SlideShare a Scribd company logo

バックボーン運用から見るインターネットの実情

IIJ
IIJ

[2020/12/14~17開催「IIJ Technical WEEK 2020」の講演資料です] バックボーンを運用していると日々さまざまなインシデントが発生します。そこから垣間見えるインターネットの実情と、それに対してIIJがどう取り組んでいるかを説明します。 講演者:IIJ 基盤エンジニアリング本部 ネットワーク技術部 ネットワーク運用課長 堀 高房

Internet
1 of 14
Download to read offline
IIJ Technical WEEK 2020 バックボーン運⽤から⾒るインターネットの実情 IIJ/AS2497 hori
IIJのバックボーンネットワーク • MPLS基盤上に様々なIPネットワークを構築 • ⽇本を中⼼に北⽶、アジア、ヨーロッパへ展開 • 40+ POP、15 IX、3,500+ノード https://www.iij.ad.jp/company/backbone/ MPLS(L2VPN) IPBackbone (AS2497) L3VPN EPC WDM 専⽤線(外部調達) … … … サービス Broadband
設計・運⽤ポリシー • Keep it simple. • セオリー、運⽤者の直感、開発者の意図に反しないシンプルな設計 • 複雑で汚いネットワークはミスを誘発し、バグを踏み抜く • 良いネットワークは美しい • SPOF ダメ。ゼッタイ。 • メーカ、アーキテクチャ、OS • キャリア、ファイバルート、ケーブルシステム、監視システム、NOC • それでも様々な要因によるインシデントは絶えない😰 • 監視で検知するインシデントは⽉間およそ700件 • 多くは単純な機器や回線故障だが、中には厄介なものも…
DDoS - インシデントの代表格 • 最近の傾向 • (バックボーンレベルで対処するのは) 今も昔も単純なUDP Flood • 短時間 & 数10Gbpsが⼤半、⻑時間 & 100Gbps超がときどき • (推測) 政治的思想から⾦銭⽬的に、脆弱なPCからIoTデバイスに、 アジアからヨーロッパに変化 https://www.iij.ad.jp/dev/report/iir/046.html 2019年 DDoS観測情報サマリ
DDoS - IIJとDDoSの歴史 • 最初期 (200x年) • 政治的軋轢をきっかけとした官公庁宛攻撃への対処がその起源 • ルータやFirewallで挑み、当然の如く惨敗 • 専⽤装置を取り寄せ急遽導⼊、そのノウハウを活かしサービス化 • 初期 (2005年頃) • インライン(平常時から装置を経由)/集約型。数Gbps • 中期 (2012年頃) • オフライン(xFlowで検知、BGPで装置に誘導)/集約型。数10Gbps • 現在 (2017年頃) • オフライン/分散型(世界各地にScrubbing Centerを展開)。数Tbps
DDoS - 攻撃対象に応じた戦略 • DDoS対策サービスを契約している顧客 • 直接的にお⾦が得られる😋 • 顧客に応じたオーダーメイドの⾼度な防御 • ⾃社インフラ • ネットワーク、サーバへの直接攻撃。顧客宛の流れ弾も • 事前の策は講じやすい • DDoS対策サービスを契約していない顧客 • 実はここが⼀番厄介 • 他の顧客への波及を防ぐのが第⼀優先、防御ではなく遮断
DDoS - はじめの⼀歩から将来へ • 何はともあれモニタリング • xFlowは必須 • 輻輳の迅速な検知にはTelemetryも • DDoS対策専⽤装置の導⼊ • コストに⾒合うメリットを⾒出せるか? • オフライン型装置に誘導/防御した後の考慮 (ルーティング、帯域) • 単純な物量攻撃に専⽤装置はコスパ悪し • 多層化でキャパシティを⼤幅UP ← IIJはイマココ • ”防御”ではなく”遮断”なら⾼価な専⽤装置は不要 (RTBHやFlowspec)
イベントトラフィック - トラフィックは突然に • とある穏やかな午後、突如として⽇⽶間のトラフィックが倍増 • 障害やメンテナンスで数本の回線が使えない最悪のタイミング😭 • 送信元は⼤⼿CDN • 北⽶のみならず世界各地から流⼊ とある⽇の⽇⽶間トラフィック
イベントトラフィック - トラフィックは突然に • SNSで調べてみると… • (偶然?)⼈気ゲームの⼤型アップデートが複数同時リリースされていた • 社内のゲーマーに確認 • ネットワーク屋泣かせのトラフィック • 昔はP2PやOSアップデート、今はゲームのアップデート • 数10GB/⼈ x 数千? 数万?ユーザが⼀⻫ダウンロード • ある意味DDoSだが全て正規の通信、運ぶしかない • 本当のDDoSのほうが対処しやすい😎 アップデート
イベントトラフィック - CDNのご利⽤は計画的に • CDNのトラフィックは神出⻤没 • CDNとの接続帯域、CDN⾃体の設備帯域次第 • ⾜りないと海を越えてあらゆるところから流⼊ • ライブ等、動画配信も要注意 • 東京オリンピック、テレビ放送と連動した配信 • IIJもグループに が… (ご迷惑をおかけしていたらすみません) • 事業者間情報共有の枠組みが必要 • 実はCDN事業者も把握しきれていない? • CDNを使うサービス提供者にも⼯夫を促したい
経路障害 - 安⼼してください、漏らしてませんから • つい先⽇、海外のとあるASからこんな問い合わせが… • ピアの経路をピアに漏らすのはご法度 • 調べるも漏らした形跡はない。そもそもそんな経路はあり得ない • 何者かが経路を詐称し広告した可能性 • その後AS xとの連絡は途絶え真相究明には⾄らず、実害も不明 AS a AS2497 AS b AS c AS x “AS a, AS2497, AS c, AS x”というAS-PATHの経路がある 君たちがAS aに経路リークしているから停めてくれ
経路障害 - 知らぬが仏と⾔うけれど • 経路障害は今この瞬間も起きている…かも • 故意か過失かを問わず • 世間を騒がし明るみに出るのは氷⼭の⼀⾓ • そもそも何が正しいかを誰も知らない • インターネットの経路交換は⾃⼰申告の世界 • インターネットは奇跡的になんとか成り⽴っている • ⼈類が依存するにはあまりに脆弱 • (⼀⽅で、依存してもいいかと思う程度には安定してるのがおもしろい)
経路障害 - 信頼性向上の取り組み https://storage.googleapis.com/site-media-prod/meetings/NANOG79/2198/20200530_Snijders_Lessons_Learned_Ntt_S_v1.pdf IIJ(予定) • RPKIによる送信元ASの検証 (ROV: Route Origin Validation) • Draft 2008年、RFC6811 2013年を経て、ここ数年各ASで導⼊が盛ん • IIJ/AS2497もデプロイ中完了👍 保有IPのROAも順次作成中 • ROVが防ぐ経路障害はごく⼀部 • 今後も信頼性向上の取り組みは続く
まとめに代えて (個⼈の感想です) • インターネットの重要性とそれに関わる楽しさを再認識した1年 • インターネット、さらにはバックボーン復権の時代 • 今をときめく最先端領域にも引けを取らない陽の当たるべき仕事 • 社内でプレゼンス向上活動を実施中。社外の⽅もぜひ • IIJ/AS2497は今後もコミュニティと共にインターネットの発展に 寄与します • Come join us!

