ネットワークスペシャリスト試験 令和6年度 春期 午後1 問1
【出典:ネットワークスペシャリスト試験 令和6年度 春期 午後1 問1(一部、加工あり)】
[配信拠点の保護]
D社ではDDoS攻撃を受けることが何度かあった。そこでXさんは、コンテンツ配信サーバへのDDoS攻撃対策について、どのような対策を行っているかE社の担当者に確認したところ、E社ではRFC 5635の中で定義されたDestination Address RTBH(Remote Triggered Black Hole)Filtering(以下、RTBH方式という)のDDoS遮断システムを導入しているとの回答があった。E社POPの概要を図3に示す。
E社のDDoS遮断システムは、RFC 3954で定義されるNetFlowで得た情報を基にDDoS攻撃の宛先IPアドレスを割り出し、該当IPアドレスへの攻撃パケットを廃棄することで、ほかのIPアドレスへの通信に影響を与えないようにする。DDoS検知サーバは、E社POP内の各BGPルータとIBGPピアリングを行っている。
E社のBGPルータは、インターネット側インタフェースから流入するパケットの送信元と宛先のIPアドレス、ポート番号などを含むNetFlowパケットを生成する。生成されたNetFlowパケットはDDoS検知サーバに送信される。DDoS検知サーバは、送られてきたNetFlowパケットを基に独自アルゴリズムでDDoS攻撃の有無を判断し、攻撃を検知した場合はDDoS攻撃の宛先IPアドレスを取得する。
DDoS検知サーバは、検知したDDoS攻撃の宛先IPアドレスへのホスト経路を生成しRTBH方式の対象であることを示すBGPコミュニティ属性を付与して各BGPルータに経路広告する。RTBH方式の対象であることを示すBGPコミュニティ属性が付いたホスト経路を受け取った各BGPルータは、そのホスト経路のネクストホップを廃棄用インタフェース宛てに設定することで、DDoS攻撃の宛先IPアドレス宛ての通信を廃棄する。
DDoS遮断システムの今後の開発予定をE社技術担当者に確認したところ、RFC 8955で定義されるBGP Flowspecを用いる対策(以下、BGP Flowspec方式)をE社が提供する予定であることが分かった。
BGP Flowspec方式では、DDoS検知サーバからのiBGPピアリングで、DDoS攻撃の宛先IPアドレスだけではなく、DDoS攻撃の送信元IPアドレス、宛先ポート番号などを組み合わせてBGPルータに広告して該当の通信をフィルタリングすることができる。
Xさんは、⑤BGP Flowspec方式の方が有用であると考え、E社技術担当者に早期提供をするよう依頼した。
Xさんは、E社CDNとDDoS遮断システムを導入する計画を立て、計画はD社内で承認された。
図3において、インターネットからBGPルータ1を経由してLB11にHTTPS Flood攻撃があったとき、FW1でフィルタリングする方式と比較したRTBH方式の長所は何か。30字以内で答えよ。:攻撃パケットを攻撃元に近いところで遮断できる。
RTBH方式について理解できていなくても、問題文をじっくり読むとE社のDDoS遮断システムの動作を把握できると思います。
ちなみにRTBH方式はBGPを使うDDoS対策の一つで、Destination Address RTBH(Remote Triggered Black Hole)Filteringとは、ある宛先への通信をリモートからブラックホールに誘導する、つまり破棄するよう制御するという意味です。
「E社のDDoS遮断システムは、RFC 3954で定義されるNetFlowで得た情報を基にDDoS攻撃の宛先IPアドレスを割り出し、該当IPアドレスへの攻撃パケットを廃棄することで、ほかのIPアドレスへの通信に影響を与えないようにする。DDoS検知サーバは、E社POP内の各BGPルータとIBGPピアリングを行っている。」
