SlideShare a Scribd company logo

CDNに脆弱性?Fowarding-Loop Attacks in Content Delivery Networks

J-Stream Inc.
J-Stream Inc.

CDNに脆弱性?Fowarding-Loop Attacks in Content Delivery Networks

Technology
1 of 10
Download to read offline
CDNに脆弱性? Forwarding-Loop Attacks in Content Delivery Networks 株式会社Jストリーム 事業推進部 佐藤 太一 CDN情報サイト https://tech.jstream.jp/ 1© 2016 J-Stream Inc. All Rights Reserved. Rev:20160315
自己紹介 ▶経歴 ▶1980/09 山口県光市 生 ▶2003/03 鹿児島大学 卒 ▶2003/04 Jストリーム(AS24253)に入社 ~新卒で入社してそのまま、現在も在籍 ▶本業 ▶自社CDNのセールスエンジニア ▶CDNのインフラ全般のセールスサポート・構築・運用 ▶最近は現場仕事よりマネジメント業務、顧客対応がメイン ▶CDN情報サイト: https://tech.jstream.jp/ ▶JANOG38 実行委員長 ▶趣味:楽器演奏(ファゴット) © 2016 J-Stream Inc. All Rights Reserved. 2
コンテンツデリバリネットワーク (CDN) に対するサービス運用 妨害 (DoS) の問題 (Forwarding Loop 攻撃) 公開日:2016/03/01 JVNDB-2016-001538 ■JVN http://jvn.jp/vu/JVNVU94080110/ ■元の発表資料 https://www.internetsociety.org/sit es/default/files/blogs- media/forwarding-loop-attacks- content-delivery-networks.pdf © 2016 J-Stream Inc. All Rights Reserved. 3
CDNに脆弱性?? どういうこっちゃ? © 2016 J-Stream Inc. All Rights Reserved. 4
研究者の発表資料 概要 ▶CDNの設定上、オリジンサーバーの指定の仕方によってはProxyループを 発生させ(D)DoS攻撃を行うことが可能 ▶設定をユーザーが行うため、 悪意を持ったユーザー 正規ユーザーのCDNの設定ミス により発生する可能性がある。 ▶CDN事業者は正しく上記を検知し、ブロックできるようにする必要がある。 対応しない事業者がいると全体としてリスクが残る。 ▶補足 ▶Web管理画面でCDNの設定が行えない事業者に関しては影響が少ない ▶オンラインサインアップ等、匿名性のあるトライアルアカウント発行が可能な場合 は悪用される危険性が増す。 © 2016 J-Stream Inc. All Rights Reserved. 5
基本的な攻撃テクニック ▶CDNにおけるオリジンサーバに、CDNの配信サーバを設定する ▶ユーザからのリクエストにより、CDNサーバでループを発生させCDNサーバ の負荷を上げる。 © 2016 J-Stream Inc. All Rights Reserved. 6
ループの種類 ▶Self-Loop ▶単独CDNサーバ内部におけるリクエストループ ▶Intra-CDN Loop ▶あるCDN事業者内におけるリクエストループ ▶Inter-CDN Loop ▶CDN事業者をまたがったリクエストループ ▶Dam Flooding ▶高度なオリジン制御を行うリクエストループ ▶オリジン設定にホスト名を使用し、ループを最大 化するようにホストのIPアドレスを制御する。 © 2016 J-Stream Inc. All Rights Reserved. 7 CDN事業者A Self-Loop Intra-Loop Inter-CDN Loop CDN事業者B
対策方法 ▶社会面 ▶安易なオンラインサインアップの中止(ユーザの匿名性を排除する) ▶機能面 ▶オリジンサーバ設定におけるIPアドレスの識別 ▶CDNサーバ群のIPアドレスレンジをオリジンサーバとしない ▶ CDNに特徴的なリクエストヘッダの追加 ▶CDNサーバでは、このリクエストヘッダを持つリクエストを中継しない ▶例:Viaヘッダの適切な付与、検査 ▶タイムアウトの設定 ▶abort-forwardingを設定し、(最初の)ユーザリクエストから規定値以内に完了しな いループを強制切断する。 ▶課題 ▶上記対策を行わないCDN事業者がいる場合、Inter-CDN LoopによりCDN全体 が危険に陥る。 © 2016 J-Stream Inc. All Rights Reserved. 8
各CDN事業者の対応状況 © 2016 J-Stream Inc. All Rights Reserved. 9 ▶Akamai ▶影響なしとブログで発表済 ▶https://blogs.akamai.com/2016/03/aka mai-response-to-forwarding-loop- issue.html ▶CloudFlare ▶影響なしとブログで発表済 ▶https://blog.cloudflare.com/preventing- malicious-request-loops/ ▶Jストリーム ▶元々影響は軽微 ▶3/8対応済 Forwarding-Loop Attacks in Content Delivery Networksより TABLE I. VULNERABILITY OF THE MEASURED CDNS TO FOUR TYPES OF FORWARDING-LOOP ATTACKS. (“Likely” refers to inference from indirect evidence.)
まとめ 他 ▶CDN利用中の場合は各CDN事業者に確認を ▶大半の事業者様は対応済みだと思います ▶脆弱性が出たからといって慌てない ▶割りと重箱の隅をつつかれてる感じ・・・? ▶皆さん同じような感じなんでしょうか? ▶セキュリティ情報、どこから入手してますか? ▶JPCERT/CC,JVN,piyolog,Twitter・・・etc © 2016 J-Stream Inc. All Rights Reserved. 10

