの部分掘り下げますね ⇒

17

アタックへの取組み

説明

DDoS対策機器の動き

①基幹ルータのFlow情報を元に通信監視

②アタック検知時には、該当通信をBGPで制御し

該当通信をCleanBOX経由に切り替える

③CleanBOXでアタック判別を自動実施

④正常通信は通常経路に戻しアタックは破棄

他含めた対応としては ⇒

18

アタックへの取組み

通信制限の取組み

DDoS

対策機器

•[CleanBOX]で

アタックと正常通信を自動判断し

アタックのみ停止(自動)

Flowspec

• フロースペック機能等で

アタック情報を元に

特定通信のみ制限(管理者)

アタック先IPでの通信制限を少しでも減らす為に常に環境増強すると共に新しい対策を常に考え実施していきます！

逐次増強

自動対応強化

削減

19

アタックへの取組み

お持ち帰りのもの確認

安 心では２つ目のお話に行きます ⇒

20

・自己紹介

・アタックへの取組み

・実証済みアイテムの紹介

>> 運用に行かせるアイディア

・まとめ

アジェンダ

21

実証済みアイディアの紹介

チャットBOTの運用

こんな感じの使い方 ⇒

[利用内容]・決まった文字列に反応と情報に

反応させ各種情報を表示

[技術的内容]・チャット側公開API(REST)利用・HubotやAPIモジュールをつくり展開

22

実証済みアイディアの紹介

チャットBOTの運用

また、ほかには ⇒

『アタック VS 連合軍』1.アタックへの取組み2.実証済みアイディアの紹介

[神様]HosCon 割田太郎

BOT-API 2月16日19:21

BOT

割田 2月16日19:20

[IP] 192.168.0.100[SERVICE] HosCon2017[VM-NO] 150-8512

割田 2月16日19:22

BOT

[神様]USER 192.168.0.100

BOT-API 2月16日19:23

1.ＢＯＴ用の書き込みである宣言[神様]

2.BOTに下記①②を渡す①実行コマンドHosCon: 発表内容表示USER : 商材と利用VM情報

②付加情報名称 や IPアドレス

3.BOTから①②を元に各種情報が表示される

付帯効果 ⇒

23

実証済みアイディアの紹介

チャットBOTの運用

少し小ネタ ⇒

[導入しての付帯効果]①利用頻度が見える

②利用者が見える

③要望を直接利用者から聞ける

④利用者も要望を開発者に言いやすい

利用と改善の良いサイクル

24

実証済みアイディアの紹介

チャットBOTの運用

アイディアの２つ目は ⇒

[技術メモ]ChatWorkのAPIを手軽に試したいときにはまる日本語変換の知恵perl -Xpne 's/¥¥u([0-9a-fA-F]{4})/chr(hex($1))/eg'

curl -X GET -H "X-ChatWorkToken:xxxxxxxxxxxxxx” ¥“https://api.chatwork.com/v1/rooms/[ROOM]/messages?force=0" | ¥sed 's/¥"message_id/¥n¥"message_id/g' | ¥perl -Xpne 's/¥¥u([0-9a-fA-F]{4})/chr(hex($1))/eg'

25

実証済みアイディアの紹介

プライベートWHOISの運用

実際の利用はこんな感じ ⇒

[利用目的]

・IPアドレスに関する情報の集約・各種情報回答(利用ブランド,環境,連絡先etc)

[技術情報]JWhoisServer利用(Java Whois Server 0.4.1.3)

26

実証済みアイディアの紹介

プライベートWhoisの運用

[wari]$whois –h privatewhois 210.xxx.20.100

network: 210.xxx.20.128/26inetnumstart: 210.xxx.20.128inetnumend: 210.xxx.20.191[gmo_info]size: 64organization: GMO InternetBrand: HosCon-SERVERnetwork_name: GMOCL-SENYOcontrol_flg: OFFdc: SHIBUYA

Whoisコマンドで、迅速に情報を機械的に取得することが出来るようになる

該当IPが参加するIP範囲の情報

該当IPの用途や付加情報を取得

これをBOTと連携 ⇒

27

実証済みアイディアの紹介

プライベートWhoisの運用

network: 210.xxx.20.128/26inetnumstart: 210.xxx.20.128inetnumend: 210.xxx.20.191[gmo_info]size: 64organization: GMO InternetBrand: HosCon-SERVERnetwork_name: GMOCL-SENYOcontrol_flg: OFFdc: SHIBUYA

割田 2月16日19:25

BOT

[神様]WHOIS 210.xxx.20.100

BOT-API 2月16日19:25

付帯効果としては ⇒

1.ＢＯＴ用の書き込みである宣言[神様]

2.BOTに下記①②を渡す①実行コマンド

WHOIS : プライベートWHOIS②付加情報IPアドレス

3.BOTから①②を元にＷＨＯＩＳ情報が表示される

28

実証済みアイディアの紹介

プライベートWhoisの運用

[導入しての付帯効果]①各種自動化の足掛かりになる

②IPの利用内容確認の時間短縮

③他部署からの利用参照業務解消

では まとめ ⇒

29

実証済みアイディアの紹介

まとめ

1.アタックへの取組み(安心)

2.運用のアイディア２つプライベートWHOIS運用

チャットBOT運用

ご清聴ありがとうございました。