アタックVS連合軍(事業部xＣＳxシステム) https://gmohoscon.connpass.com/event/49184/ 外部からのアタックは日々増加しています。それら各種アタックやクラックなどに対しGMOインターネットでは、事業担当/カスタマーサービス担当/システム担当の各部署から有志を募り、部署横断で「サービス安定化対策プロジェクト」を実施しています。今回は、その中の幾つかをご紹介させていただきます。

1. アタック VS 連合軍 (事業部 x CS x システム)
GMOインターネット株式会社
システム本部
割田 太郎
防
衛
あ
ん
し
ん

2. 2
・自己紹介
・アタックへの取組み
・実証済みアイテムの紹介
・まとめ
アジェンダ

3. 3
割田 太郎 Taro Warita
自己紹介
システム本部 システムオペレーション開発部
クオリティアシュアランスチーム
マネージャ
業務内容
多角的にサービスの品質維持+向上を支援
①サービスの安定提供の為の各種対策
②IPアドレスの管理
③開発と運用の分離促進対策
④各種 事務局の仕事
( ITSMS/ISMS申請, 危機管理, データセンタ全般,セキュリティ全般 )
目次⇒

4. 4
・自己紹介
・アタックへの取組み
>> 安心
・実証済みアイテムの紹介
・まとめ
アジェンダ

5. 5
アタックへの取組み
一覧 ⇒
サービス環境を脅かす
Q:アタック(Attack)には
どのようなものが
ありますか？
アタックの定義

6. 6
アタックへの取組み
アタックの定義
今回は、その中でも⇒
DDoS
DoSハッキング
脆弱性利用型
マルウェア感染
不正入会・利用
内部からのアタック
不正利用型
不正アクセス
物量型
リスト攻撃
XSS
SQLi
高Session

7. 7
アタックへの取組み
アタックの定義
DDoS攻撃の意味は⇒
DDoS攻撃
今回フォーカスするのは

8. 8
アタックへの取組み
アタックの定義
Dos攻撃 ドス攻撃
(Denial of Service attack : ディナイル オブ サービス アタック）
Denail = "拒否"/"否認"/"拒絶"
日本語では、サービス停止攻撃とかいいますね。
サーバやネットワークなどのリソース(CPU/メモリ/帯域)に対して意図的に過剰な負荷をかける攻撃
DDoS攻撃 ディードス攻撃
(Distributed Denial of Service attack : ディストリビューテッド ディナイル オブ サービス アタック）
Distributed = "分配する"/"配る"
日本語では、分散Dos攻撃/分散型サービス停止攻撃
DoS攻撃の送信元が複数の場合の名称がこちらになります。
次は現状理解 ⇒

9. 9
アタックへの取組み
アタックの状況
Q:アタックの
頻度と規模は？
正解は ⇒

10. 10
アタックへの取組み
アタックの状況
頻度
月15回～30回程度
(1G以上のもの)
２日に１回から2回
これらアタックへ対応する為に ⇒
規模
平均3.5Gbps程度
12月の最大値 14.3Gbps
0
5
10
15
20
2016年10月 2016年11月 2016年12月 2017年1月 2017年2月
UDP:NTP関連 19 9 15 9 19
その他 6 5 12 6 5
件数推移
0.00
2.00
4.00
6.00
8.00
10.00
12.00
14.00
16.00
2016年10月 2016年11月 2016年12月 2017年1月 2017年2月
平均帯域(Gbps) 3.75 3.92 3.32 3.31 2.40
最大値(Gbps) 12.35 6.37 14.32 5.25 6.15
規模

11. 11
アタックへの取組み
まずは人員の体制強化 ⇒
体制強化の為に
何をすれば？！

12. 12
アタックへの取組み
まずは人員の体制強化 ⇒
1.人員強化(組織強化)
2.情報強化
3.枠組み強化
体制強化

13. 13
アタックへの取組み
体制強化(その1) = 人員強化 連合軍の結成
人員の体制の次は ⇒
事業部
シス
テム
カスマー
サービス
週１回キープ実施
チャットで
随時情報交換
アイディア
出し合い
各部署内とも
参加メンバが
中心となり調整
対策を横展開
連合軍(れんごうぐん)の結成

14. 14
アタックへの取組み
体制強化(その2) = 情報強化 各セグメントで情報収集
OpenStack
傾向情報
情報整備の後は⇒
DDos
対策機器
基幹
ルータ
弊社管理
各種機器
検知ログ
傾向情報OpenvSwtich
情報ログ
帯域情報
基幹ルータからNetFlow情報
DDoS対策機器のアタックログ
管理機器への異常通信ログ
OpenvSwitchから傾向情報取得
OpenStack基盤から課金用帯域情報
外部 情報 外部ブラックリスト/JPCERT:CC
Abuse連絡など

15. 15
アタックへの取組み
体制強化(その３) = 枠組み強化 基本サイクル作成
実際の代表的な成果としては ⇒
•情報収集(仕組み作り)
•分析
•対策方法検討
•手動での実施
•自動化対応
•導入(逐次＋定期MTG)
•横展開(継続的対応)
ログや傾向情報
判断の為の分析
実利用検討
まずはナレッジ
作業効率化
実利用開始
他環境でも！

16. 16
アタックへの取組み
代表的な実施成果
①DDoS対策機器強化(環境強化)
現状を分析＋報告し予算確保
②アタック自動分析(対応迅速化)
傾向分析情報を利用
③Abuseへの対処迅速化(原因軽減)
etc
もうすこしDDoSの部分掘り下げますね ⇒