Recommended

ISPネットワーク運用で覗いてるもの
ISPネットワーク運用で覗いてるものISPネットワーク運用で覗いてるもの
ISPネットワーク運用で覗いてるもの
Taiji Tsuchiya
 
ISPの向こう側、どうなってますか
ISPの向こう側、どうなってますかISPの向こう側、どうなってますか
ISPの向こう側、どうなってますか
Akira Nakagawa
 
インターネットの仕組みとISPの構造
インターネットの仕組みとISPの構造インターネットの仕組みとISPの構造
インターネットの仕組みとISPの構造
Taiji Tsuchiya
 
本当は楽しいインターネット
本当は楽しいインターネット本当は楽しいインターネット
本当は楽しいインターネット
Yuya Rin
 
ネットワークエンジニアはどこでウデマエをみがくのか?
ネットワークエンジニアはどこでウデマエをみがくのか?ネットワークエンジニアはどこでウデマエをみがくのか?
ネットワークエンジニアはどこでウデマエをみがくのか?
Yuya Rin
 
インターネットの舞台裏
インターネットの舞台裏インターネットの舞台裏
インターネットの舞台裏
Taiji Tsuchiya
 
IX事業者とインターネットの未来
IX事業者とインターネットの未来IX事業者とインターネットの未来
IX事業者とインターネットの未来
Yoshiki Ishida
 
あなたのところに専用線が届くまで
あなたのところに専用線が届くまであなたのところに専用線が届くまで
あなたのところに専用線が届くまで
Tomohiro Sakamoto(Onodera)
 

Recommended

ISPネットワーク運用で覗いてるもの
ISPネットワーク運用で覗いてるものISPネットワーク運用で覗いてるもの
ISPネットワーク運用で覗いてるもの
Taiji Tsuchiya
 
ISPの向こう側、どうなってますか
ISPの向こう側、どうなってますかISPの向こう側、どうなってますか
ISPの向こう側、どうなってますか
Akira Nakagawa
 
インターネットの仕組みとISPの構造
インターネットの仕組みとISPの構造インターネットの仕組みとISPの構造
インターネットの仕組みとISPの構造
Taiji Tsuchiya
 
本当は楽しいインターネット
本当は楽しいインターネット本当は楽しいインターネット
本当は楽しいインターネット
Yuya Rin
 
ネットワークエンジニアはどこでウデマエをみがくのか?
ネットワークエンジニアはどこでウデマエをみがくのか?ネットワークエンジニアはどこでウデマエをみがくのか?
ネットワークエンジニアはどこでウデマエをみがくのか?
Yuya Rin
 
インターネットの舞台裏
インターネットの舞台裏インターネットの舞台裏
インターネットの舞台裏
Taiji Tsuchiya
 
IX事業者とインターネットの未来
IX事業者とインターネットの未来IX事業者とインターネットの未来
IX事業者とインターネットの未来
Yoshiki Ishida
 
あなたのところに専用線が届くまで
あなたのところに専用線が届くまであなたのところに専用線が届くまで
あなたのところに専用線が届くまで
Tomohiro Sakamoto(Onodera)
 
さくらのVPS で IPv4 over IPv6ルータの構築
さくらのVPS で IPv4 over IPv6ルータの構築さくらのVPS で IPv4 over IPv6ルータの構築
さくらのVPS で IPv4 over IPv6ルータの構築
Tomocha Potter
 
wakamonog6 インターネットの裏側の仕組み
wakamonog6 インターネットの裏側の仕組みwakamonog6 インターネットの裏側の仕組み
wakamonog6 インターネットの裏側の仕組み
Taiji Tsuchiya
 
安定したネットワークを提供するためのラック内環境を考えてみる
安定したネットワークを提供するためのラック内環境を考えてみる安定したネットワークを提供するためのラック内環境を考えてみる
安定したネットワークを提供するためのラック内環境を考えてみる
Tomohiro Sakamoto(Onodera)
 