NetFlowは、ルータやスイッチなどを通過するトラフィックの送信元/宛先IPアドレス、ポート番号、プロトコルなどの情報を収集し、コレクターと呼ばれる機器に送信し、分析するものです。
「E社のBGPルータは、インターネット側インタフェースから流入するパケットの送信元と宛先のIPアドレス、ポート番号などを含むNetFlowパケットを生成する。生成されたNetFlowパケットはDDoS検知サーバに送信される。DDoS検知サーバは、送られてきたNetFlowパケットを基に独自アルゴリズムでDDoS攻撃の有無を判断し、攻撃を検知した場合はDDoS攻撃の宛先IPアドレスを取得する。」
BGPルータがNetFlowパケットを収集し、DDoS検知サーバがコレクターとなりDDoS攻撃の宛先IPアドレスを取得します。
ちなみに、DDoS攻撃を検知する方法としては、一定の時間(←1秒あたりなど)に特定の宛先IPアドレスに対するパケット数を閾値として検知するなどが考えられます。
「DDoS検知サーバは、検知したDDoS攻撃の宛先IPアドレスへのホスト経路を生成しRTBH方式の対象であることを示すBGPコミュニティ属性を付与して各BGPルータに経路広告する。RTBH方式の対象であることを示すBGPコミュニティ属性が付いたホスト経路を受け取った各BGPルータは、そのホスト経路のネクストホップを廃棄用インタフェース宛てに設定することで、DDoS攻撃の宛先IPアドレス宛ての通信を廃棄する。」
DDoS検知サーバが検知したDDoS攻撃の対象となっている宛先IPアドレスについて、ホスト経路(←単独のIPアドレスであるxx.xx.xx.xx/32の経路)として各BGPルータにRTBH方式の対象である旨をBGPコミュニティ属性により指示します。
各BGPルータは指示に従い、該当IPアドレスを宛先とする通信を全て破棄します。
さて、設問の「インターネットからBGPルータ1を経由してLB11にHTTPS Flood攻撃」について、改めて構成図で確認しましょう。
問われているのはFW1でフィルタリングする方式と比較したRTBH方式の長所ですが、どちらもDDoS攻撃の該当パケットを破棄することは変わりありません。
ただ構成図のとおりBGPルータ1とFW1の位置が異なることにより、DDoS攻撃の及ぶ範囲に違いがあることが分かります。
BGPルータ1でDDoS攻撃を破棄することで、BGPルータ1〜ルータ〜FW1間への他の通信への影響をなくすことができます。
解答例では攻撃元に近いところで遮断するとしていて抽象的な感じもしますが、具体的な影響区間を示す解答でもよかったかもしれません。
下線⑤において、RTBH方式と比較したBGP Flowspec方式の長所は何か。30字以内で答えよ。:より細かい条件で選別して破棄することができる。
「Xさんは、⑤BGP Flowspec方式の方が有用であると考え、E社技術担当者に早期提供をするよう依頼した。」
前の設問のとおり、RTBH方式ではDDoS攻撃の対象となっている宛先IPアドレスへの通信を遮断する方式です。
つまり、DDoS攻撃以外の正常な通信も遮断してしまいます。
これは、RTBH方式ではBGPルータのルーティングテーブルの仕組み、つまり、宛先IPアドレスを制御対象として、当該宛先IPアドレスをホスト経路とし廃棄用インタフェース宛てに設定するようにしているためです。
一方、BGP Flowspec方式では、「BGP Flowspec方式では、DDoS検知サーバからのiBGPピアリングで、DDoS攻撃の宛先IPアドレスだけではなく、DDoS攻撃の送信元IPアドレス、宛先ポート番号などを組み合わせてBGPルータに広告して該当の通信をフィルタリングすることができる。」とあるように、宛先IPアドレスに加えて送信元IPアドレス、宛先ポート番号といったより細かな(←Flowのspecification)通信を対象にすることができます。
これはBGP Flowspec方式では、アクセスリストを使って経路制御しているためです。
これにより、正常な通信とDDoS攻撃用の通信を選別して制御することができます。