17. 17
アタックへの取組み
説明
DDoS対策機器の動き
①基幹ルータのFlow情報を元に通信監視
②アタック検知時には、該当通信をBGPで制御し
該当通信をCleanBOX経由に切り替える
③CleanBOXでアタック判別を自動実施
④正常通信は通常経路に戻しアタックは破棄
他含めた対応としては ⇒

18. 18
アタックへの取組み
通信制限の取組み
DDoS
対策機器
•[CleanBOX]で
アタックと正常通信を自動判断し
アタックのみ停止(自動)
Flowspec
• フロースペック機能等で
アタック情報を元に
特定通信のみ制限(管理者)
アタック先IPでの通信制限を少しでも減らす為に
常に環境増強すると共に
新しい対策を常に考え
実施していきます！
逐次増強
自動対応
強化
削減

19. 19
アタックへの取組み
お持ち帰りのもの確認
安 心
では２つ目のお話に行きます ⇒

20. 20
・自己紹介
・アタックへの取組み
・実証済みアイテムの紹介
>> 運用に行かせるアイディア
・まとめ
アジェンダ

21. 21
実証済みアイディアの紹介
チャットBOTの運用
こんな感じの使い方 ⇒
[利用内容]
・決まった文字列に反応と情報に
反応させ
各種情報を表示
[技術的内容]
・チャット側公開API(REST)利用
・HubotやAPIモジュールをつくり展開

22. 22
実証済みアイディアの紹介
チャットBOTの運用
また、ほかには ⇒
『アタック VS 連合軍』
1.アタックへの取組み
2.実証済みアイディアの紹介
[神様]HosCon 割田太郎
BOT-API 2月16日19:21
BOT
割田 2月16日19:20
[IP] 192.168.0.100
[SERVICE] HosCon2017
[VM-NO] 150-8512
割田 2月16日19:22
BOT
[神様]USER 192.168.0.100
BOT-API 2月16日19:23
1.ＢＯＴ用の書き込みである宣言
[神様]
2.BOTに下記①②を渡す
①実行コマンド
HosCon: 発表内容表示
USER : 商材と利用VM情報
②付加情報
名称 や IPアドレス
3.BOTから①②を元に
各種情報が表示される
付帯効果 ⇒

23. 23
実証済みアイディアの紹介
チャットBOTの運用
少し小ネタ ⇒
[導入しての付帯効果]
①利用頻度が見える
②利用者が見える
③要望を直接利用者から聞ける
④利用者も要望を開発者に
言いやすい
利用と改善の良いサイクル

24. 24
実証済みアイディアの紹介
チャットBOTの運用
アイディアの２つ目は ⇒
[技術メモ]
ChatWorkのAPIを手軽に
試したいときに
はまる日本語変換の知恵
perl -Xpne 's/¥¥u([0-9a-fA-F]{4})/chr(hex($1))/eg'
curl -X GET -H "X-ChatWorkToken:xxxxxxxxxxxxxx” ¥
“https://api.chatwork.com/v1/rooms/[ROOM]/messages?force=0" | ¥
sed 's/¥"message_id/¥n¥"message_id/g' | ¥
perl -Xpne 's/¥¥u([0-9a-fA-F]{4})/chr(hex($1))/eg'

25. 25
実証済みアイディアの紹介
プライベートWHOISの運用
実際の利用はこんな感じ ⇒
[利用目的]
・IPアドレスに関する情報の集約
・各種情報回答(利用ブランド,環境,連絡先etc)
[技術情報]
JWhoisServer利用(Java Whois Server 0.4.1.3)

26. 26
実証済みアイディアの紹介
プライベートWhoisの運用
[wari]$whois –h privatewhois 210.xxx.20.100
network: 210.xxx.20.128/26
inetnumstart: 210.xxx.20.128
inetnumend: 210.xxx.20.191
[gmo_info]
size: 64
organization: GMO Internet
Brand: HosCon-SERVER
network_name: GMOCL-SENYO
control_flg: OFF
dc: SHIBUYA
Whoisコマンドで、迅速に情報を
機械的に取得することが出来るようになる
該当IPが参加する
IP範囲の情報
該当IPの用途や
付加情報を取得
これをBOTと連携 ⇒

27. 27
実証済みアイディアの紹介
プライベートWhoisの運用
network: 210.xxx.20.128/26
inetnumstart: 210.xxx.20.128
inetnumend: 210.xxx.20.191
[gmo_info]
size: 64
organization: GMO Internet
Brand: HosCon-SERVER
network_name: GMOCL-SENYO
control_flg: OFF
dc: SHIBUYA
割田 2月16日19:25
BOT
[神様]WHOIS 210.xxx.20.100
BOT-API 2月16日19:25
付帯効果としては ⇒
1.ＢＯＴ用の書き込みである宣言
[神様]
2.BOTに下記①②を渡す
①実行コマンド
WHOIS : プライベートWHOIS
②付加情報
IPアドレス
3.BOTから①②を元に
ＷＨＯＩＳ情報が表示される

28. 28
実証済みアイディアの紹介
プライベートWhoisの運用
[導入しての付帯効果]
①各種自動化の足掛かりになる
②IPの利用内容確認の時間短縮
③他部署からの利用参照業務解消
では まとめ ⇒

29. 29
実証済みアイディアの紹介
まとめ
1.アタックへの取組み(安心)
2.運用のアイディア２つ
プライベートWHOIS運用
チャットBOT運用
ご清聴ありがとうございました。