Geekなぺーじ ネットワーク技術者ではない方々向けIPv6セミナー2
Geekなぺーじ ネットワーク技術者ではない方々向けIPv6セミナー2Geekなぺーじ ネットワーク技術者ではない方々向けIPv6セミナー2
Geekなぺーじ ネットワーク技術者ではない方々向けIPv6セミナー2
Kiyotaka Doumae
 
エンジニアのキャリアパスを考える 川村
エンジニアのキャリアパスを考える 川村エンジニアのキャリアパスを考える 川村
エンジニアのキャリアパスを考える 川村
wakamonog
 
100 G超通信時代の安定した高品質な伝送インフラ構築づくり
100 G超通信時代の安定した高品質な伝送インフラ構築づくり100 G超通信時代の安定した高品質な伝送インフラ構築づくり
100 G超通信時代の安定した高品質な伝送インフラ構築づくり
Tomohiro Sakamoto(Onodera)
 
IPv6 最新動向 〜世界共通語で最適化が進むインターネット〜
IPv6 最新動向 〜世界共通語で最適化が進むインターネット〜IPv6 最新動向 〜世界共通語で最適化が進むインターネット〜
IPv6 最新動向 〜世界共通語で最適化が進むインターネット〜
Akira Nakagawa
 
Wakamonog6 “ISPのネットワーク”って どんなネットワーク?
Wakamonog6 “ISPのネットワーク”って どんなネットワーク?Wakamonog6 “ISPのネットワーク”って どんなネットワーク?
Wakamonog6 “ISPのネットワーク”って どんなネットワーク?
Satoshi Matsumoto
 
絶対に止まらないバックボーン
絶対に止まらないバックボーン絶対に止まらないバックボーン
絶対に止まらないバックボーン
IIJ
 
AS45679 on FreeBSD
AS45679 on FreeBSDAS45679 on FreeBSD
AS45679 on FreeBSD
Tomocha Potter
 
閉域網接続の技術入門
閉域網接続の技術入門閉域網接続の技術入門
閉域網接続の技術入門
Masayuki Kobayashi
 
IIJmio meeting #3 スピードテストについて考える
IIJmio meeting #3 スピードテストについて考えるIIJmio meeting #3 スピードテストについて考える
IIJmio meeting #3 スピードテストについて考える
techlog (Internet Initiative Japan Inc.)
 
545人のインフラを支えたNOCチーム!
545人のインフラを支えたNOCチーム!545人のインフラを支えたNOCチーム!
545人のインフラを支えたNOCチーム!
Masayuki Kobayashi
 
Equinix osaka multi-cloud_day20190621
Equinix osaka multi-cloud_day20190621Equinix osaka multi-cloud_day20190621
Equinix osaka multi-cloud_day20190621
Kiyomichi Arai
 
作って(壊して?)学ぶインターネットのしくみ サイバーエージェントの実験用ASの紹介 / Introduce experimental AS in ...
作って(壊して?)学ぶインターネットのしくみ サイバーエージェントの実験用ASの紹介 / Introduce experimental AS in ...作って(壊して?)学ぶインターネットのしくみ サイバーエージェントの実験用ASの紹介 / Introduce experimental AS in ...
作って(壊して?)学ぶインターネットのしくみ サイバーエージェントの実験用ASの紹介 / Introduce experimental AS in ...
whywaita
 
ルータコンフィグのGit管理のススメ 〜Git管理以外を自動化してみた〜
ルータコンフィグのGit管理のススメ 〜Git管理以外を自動化してみた〜ルータコンフィグのGit管理のススメ 〜Git管理以外を自動化してみた〜
ルータコンフィグのGit管理のススメ 〜Git管理以外を自動化してみた〜
Taiji Tsuchiya
 
データセンターのエネルギーコントロールの仕組み
データセンターのエネルギーコントロールの仕組みデータセンターのエネルギーコントロールの仕組み
データセンターのエネルギーコントロールの仕組み
IIJ
 
大規模DCのネットワークデザイン
大規模DCのネットワークデザイン大規模DCのネットワークデザイン
大規模DCのネットワークデザイン
Masayuki Kobayashi
 
フロー技術によるネットワーク管理
フロー技術によるネットワーク管理フロー技術によるネットワーク管理
フロー技術によるネットワーク管理
Motonori Shindo
 
OpenWRTとIPv6で高速インターネット!
OpenWRTとIPv6で高速インターネット!OpenWRTとIPv6で高速インターネット!
OpenWRTとIPv6で高速インターネット!
KageShiron
 
Development and Deployment of Video over IP Technology
Development and Deployment of Video over IP TechnologyDevelopment and Deployment of Video over IP Technology
Development and Deployment of Video over IP Technology
Bunji Yamamoto
 
本当は恐いビッグデータとネットワークの深~い関係 ビッグデータ時代に耐えうるデータセンターとは?
本当は恐いビッグデータとネットワークの深~い関係 ビッグデータ時代に耐えうるデータセンターとは?本当は恐いビッグデータとネットワークの深~い関係 ビッグデータ時代に耐えうるデータセンターとは?
本当は恐いビッグデータとネットワークの深~い関係 ビッグデータ時代に耐えうるデータセンターとは?
Brocade
 

More Related Content

What's hot

絶対に止まらないバックボーン
絶対に止まらないバックボーン絶対に止まらないバックボーン
絶対に止まらないバックボーン
IIJ
 

What's hot (20)