Recommended

セキュリティCDN: Imperva Incapsula
セキュリティCDN: Imperva IncapsulaセキュリティCDN: Imperva Incapsula
セキュリティCDN: Imperva Incapsula
J-Stream Inc.
 
CDNのパフォーマンス比較/Cedexis
CDNのパフォーマンス比較/CedexisCDNのパフォーマンス比較/Cedexis
CDNのパフォーマンス比較/Cedexis
J-Stream Inc.
 
マルチCDNの概要
マルチCDNの概要マルチCDNの概要
マルチCDNの概要
J-Stream Inc.
 
CDNによるInternet支配の現状とICNの可能性
CDNによるInternet支配の現状とICNの可能性CDNによるInternet支配の現状とICNの可能性
CDNによるInternet支配の現状とICNの可能性
J-Stream Inc.
 
Cedexis
CedexisCedexis
Cedexis
J-Stream Inc.
 
次世代CDNのトレンド
次世代CDNのトレンド次世代CDNのトレンド
次世代CDNのトレンド
J-Stream Inc.
 
ストリーミングのTLS(SSL)化
ストリーミングのTLS(SSL)化ストリーミングのTLS(SSL)化
ストリーミングのTLS(SSL)化
J-Stream Inc.
 
Web制作・運用会社に必要なCDNサービスとは?
Web制作・運用会社に必要なCDNサービスとは?Web制作・運用会社に必要なCDNサービスとは?
Web制作・運用会社に必要なCDNサービスとは?
J-Stream Inc.
 

Recommended

セキュリティCDN: Imperva Incapsula
セキュリティCDN: Imperva IncapsulaセキュリティCDN: Imperva Incapsula
セキュリティCDN: Imperva Incapsula
J-Stream Inc.
 
CDNのパフォーマンス比較/Cedexis
CDNのパフォーマンス比較/CedexisCDNのパフォーマンス比較/Cedexis
CDNのパフォーマンス比較/Cedexis
J-Stream Inc.
 
マルチCDNの概要
マルチCDNの概要マルチCDNの概要
マルチCDNの概要
J-Stream Inc.
 
CDNによるInternet支配の現状とICNの可能性
CDNによるInternet支配の現状とICNの可能性CDNによるInternet支配の現状とICNの可能性
CDNによるInternet支配の現状とICNの可能性
J-Stream Inc.
 
Cedexis
CedexisCedexis
Cedexis
J-Stream Inc.
 
次世代CDNのトレンド
次世代CDNのトレンド次世代CDNのトレンド
次世代CDNのトレンド
J-Stream Inc.
 
ストリーミングのTLS(SSL)化
ストリーミングのTLS(SSL)化ストリーミングのTLS(SSL)化
ストリーミングのTLS(SSL)化
J-Stream Inc.
 
