JT4-02 フローネットワークへの DDoS 攻撃対策技術の研究 発表者 1BJT1208 雨森 梓 指導教員 村山 純一 教授 1. はじめに データセンタ向けの通信基盤として、OpenFlowが 注目されている。OpenFlow は、フロー単位の転送を 行う OpenFlow スイッチ(OF-SW)と、高機能なスイッ チ制御を行う OpenFlow コントローラ(OF-CTL)で構 成される。このうち後者は、セキュリティの脆弱性が 懸念されている[1]。そこで、本研究では、OF-CTL への攻撃対策を施すことを目標とする。 経路通知機能 (3)経路変更依頼 長時間フロー 評価実験 図2のルータ機能のプロトタイプを実装し、その フィージビリティ検証を行った。実験条件を表1に示 す。ログ等の確認により、実装した提案機能が動作 することを確認できた。 表1:実験条件 機能 パケット転送機能 (ルータ転送機能) フロー識別機能 (ルータ転送機能) 経路通知機能 (ルータ転送機能) 経路通知機能 フロー判定条件 フロー粒度 OpenFlow スイッチ OpenFlow コントローラ クライアント サーバ アプリケーション (3) 経路設定応答 ルータ (1) パケット入力 カスタマ サーバ (4) パケット出力 送信元アドレスを偽り、毎回違えた送信 図1:OpenFlow のパケット転送モデルと攻撃モデル 4. 攻撃対策 提案の攻撃対策を図 2 に示す。この対策では、 OF-CTL の経路制御負荷を減少させるために、 OF-SW と OF-CTL の間に、ルータ機能を挿入する。 初期状態では、OF-SW に入力されたパケットを全て ルータ機能に転送し、ルータ機能において、出力先 を決定し、パケット転送を行う。 ルータ機能は、パケット転送時に、フローとしての 継続時間を推定する。もし、フローが長時間継続す ると判断した場合は、OF-CTL へ通知し、転送経路 をカットスルー経路に切り替える。この経路は、ルー タ機能を経由せず、OF-SW が出力先を選択する。 (1)ルータ経由転送 5. インターネット OF- W OF- W (4)カットスルー転送 図2:OpenFlow コントローラへの攻撃対策 データセンタ ホスト パケット入力 パケット出力 カスタマ サーバ 攻撃モデル 攻撃ホストは、OF-SW が入力パケットの出力先を 決められないようなパケットを、多数送信する。例え ば、図 1 の点線部のように、送信元アドレスを偽り、 毎 回 違 え て 送 信 す る 。 こ の 結 果 、 OF-CTL の OF-SW 負荷が異常増加する。また処理能力を超え ると、転送処理に支障が生じ、サービス妨害される。 OF-C L パケット転送機能 短時間フロー 3. (2) 経路設定依頼 フロー識別機能 ルータ 機能 (4)カットスルー 転送経路設定 2. パケット転送モデル OF-SW は、任意粒度のフロー単位にパケットの 転送経路を設定できる。この設定は OF-CTL が次 の通りに行う(図1も参照)。 (1) フローの先頭パケットが OF-SW へ入力 (2) OF-SW が出力先を決定できず、OF-CTL へ 該当フローの経路設定を依頼 (3) OF-CTL が OF-SW に経路を設定 (4) OF-SWが設定経路に従い入力パケットを出力 経路制御信号 OF-C L 実装 CentOS6.4 Ruby 1.9.3p551 Mongo DB 2.6.7 手動 宛先/送信元 IP アドレス 10 パケット/分 Open vSwitch 1.10.0 Trema 0.4.4 CentOS6.4 CentOS6.4 ping 6. おわりに 本研究により、OpenFlow コントローラへのサービ ス妨害攻撃による影響の緩和が期待される。短時間 しか継続しないフローは、スループット要求よりは、 遅延要求の方が厳しいことも多く、ルータ機能による 転送は親和性が高いと考えられる。また、長時間継 続するフローは、スループット要求が厳しいことが多 いため、OpenFlow スイッチによるカットスルー転送 が有効であると考えられる。将来的な課題は、経路 切り替えタイミングの最適化と、ルータ機能への異常 フローの検出・遮断機能の追加である。 参考文献 [1] 宮田 他、「OpenFlow を用いたプロセスオートメーション 向け帯域制御セキュリティ確保の研究」、信学和文誌 D Vol.J97-D No6 pp.1068-1081、2014 .
© Copyright 2024 ExpyDoc