さくらのVPS で IPv4 over IPv6ルータの構築
さくらのVPS で IPv4 over IPv6ルータの構築さくらのVPS で IPv4 over IPv6ルータの構築
さくらのVPS で IPv4 over IPv6ルータの構築
 
wakamonog6 インターネットの裏側の仕組み
wakamonog6 インターネットの裏側の仕組みwakamonog6 インターネットの裏側の仕組み
wakamonog6 インターネットの裏側の仕組み
 
安定したネットワークを提供するためのラック内環境を考えてみる
安定したネットワークを提供するためのラック内環境を考えてみる安定したネットワークを提供するためのラック内環境を考えてみる
安定したネットワークを提供するためのラック内環境を考えてみる
 
Geekなぺーじ ネットワーク技術者ではない方々向けIPv6セミナー2
Geekなぺーじ ネットワーク技術者ではない方々向けIPv6セミナー2Geekなぺーじ ネットワーク技術者ではない方々向けIPv6セミナー2
Geekなぺーじ ネットワーク技術者ではない方々向けIPv6セミナー2
 
エンジニアのキャリアパスを考える 川村
エンジニアのキャリアパスを考える 川村エンジニアのキャリアパスを考える 川村
エンジニアのキャリアパスを考える 川村
 
100 G超通信時代の安定した高品質な伝送インフラ構築づくり
100 G超通信時代の安定した高品質な伝送インフラ構築づくり100 G超通信時代の安定した高品質な伝送インフラ構築づくり
100 G超通信時代の安定した高品質な伝送インフラ構築づくり
 
IPv6 最新動向 〜世界共通語で最適化が進むインターネット〜
IPv6 最新動向 〜世界共通語で最適化が進むインターネット〜IPv6 最新動向 〜世界共通語で最適化が進むインターネット〜
IPv6 最新動向 〜世界共通語で最適化が進むインターネット〜
 
Wakamonog6 “ISPのネットワーク”って どんなネットワーク?
Wakamonog6 “ISPのネットワーク”って どんなネットワーク?Wakamonog6 “ISPのネットワーク”って どんなネットワーク?
Wakamonog6 “ISPのネットワーク”って どんなネットワーク?
 
絶対に止まらないバックボーン
絶対に止まらないバックボーン絶対に止まらないバックボーン
絶対に止まらないバックボーン
 
AS45679 on FreeBSD
AS45679 on FreeBSDAS45679 on FreeBSD
AS45679 on FreeBSD
 
閉域網接続の技術入門
閉域網接続の技術入門閉域網接続の技術入門
閉域網接続の技術入門
 
IIJmio meeting #3 スピードテストについて考える
IIJmio meeting #3 スピードテストについて考えるIIJmio meeting #3 スピードテストについて考える
IIJmio meeting #3 スピードテストについて考える
 
545人のインフラを支えたNOCチーム!
545人のインフラを支えたNOCチーム!545人のインフラを支えたNOCチーム!
545人のインフラを支えたNOCチーム!
 
Equinix osaka multi-cloud_day20190621
Equinix osaka multi-cloud_day20190621Equinix osaka multi-cloud_day20190621
Equinix osaka multi-cloud_day20190621
 
作って(壊して?)学ぶインターネットのしくみ サイバーエージェントの実験用ASの紹介 / Introduce experimental AS in ...
作って(壊して?)学ぶインターネットのしくみ サイバーエージェントの実験用ASの紹介 / Introduce experimental AS in ...作って(壊して?)学ぶインターネットのしくみ サイバーエージェントの実験用ASの紹介 / Introduce experimental AS in ...
作って(壊して?)学ぶインターネットのしくみ サイバーエージェントの実験用ASの紹介 / Introduce experimental AS in ...
 
ルータコンフィグのGit管理のススメ 〜Git管理以外を自動化してみた〜
ルータコンフィグのGit管理のススメ 〜Git管理以外を自動化してみた〜ルータコンフィグのGit管理のススメ 〜Git管理以外を自動化してみた〜
ルータコンフィグのGit管理のススメ 〜Git管理以外を自動化してみた〜
 
データセンターのエネルギーコントロールの仕組み
データセンターのエネルギーコントロールの仕組みデータセンターのエネルギーコントロールの仕組み
データセンターのエネルギーコントロールの仕組み
 
大規模DCのネットワークデザイン
大規模DCのネットワークデザイン大規模DCのネットワークデザイン
大規模DCのネットワークデザイン
 
フロー技術によるネットワーク管理
フロー技術によるネットワーク管理フロー技術によるネットワーク管理
フロー技術によるネットワーク管理
 
OpenWRTとIPv6で高速インターネット!
OpenWRTとIPv6で高速インターネット!OpenWRTとIPv6で高速インターネット!
OpenWRTとIPv6で高速インターネット!
 

Similar to バックボーン運用から見るインターネットの実情

New IP へのステップ その1) Fabric – すべての基本はファブリックにあり
New IP へのステップ その1) Fabric – すべての基本はファブリックにありNew IP へのステップ その1) Fabric – すべての基本はファブリックにあり
New IP へのステップ その1) Fabric – すべての基本はファブリックにあり
Brocade
 
IBM Blockchain Solutionを支えるIBM Blockchain Platform | 日本アイ・ビー・エム株式会社 栗村 彰吾
IBM Blockchain Solutionを支えるIBM Blockchain Platform | 日本アイ・ビー・エム株式会社 栗村 彰吾IBM Blockchain Solutionを支えるIBM Blockchain Platform | 日本アイ・ビー・エム株式会社 栗村 彰吾
IBM Blockchain Solutionを支えるIBM Blockchain Platform | 日本アイ・ビー・エム株式会社 栗村 彰吾
blockchainexe
 

Similar to バックボーン運用から見るインターネットの実情 (20)

Development and Deployment of Video over IP Technology
Development and Deployment of Video over IP TechnologyDevelopment and Deployment of Video over IP Technology
Development and Deployment of Video over IP Technology
 
本当は恐いビッグデータとネットワークの深~い関係 ビッグデータ時代に耐えうるデータセンターとは?
本当は恐いビッグデータとネットワークの深~い関係 ビッグデータ時代に耐えうるデータセンターとは?本当は恐いビッグデータとネットワークの深~い関係 ビッグデータ時代に耐えうるデータセンターとは?
本当は恐いビッグデータとネットワークの深~い関係 ビッグデータ時代に耐えうるデータセンターとは?
 
