■ bogonフィルタのアップデート NTT Com吉田さん ・93.175.144.0/24 - 8月27日にRIPEのある場所から流れた経路 RIPEがある大学から依頼されて、Secure BGPをつかった場合の テストということで流れた Cisco (IOS XR の実装)だけではなく、他も同じ問題を内在している たまにおきるという話がある - RIPE Labs RIPE-RIS どのRISが被害が大きかったか、RIPE Labsを見るとわかる janogのMLにも、発生した26日にCiscoのアドバイザリが流れた Patchが9月9日までに全部でる 去年4byte ASで問題あったり、ISPとしてはなかなか防げない 受け取っちゃうと影響が出る 受け取っても問題ない場合もある ・Route Filtering: Handle with care 先週APNICがあった フィルタリングに関して随分問題意識を持ってくれた 確認するWebサイトを持とう、など こないだのjanogからのupdate 新しいアドレスをもらったときに、到達性があるか、rechability, routability /8を流しているけど、どういったパケットが来ているか? 使っているIPアドレスが違うと、到達できる部分に差分が出て来る 割り振り直後は3割ぐらい到達性がない 使われ始めると、1割が到達性がない 使われないと、到達出来ないところが増えて来る クレームや、あけてくださいというのでオープンになっていく - ESTA問題(2年前) OCNからいくと到達できる HANABI(別のAS)からは到達できなかった - bogonフィルターでひっかかる割合 こないだ、/8を流した時の結果: 2-3割は到達性がない World wideでbogon filterがかけられている 使われ始めるのは10%が到達性がない 到達できない場所がちらほらある APNICの49.台と101.台 新規割り当て/8の11個のうち、6個がAPNIC、 多くが中国に行ってるんじゃないかと RIPEの結果も同じで、使われ始めて9割台になっていく 良くひっかかるblacklist 2chとか、esta.cbp.dhs.gov、MLB、BBC - JANOGでチェックしてみた たくさんクリックをして頂きました →随分発見できた 2週間後、いくつかはOKに janogの会場で作業をされている方々も。自分のBGPフィルタアップ デートしているひととか。特に、日本まわりが改善しました やっぱりアドレスは使わないと改善していかない - 1/8の使われ度 1か月でかなりの量が使われるようになった: 30%ぐらい 経路情報で見た限りなので、assignされて経路が流れていない物もある なのに、ああいう到達性の状況になっている さっきしらべたら、1/8もうない 7月からみてAPNICを1.台を流したら、色々な攻撃パケットが 来ていた そこはreserveというアドレス空間がいくつか/16レベルである なので、もうほとんど残ってない 1ヶ月ちょっととか、1ヶ月半で - 223.台とか27.台 27.台の方がまだいい 特に223はまだアドレスが出てないので、到達性がない もう一度1.台試験しようかなと 今日、もう一度APNICから1.台ももらいました もう少し実験をしようかと思います - APNICの話 IPは色々とフィルターされていて、色々気にしないといけないという 認識になってきた DNSも結構bogon filterにひっかかっている APNICも気にしているのが、残っている/8のリストを確実に管理 昔のbogon filterのリストなども管理しないと RQA(Resource Quality Assurance) 情報を細かいレベルでチェックしていこうと USなどにサーバを置く そこに同じスクリプトなどをかましておく APNICだけではなく、いろいろなRIRと連携すればいいと思う アプリケーションレベルでテストなどを、もう少しチェック して統計情報を出して行こうと いままでRIPEが中心的にやってきた こらからはアジアとしてもやっていく たとえば、別のURLからgifが取れるかなどをチェック しようと考えている 実際に到達をしていこうという話 継続的に確認していこうという話 ・IPv4 Background Traffic - 1/8など、/8を経路広告したときに、どんなパケットが来ているのか v4アドレスもうすぐなくなってしまう パケットを収集して/8のうち、どういうトレンドできているのかを 確認していく 前回のAPNICで話された内容 - 1.台に関しては 1.0.0.0/24とか激しくパケットが来ている ここはもうreserve 当面は16レベルで・・・ - 14.台 14/8の前半の/9と後半の/9で特性が随分違っている 223.台も全く一緒 Conficker がほとんどのパケット 前半を割り当てられると結構大変かもしれない。 223.128/9はほとんど来てない 前半のブロックを持ってるとスキャンが来る可能性が高い 9ビット目がゼロか1でConficker が来るかどうかが全然違う 前半後半で大きく違います 全体としては、445番ポートが7割 そんな調査もふまえて、ここに書いてある/24に関してはreserve - 49/8、101/8を先週から広告しはじめた 8月5日にAPNICにallocationされました 8月23日に広告はじめました tcpdumpを続ける 一週間で数Tになる netflowベースでも取得 30Mbps、40Mbpsぐらい やはり445番ポート宛が多い。 bpsだとわからないけど、ppsだと飛び出すとか - 101.101.101.0/24 101を広告した翌日に、一8/24に一瞬経路ハイジャックされた 5分ぐらい? 流れた瞬間にどうなったかはわからない 一瞬経路を流して、SPAMを流して逃げて行くパターンもある /24にロンゲストマッチで吸い込まれるかと思いきや、 /8へのパケットが数倍に増えている これは一回だけ - 反応を返してみた パケットの収集で、収集だけでなく一部反応を返してみた 今までの14.台と同じようなカーブ こんな感じで波打ってます 左のルータから/8を流す コレに加えて、来たパケットにICMPを返すのをやっている これをやったら、激しくトラフィックが増えた 反応を返すとそこから来るという感じの状況が見えました AS番号的にはどうしてもチャイナ系がどうしても多いと やっぱりconficker。9ビット目がたっているかどうかで パケットが来るかどうかに差分がある。 他の/8と比べても一緒 ・/8を流して試す 新しいアドレスがリーチできるかどうかを試す これ、v6も同じような話がある v6に関してもきちんと確認しないとね routability, reachability janogで使って、到達性が上がったので、よいんじゃないですかねと、APNICでも発表しました ・日本だと日本中心でチェック world wideでやると、みんなハッピーになるのではないか 地道な努力ですが、皆様がんばりましょう ご質問とかご意見お願い致します ・質疑応答 Q: routabilityの話はオペミス。犯人や技術的要因も解っている。フィルタ管理 が悪いところもわかっている。なぜ、こんなにも改善しないのか? A: 私にもわからない。最新のをコピペしてるからでは。 C: 一部のベンダーの推奨設定などが原因にもなっている C: 大元のリストをベンダさんが参照すれば良いと思うが、ベンダさんの設定例 として1.台が多く掲載されている。 C: 現場で直せるエンジニアと、考えるエンジニアが別だったりするのも問題 C: 運用に組み込むというのが全ての会社でできるわけではない。/8が実際なく なってるので、できない人は外してもらった方が良い。IPv6はホワイトリス トベース。到達されるべきリストを書いて、他はdenyとするのかもしれない Q: RQAでリザーブするとのことだが、そのリザーブをいつリリースするのか A: いままさに議論している。来年枯渇してしまう。 Q: 割り振りを受ける人が、受けて立つという人がアロケーションリクエストを 出すというのはできるか A: 1.台は、もうでないんじゃないですかね 残ってるブロックで100.台があります。これも何かあると思います。 どこがとるかはまだわかりませんが。 前半のブロックをもらったら、ちょっとドキドキして、後半だったら ラッキー。これは、全然ちがうので Q: 北京電信の件。チャイナテレコム経由で経路が来ていると思うが、結局そっ ちに吸い込まれてしまっているのでは?フィルターしてしまうとか A: 現実的にフィルターするのは難しい