Web制作・運用会社に必要なCDNサービスとは?
Web制作・運用会社に必要なCDNサービスとは?Web制作・運用会社に必要なCDNサービスとは?
Web制作・運用会社に必要なCDNサービスとは?
J-Stream Inc.
 
WordPressのCDN化
WordPressのCDN化WordPressのCDN化
WordPressのCDN化
J-Stream Inc.
 
SSLの最新トレンド
SSLの最新トレンドSSLの最新トレンド
SSLの最新トレンド
J-Stream Inc.
 
connpass特徴と開発の流れ
connpass特徴と開発の流れconnpass特徴と開発の流れ
connpass特徴と開発の流れ
Ikeda Yosuke
 
マーケティングオートメーションの真実
マーケティングオートメーションの真実マーケティングオートメーションの真実
マーケティングオートメーションの真実
FROM SCRATCH
 
海外展示会を活用した東南アジア美容市場への参入のご提案
海外展示会を活用した東南アジア美容市場への参入のご提案海外展示会を活用した東南アジア美容市場への参入のご提案
海外展示会を活用した東南アジア美容市場への参入のご提案
Yoshi Kashima
 
Cisco Connect Japan 2014:シスコのビデオ コミュニケーション環境を体験しよう!
Cisco Connect Japan 2014:シスコのビデオ コミュニケーション環境を体験しよう!Cisco Connect Japan 2014:シスコのビデオ コミュニケーション環境を体験しよう!
Cisco Connect Japan 2014:シスコのビデオ コミュニケーション環境を体験しよう!
シスコシステムズ合同会社
 
インターンシップ2012_10N1042_菊地正太郎_RFC発表データ
インターンシップ2012_10N1042_菊地正太郎_RFC発表データインターンシップ2012_10N1042_菊地正太郎_RFC発表データ
インターンシップ2012_10N1042_菊地正太郎_RFC発表データ
unikuo0213
 
Educacion fe
Educacion feEducacion fe
Educacion fe
Héctor Sampieri Rubach
 
プロフェッショナルマーケティングPJT説明資料
プロフェッショナルマーケティングPJT説明資料プロフェッショナルマーケティングPJT説明資料
プロフェッショナルマーケティングPJT説明資料
伊藤 剛志
 
ギャザリングLt資料
ギャザリングLt資料ギャザリングLt資料
ギャザリングLt資料
Tomonori Sano
 
2011建築研究賞_東京の異界_08N1062須長拓也_大江研
2011建築研究賞_東京の異界_08N1062須長拓也_大江研2011建築研究賞_東京の異界_08N1062須長拓也_大江研
2011建築研究賞_東京の異界_08N1062須長拓也_大江研
110484
 
Cisco Connect Japan 2014: シスコ ビデオ テクノロジー最前線
Cisco Connect Japan 2014: シスコ ビデオ テクノロジー最前線Cisco Connect Japan 2014: シスコ ビデオ テクノロジー最前線
Cisco Connect Japan 2014: シスコ ビデオ テクノロジー最前線
シスコシステムズ合同会社
 
これから始めるssl対策
これから始めるssl対策これから始めるssl対策
これから始めるssl対策
Shohei Kobayashi
 
CDNホットトピック(SSLとパケット着信課金)
CDNホットトピック(SSLとパケット着信課金)CDNホットトピック(SSLとパケット着信課金)
CDNホットトピック(SSLとパケット着信課金)
J-Stream Inc.
 
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
sn679259
 
新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。
iPride Co., Ltd.
 
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアルLoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
CRI Japan, Inc.
 
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
Toru Tamaki
 
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
Toru Tamaki
 
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
iPride Co., Ltd.
 
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
iPride Co., Ltd.
 