サーバを仮想化したのにネットワークはこれまで通りでいい?←いや、いや、そんなわけないでしょ
サーバを仮想化したのにネットワークはこれまで通りでいい?←いや、いや、そんなわけないでしょサーバを仮想化したのにネットワークはこれまで通りでいい?←いや、いや、そんなわけないでしょ
サーバを仮想化したのにネットワークはこれまで通りでいい?←いや、いや、そんなわけないでしょ
 
インフラセキュリティブートキャンプ #seccamp
インフラセキュリティブートキャンプ #seccampインフラセキュリティブートキャンプ #seccamp
インフラセキュリティブートキャンプ #seccamp
 
Mk vpp for-containers-vppug
Mk vpp for-containers-vppugMk vpp for-containers-vppug
Mk vpp for-containers-vppug
 
Kernel vm-2014-05-25
Kernel vm-2014-05-25Kernel vm-2014-05-25
Kernel vm-2014-05-25
 
New IP へのステップ その1) Fabric – すべての基本はファブリックにあり
New IP へのステップ その1) Fabric – すべての基本はファブリックにありNew IP へのステップ その1) Fabric – すべての基本はファブリックにあり
New IP へのステップ その1) Fabric – すべての基本はファブリックにあり
 
Cisco Connect Japan 2014:高密度環境におけるシスコ無線デザイン ケース スタディ
Cisco Connect Japan 2014:高密度環境におけるシスコ無線デザイン ケース スタディCisco Connect Japan 2014:高密度環境におけるシスコ無線デザイン ケース スタディ
Cisco Connect Japan 2014:高密度環境におけるシスコ無線デザイン ケース スタディ
 
【Interop Tokyo 2016】 東京大学におけるジュニパーネットワークス機器の導入
【Interop Tokyo 2016】 東京大学におけるジュニパーネットワークス機器の導入【Interop Tokyo 2016】 東京大学におけるジュニパーネットワークス機器の導入
【Interop Tokyo 2016】 東京大学におけるジュニパーネットワークス機器の導入
 
Acri webn04 lt_iwi_配布
Acri webn04 lt_iwi_配布Acri webn04 lt_iwi_配布
Acri webn04 lt_iwi_配布
 
フューチャースタンダードCTO鈴木登壇 レバレジーズ「ヒカ☆ラボ」動画解析・IoT実践事例 (Jul. 4th, 2017)
フューチャースタンダードCTO鈴木登壇 レバレジーズ「ヒカ☆ラボ」動画解析・IoT実践事例 (Jul. 4th, 2017)フューチャースタンダードCTO鈴木登壇 レバレジーズ「ヒカ☆ラボ」動画解析・IoT実践事例 (Jul. 4th, 2017)
フューチャースタンダードCTO鈴木登壇 レバレジーズ「ヒカ☆ラボ」動画解析・IoT実践事例 (Jul. 4th, 2017)
 
Cisco Connect Japan 2014:企業向け無線 LAN インフラの最新動向と最新ソリューションのご紹介
Cisco Connect Japan 2014:企業向け無線 LAN インフラの最新動向と最新ソリューションのご紹介Cisco Connect Japan 2014:企業向け無線 LAN インフラの最新動向と最新ソリューションのご紹介
Cisco Connect Japan 2014:企業向け無線 LAN インフラの最新動向と最新ソリューションのご紹介
 
F11
F11F11
F11
 
仮想ルータを使ったスイッチレス・サーバクラスタリングのデザインパターン
仮想ルータを使ったスイッチレス・サーバクラスタリングのデザインパターン仮想ルータを使ったスイッチレス・サーバクラスタリングのデザインパターン
仮想ルータを使ったスイッチレス・サーバクラスタリングのデザインパターン
 
4K/8K時代のVideo over IPとCDN
4K/8K時代のVideo over IPとCDN4K/8K時代のVideo over IPとCDN
4K/8K時代のVideo over IPとCDN
 
CEDEC-Net 2015 テクニカルレビュー
CEDEC-Net 2015 テクニカルレビューCEDEC-Net 2015 テクニカルレビュー
CEDEC-Net 2015 テクニカルレビュー
 
20190518 SORACOM UG 九州 x JAWS-UG 佐賀 | 基本のSORACOM Air から最新ボタンデバイスまで一気に解説?今日からあ...
20190518 SORACOM UG 九州 x JAWS-UG 佐賀 | 基本のSORACOM Air から最新ボタンデバイスまで一気に解説?今日からあ...20190518 SORACOM UG 九州 x JAWS-UG 佐賀 | 基本のSORACOM Air から最新ボタンデバイスまで一気に解説?今日からあ...
20190518 SORACOM UG 九州 x JAWS-UG 佐賀 | 基本のSORACOM Air から最新ボタンデバイスまで一気に解説?今日からあ...
 
IoT関連技術の動向 Sep-2013
IoT関連技術の動向 Sep-2013IoT関連技術の動向 Sep-2013
IoT関連技術の動向 Sep-2013
 
≪先進企業に学べ!≫IIJ × BROCADE IIJのクラウド基盤とネットワーク要件~ファブリックから、その先へ~
≪先進企業に学べ!≫IIJ × BROCADE IIJのクラウド基盤とネットワーク要件~ファブリックから、その先へ~≪先進企業に学べ!≫IIJ × BROCADE IIJのクラウド基盤とネットワーク要件~ファブリックから、その先へ~
≪先進企業に学べ!≫IIJ × BROCADE IIJのクラウド基盤とネットワーク要件~ファブリックから、その先へ~
 
IBM Blockchain Solutionを支えるIBM Blockchain Platform | 日本アイ・ビー・エム株式会社 栗村 彰吾
IBM Blockchain Solutionを支えるIBM Blockchain Platform | 日本アイ・ビー・エム株式会社 栗村 彰吾IBM Blockchain Solutionを支えるIBM Blockchain Platform | 日本アイ・ビー・エム株式会社 栗村 彰吾
IBM Blockchain Solutionを支えるIBM Blockchain Platform | 日本アイ・ビー・エム株式会社 栗村 彰吾
 

More from IIJ

監視 Overview
監視 Overview監視 Overview
監視 Overview
IIJ
 
HTTPを理解する
HTTPを理解するHTTPを理解する
HTTPを理解する
IIJ
 
DevOps Overview
DevOps OverviewDevOps Overview
DevOps Overview
IIJ
 
ただいま三河。あれから1年、チームNOCKncokが開発しないスクラムで成果を出した経験から得た学び
ただいま三河。あれから1年、チームNOCKncokが開発しないスクラムで成果を出した経験から得た学びただいま三河。あれから1年、チームNOCKncokが開発しないスクラムで成果を出した経験から得た学び
ただいま三河。あれから1年、チームNOCKncokが開発しないスクラムで成果を出した経験から得た学び
IIJ
 
上っ面スクラムチームにならないために気を付けたいこと
上っ面スクラムチームにならないために気を付けたいこと上っ面スクラムチームにならないために気を付けたいこと
上っ面スクラムチームにならないために気を付けたいこと
IIJ
 
コロナ禍の開発勉強会~社内教育ツールの開発と実装
コロナ禍の開発勉強会~社内教育ツールの開発と実装コロナ禍の開発勉強会~社内教育ツールの開発と実装
コロナ禍の開発勉強会~社内教育ツールの開発と実装
IIJ
 
フロントからバックエンドまで - WebAssemblyで広がる可能性
フロントからバックエンドまで - WebAssemblyで広がる可能性フロントからバックエンドまで - WebAssemblyで広がる可能性
フロントからバックエンドまで - WebAssemblyで広がる可能性
IIJ
 
あ! やせいのEmotetがあらわれた! ~ IIJ C-SOCサービスの分析ルールについて~
あ! やせいのEmotetがあらわれた! ~ IIJ C-SOCサービスの分析ルールについて~あ! やせいのEmotetがあらわれた! ~ IIJ C-SOCサービスの分析ルールについて~
あ! やせいのEmotetがあらわれた! ~ IIJ C-SOCサービスの分析ルールについて~
IIJ
 
インシデント調査システムが内製すぎる件~CHAGEのご紹介~
インシデント調査システムが内製すぎる件~CHAGEのご紹介~インシデント調査システムが内製すぎる件~CHAGEのご紹介~
インシデント調査システムが内製すぎる件~CHAGEのご紹介~
IIJ
 
IIJ Technical DAY 2019 ~ IIJのサーバインフラはここまでやっています
IIJ Technical DAY 2019 ~ IIJのサーバインフラはここまでやっていますIIJ Technical DAY 2019 ~ IIJのサーバインフラはここまでやっています
IIJ Technical DAY 2019 ~ IIJのサーバインフラはここまでやっています
IIJ
 
IIJ Technical DAY 2019 ~ Untangling the world-wide mesh of undersea cables:世界...
IIJ Technical DAY 2019 ~ Untangling the world-wide mesh of undersea cables:世界...IIJ Technical DAY 2019 ~ Untangling the world-wide mesh of undersea cables:世界...
IIJ Technical DAY 2019 ~ Untangling the world-wide mesh of undersea cables:世界...
IIJ
 

More from IIJ (20)

プロダクトオーナーと開発者が別会社・別組織でも前のめりなチームを生み出す取り組み事例
プロダクトオーナーと開発者が別会社・別組織でも前のめりなチームを生み出す取り組み事例プロダクトオーナーと開発者が別会社・別組織でも前のめりなチームを生み出す取り組み事例
プロダクトオーナーと開発者が別会社・別組織でも前のめりなチームを生み出す取り組み事例
 
IIJ_デジタルワークプレース事業紹介資料
IIJ_デジタルワークプレース事業紹介資料IIJ_デジタルワークプレース事業紹介資料
IIJ_デジタルワークプレース事業紹介資料
 
監視 Overview
監視 Overview監視 Overview
監視 Overview
 
HTTPを理解する
HTTPを理解するHTTPを理解する
HTTPを理解する
 
DevOps Overview
DevOps OverviewDevOps Overview
DevOps Overview
 
ただいま三河。あれから1年、チームNOCKncokが開発しないスクラムで成果を出した経験から得た学び
ただいま三河。あれから1年、チームNOCKncokが開発しないスクラムで成果を出した経験から得た学びただいま三河。あれから1年、チームNOCKncokが開発しないスクラムで成果を出した経験から得た学び
ただいま三河。あれから1年、チームNOCKncokが開発しないスクラムで成果を出した経験から得た学び
 