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NTT DATA Technology & Innovation
 

More Related Content

Viewers also liked

海外展示会を活用した東南アジア美容市場への参入のご提案
海外展示会を活用した東南アジア美容市場への参入のご提案海外展示会を活用した東南アジア美容市場への参入のご提案
海外展示会を活用した東南アジア美容市場への参入のご提案
Yoshi Kashima
 
インターンシップ2012_10N1042_菊地正太郎_RFC発表データ
インターンシップ2012_10N1042_菊地正太郎_RFC発表データインターンシップ2012_10N1042_菊地正太郎_RFC発表データ
インターンシップ2012_10N1042_菊地正太郎_RFC発表データ
unikuo0213
 
ギャザリングLt資料
ギャザリングLt資料ギャザリングLt資料
ギャザリングLt資料
Tomonori Sano
 
2011建築研究賞_東京の異界_08N1062須長拓也_大江研
2011建築研究賞_東京の異界_08N1062須長拓也_大江研2011建築研究賞_東京の異界_08N1062須長拓也_大江研
2011建築研究賞_東京の異界_08N1062須長拓也_大江研
110484
 

Viewers also liked (14)

WordPressのCDN化
WordPressのCDN化WordPressのCDN化
WordPressのCDN化
 
SSLの最新トレンド
SSLの最新トレンドSSLの最新トレンド
SSLの最新トレンド
 
connpass特徴と開発の流れ
connpass特徴と開発の流れconnpass特徴と開発の流れ
connpass特徴と開発の流れ
 
マーケティングオートメーションの真実
マーケティングオートメーションの真実マーケティングオートメーションの真実
マーケティングオートメーションの真実
 
海外展示会を活用した東南アジア美容市場への参入のご提案
海外展示会を活用した東南アジア美容市場への参入のご提案海外展示会を活用した東南アジア美容市場への参入のご提案
海外展示会を活用した東南アジア美容市場への参入のご提案
 
Cisco Connect Japan 2014:シスコのビデオ コミュニケーション環境を体験しよう!
Cisco Connect Japan 2014:シスコのビデオ コミュニケーション環境を体験しよう!Cisco Connect Japan 2014:シスコのビデオ コミュニケーション環境を体験しよう!
Cisco Connect Japan 2014:シスコのビデオ コミュニケーション環境を体験しよう!
 
インターンシップ2012_10N1042_菊地正太郎_RFC発表データ
インターンシップ2012_10N1042_菊地正太郎_RFC発表データインターンシップ2012_10N1042_菊地正太郎_RFC発表データ
インターンシップ2012_10N1042_菊地正太郎_RFC発表データ
 
Educacion fe
Educacion feEducacion fe
Educacion fe
 
プロフェッショナルマーケティングPJT説明資料
プロフェッショナルマーケティングPJT説明資料プロフェッショナルマーケティングPJT説明資料
プロフェッショナルマーケティングPJT説明資料
 
ギャザリングLt資料
ギャザリングLt資料ギャザリングLt資料
ギャザリングLt資料
 
2011建築研究賞_東京の異界_08N1062須長拓也_大江研
2011建築研究賞_東京の異界_08N1062須長拓也_大江研2011建築研究賞_東京の異界_08N1062須長拓也_大江研
2011建築研究賞_東京の異界_08N1062須長拓也_大江研
 
Cisco Connect Japan 2014: シスコ ビデオ テクノロジー最前線
Cisco Connect Japan 2014: シスコ ビデオ テクノロジー最前線Cisco Connect Japan 2014: シスコ ビデオ テクノロジー最前線
Cisco Connect Japan 2014: シスコ ビデオ テクノロジー最前線
 
これから始めるssl対策
これから始めるssl対策これから始めるssl対策
これから始めるssl対策
 
CDNホットトピック(SSLとパケット着信課金)
CDNホットトピック(SSLとパケット着信課金)CDNホットトピック(SSLとパケット着信課金)
CDNホットトピック(SSLとパケット着信課金)
 

Recently uploaded

Recently uploaded (12)

知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
 
新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。
 
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアルLoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
 
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
 
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
 
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
 
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
 
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
 
Utilizing Ballerina for Cloud Native Integrations
Utilizing Ballerina for Cloud Native IntegrationsUtilizing Ballerina for Cloud Native Integrations
Utilizing Ballerina for Cloud Native Integrations
 
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
 
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
 
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイスLoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
 

CDNに脆弱性?Fowarding-Loop Attacks in Content Delivery Networks