上っ面スクラムチームにならないために気を付けたいこと
上っ面スクラムチームにならないために気を付けたいこと上っ面スクラムチームにならないために気を付けたいこと
上っ面スクラムチームにならないために気を付けたいこと
 
Super Easy Memory Forensics
Super Easy Memory ForensicsSuper Easy Memory Forensics
Super Easy Memory Forensics
 
チームみを大切にした 私たちの“受託アジャイル・スクラム”体験談
チームみを大切にした 私たちの“受託アジャイル・スクラム”体験談チームみを大切にした 私たちの“受託アジャイル・スクラム”体験談
チームみを大切にした 私たちの“受託アジャイル・スクラム”体験談
 
【解説】IKE(IIJ Kubernetes Engine):= Vanilla Kubernetes + 何?
【解説】IKE(IIJ Kubernetes Engine):= Vanilla Kubernetes + 何?【解説】IKE(IIJ Kubernetes Engine):= Vanilla Kubernetes + 何?
【解説】IKE(IIJ Kubernetes Engine):= Vanilla Kubernetes + 何?
 
コロナ禍での白井データセンターキャンパスの運用施策
コロナ禍での白井データセンターキャンパスの運用施策コロナ禍での白井データセンターキャンパスの運用施策
コロナ禍での白井データセンターキャンパスの運用施策
 
コロナ禍の開発勉強会~社内教育ツールの開発と実装
コロナ禍の開発勉強会~社内教育ツールの開発と実装コロナ禍の開発勉強会~社内教育ツールの開発と実装
コロナ禍の開発勉強会~社内教育ツールの開発と実装
 
セキュリティ動向2020
セキュリティ動向2020セキュリティ動向2020
セキュリティ動向2020
 
世界のインターネット事情
世界のインターネット事情世界のインターネット事情
世界のインターネット事情
 
フロントからバックエンドまで - WebAssemblyで広がる可能性
フロントからバックエンドまで - WebAssemblyで広がる可能性フロントからバックエンドまで - WebAssemblyで広がる可能性
フロントからバックエンドまで - WebAssemblyで広がる可能性
 
あ! やせいのEmotetがあらわれた! ~ IIJ C-SOCサービスの分析ルールについて~
あ! やせいのEmotetがあらわれた! ~ IIJ C-SOCサービスの分析ルールについて~あ! やせいのEmotetがあらわれた! ~ IIJ C-SOCサービスの分析ルールについて~
あ! やせいのEmotetがあらわれた! ~ IIJ C-SOCサービスの分析ルールについて~
 
インシデント調査システムが内製すぎる件~CHAGEのご紹介~
インシデント調査システムが内製すぎる件~CHAGEのご紹介~インシデント調査システムが内製すぎる件~CHAGEのご紹介~
インシデント調査システムが内製すぎる件~CHAGEのご紹介~
 
IIJ Technical DAY 2019 ~ IIJのサーバインフラはここまでやっています
IIJ Technical DAY 2019 ~ IIJのサーバインフラはここまでやっていますIIJ Technical DAY 2019 ~ IIJのサーバインフラはここまでやっています
IIJ Technical DAY 2019 ~ IIJのサーバインフラはここまでやっています
 
IIJ Technical DAY 2019 ~ セキュリティ動向2019
IIJ Technical DAY 2019 ~ セキュリティ動向2019IIJ Technical DAY 2019 ~ セキュリティ動向2019
IIJ Technical DAY 2019 ~ セキュリティ動向2019
 
IIJ Technical DAY 2019 ~ Untangling the world-wide mesh of undersea cables:世界...
IIJ Technical DAY 2019 ~ Untangling the world-wide mesh of undersea cables:世界...IIJ Technical DAY 2019 ~ Untangling the world-wide mesh of undersea cables:世界...
IIJ Technical DAY 2019 ~ Untangling the world-wide mesh of undersea cables:世界...
 

バックボーン運用から見るインターネットの実情

  • 1. IIJ Technical WEEK 2020 バックボーン運⽤から⾒るインターネットの実情 IIJ/AS2497 hori
  • 2. IIJのバックボーンネットワーク • MPLS基盤上に様々なIPネットワークを構築 • ⽇本を中⼼に北⽶、アジア、ヨーロッパへ展開 • 40+ POP、15 IX、3,500+ノード https://www.iij.ad.jp/company/backbone/ MPLS(L2VPN) IPBackbone (AS2497) L3VPN EPC WDM 専⽤線(外部調達) … … … サービス Broadband
  • 3. 設計・運⽤ポリシー • Keep it simple. • セオリー、運⽤者の直感、開発者の意図に反しないシンプルな設計 • 複雑で汚いネットワークはミスを誘発し、バグを踏み抜く • 良いネットワークは美しい • SPOF ダメ。ゼッタイ。 • メーカ、アーキテクチャ、OS • キャリア、ファイバルート、ケーブルシステム、監視システム、NOC • それでも様々な要因によるインシデントは絶えない😰 • 監視で検知するインシデントは⽉間およそ700件 • 多くは単純な機器や回線故障だが、中には厄介なものも…
  • 4. DDoS - インシデントの代表格 • 最近の傾向 • (バックボーンレベルで対処するのは) 今も昔も単純なUDP Flood • 短時間 & 数10Gbpsが⼤半、⻑時間 & 100Gbps超がときどき • (推測) 政治的思想から⾦銭⽬的に、脆弱なPCからIoTデバイスに、 アジアからヨーロッパに変化 https://www.iij.ad.jp/dev/report/iir/046.html 2019年 DDoS観測情報サマリ
  • 5. DDoS - IIJとDDoSの歴史 • 最初期 (200x年) • 政治的軋轢をきっかけとした官公庁宛攻撃への対処がその起源 • ルータやFirewallで挑み、当然の如く惨敗 • 専⽤装置を取り寄せ急遽導⼊、そのノウハウを活かしサービス化 • 初期 (2005年頃) • インライン(平常時から装置を経由)/集約型。数Gbps • 中期 (2012年頃) • オフライン(xFlowで検知、BGPで装置に誘導)/集約型。数10Gbps • 現在 (2017年頃) • オフライン/分散型(世界各地にScrubbing Centerを展開)。数Tbps
  • 6. DDoS - 攻撃対象に応じた戦略 • DDoS対策サービスを契約している顧客 • 直接的にお⾦が得られる😋 • 顧客に応じたオーダーメイドの⾼度な防御 • ⾃社インフラ • ネットワーク、サーバへの直接攻撃。顧客宛の流れ弾も • 事前の策は講じやすい • DDoS対策サービスを契約していない顧客 • 実はここが⼀番厄介 • 他の顧客への波及を防ぐのが第⼀優先、防御ではなく遮断
  • 7. DDoS - はじめの⼀歩から将来へ • 何はともあれモニタリング • xFlowは必須 • 輻輳の迅速な検知にはTelemetryも • DDoS対策専⽤装置の導⼊ • コストに⾒合うメリットを⾒出せるか? • オフライン型装置に誘導/防御した後の考慮 (ルーティング、帯域) • 単純な物量攻撃に専⽤装置はコスパ悪し • 多層化でキャパシティを⼤幅UP ← IIJはイマココ • ”防御”ではなく”遮断”なら⾼価な専⽤装置は不要 (RTBHやFlowspec)
  • 8. イベントトラフィック - トラフィックは突然に • とある穏やかな午後、突如として⽇⽶間のトラフィックが倍増 • 障害やメンテナンスで数本の回線が使えない最悪のタイミング😭 • 送信元は⼤⼿CDN • 北⽶のみならず世界各地から流⼊ とある⽇の⽇⽶間トラフィック
  • 9. イベントトラフィック - トラフィックは突然に • SNSで調べてみると… • (偶然?)⼈気ゲームの⼤型アップデートが複数同時リリースされていた • 社内のゲーマーに確認 • ネットワーク屋泣かせのトラフィック • 昔はP2PやOSアップデート、今はゲームのアップデート • 数10GB/⼈ x 数千? 数万?ユーザが⼀⻫ダウンロード • ある意味DDoSだが全て正規の通信、運ぶしかない • 本当のDDoSのほうが対処しやすい😎 アップデート
  • 10. イベントトラフィック - CDNのご利⽤は計画的に • CDNのトラフィックは神出⻤没 • CDNとの接続帯域、CDN⾃体の設備帯域次第 • ⾜りないと海を越えてあらゆるところから流⼊ • ライブ等、動画配信も要注意 • 東京オリンピック、テレビ放送と連動した配信 • IIJもグループに が… (ご迷惑をおかけしていたらすみません) • 事業者間情報共有の枠組みが必要 • 実はCDN事業者も把握しきれていない? • CDNを使うサービス提供者にも⼯夫を促したい
  • 11. 経路障害 - 安⼼してください、漏らしてませんから • つい先⽇、海外のとあるASからこんな問い合わせが… • ピアの経路をピアに漏らすのはご法度 • 調べるも漏らした形跡はない。そもそもそんな経路はあり得ない • 何者かが経路を詐称し広告した可能性 • その後AS xとの連絡は途絶え真相究明には⾄らず、実害も不明 AS a AS2497 AS b AS c AS x “AS a, AS2497, AS c, AS x”というAS-PATHの経路がある 君たちがAS aに経路リークしているから停めてくれ
  • 12. 経路障害 - 知らぬが仏と⾔うけれど • 経路障害は今この瞬間も起きている…かも • 故意か過失かを問わず • 世間を騒がし明るみに出るのは氷⼭の⼀⾓ • そもそも何が正しいかを誰も知らない • インターネットの経路交換は⾃⼰申告の世界 • インターネットは奇跡的になんとか成り⽴っている • ⼈類が依存するにはあまりに脆弱 • (⼀⽅で、依存してもいいかと思う程度には安定してるのがおもしろい)
  • 13. 経路障害 - 信頼性向上の取り組み https://storage.googleapis.com/site-media-prod/meetings/NANOG79/2198/20200530_Snijders_Lessons_Learned_Ntt_S_v1.pdf IIJ(予定) • RPKIによる送信元ASの検証 (ROV: Route Origin Validation) • Draft 2008年、RFC6811 2013年を経て、ここ数年各ASで導⼊が盛ん • IIJ/AS2497もデプロイ中完了👍 保有IPのROAも順次作成中 • ROVが防ぐ経路障害はごく⼀部 • 今後も信頼性向上の取り組みは続く
  • 14. まとめに代えて (個⼈の感想です) • インターネットの重要性とそれに関わる楽しさを再認識した1年 • インターネット、さらにはバックボーン復権の時代 • 今をときめく最先端領域にも引けを取らない陽の当たるべき仕事 • 社内でプレゼンス向上活動を実施中。社外の⽅もぜひ • IIJ/AS2497は今後もコミュニティと共にインターネットの発展に 寄与します • Come join us!