[要約] DDoS Open Threat Signaling(DOTS)テレメトリは、ネットワーク内で効果的なDDoS攻撃対策技術を利用するために、基本的なDOTSプロトコルを補完します。この文書では、DOTSテレメトリの使用例を紹介しています。ネットワークに展開されるコンポーネントやそれらがどのように連携し、どの情報が交換されるかについて議論しています。
Internet Engineering Task Force (IETF) Y. Hayashi
Request for Comments: 9387 NTT
Category: Informational M. Chen
ISSN: 2070-1721 L. Su
China Mobile
April 2023
DDoS Open Threat Signaling (DOTS) telemetry enriches the base DOTS protocols to assist the mitigator in using efficient DDoS attack mitigation techniques in a network. This document presents sample use cases for DOTS telemetry. It discusses what components are deployed in the network, how they cooperate, and what information is exchanged to effectively use these techniques.
DDOS Open Threat Signaling(DOTS)Telemetryは、ベースDOTSプロトコルを濃縮して、マイティガーターがネットワークで効率的なDDOS攻撃緩和手法を使用するのを支援します。このドキュメントでは、ドットテレメトリーのサンプルユースケースを示しています。ネットワークに展開されているコンポーネント、それらがどのように協力するか、およびこれらの手法を効果的に使用するためにどの情報が交換されるかについて説明します。
This document is not an Internet Standards Track specification; it is published for informational purposes.
このドキュメントは、インターネット標準の追跡仕様ではありません。情報目的で公開されています。
This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Not all documents approved by the IESG are candidates for any level of Internet Standard; see Section 2 of RFC 7841.
このドキュメントは、インターネットエンジニアリングタスクフォース(IETF)の製品です。IETFコミュニティのコンセンサスを表しています。公開レビューを受けており、インターネットエンジニアリングステアリンググループ(IESG)からの出版が承認されています。IESGによって承認されたすべてのドキュメントが、インターネット標準のあらゆるレベルの候補者であるわけではありません。RFC 7841のセクション2を参照してください。
Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at https://www.rfc-editor.org/info/rfc9387.
このドキュメントの現在のステータス、任意のERRATA、およびそのフィードバックを提供する方法に関する情報は、https://www.rfc-editor.org/info/rfc9387で取得できます。
Copyright (c) 2023 IETF Trust and the persons identified as the document authors. All rights reserved.
著作権(c)2023 IETF Trustおよび文書著者として特定された人。無断転載を禁じます。
This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (https://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Revised BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Revised BSD License.
このドキュメントは、BCP 78およびIETFドキュメント(https://trustee.ietf.org/license-info)に関連するIETF Trustの法的規定の対象となります。この文書に関するあなたの権利と制限を説明するので、これらの文書を注意深く確認してください。このドキュメントから抽出されたコードコンポーネントには、セクション4.Eで説明されている法的規定のセクション4.Eで説明されており、改訂されたBSDライセンスで説明されている保証なしで提供されるように、改訂されたBSDライセンステキストを含める必要があります。
1. Introduction
2. Terminology
3. Telemetry Use Cases
3.1. Mitigation Resources Assignment
3.1.1. Mitigating Attack Flow of Top Talker Preferentially
3.1.2. DMS Selection for Mitigation
3.1.3. Path Selection for Redirection
3.1.4. Short but Extreme Volumetric Attack Mitigation
3.1.5. Selecting Mitigation Technique Based on Attack Type
3.2. Detailed DDoS Mitigation Report
3.3. Tuning Mitigation Resources
3.3.1. Supervised Machine Learning of Flow Collector
3.3.2. Unsupervised Machine Learning of Flow Collector
4. Security Considerations
5. IANA Considerations
6. References
6.1. Normative References
6.2. Informative References
Acknowledgements
Authors' Addresses
Distributed Denial-of-Service (DDoS) attacks, such as volumetric attacks and resource-consuming attacks, are critical threats to be handled by service providers. When such DDoS attacks occur, service providers have to mitigate them immediately to protect or recover their services.
ボリューム攻撃やリソースを消費する攻撃など、分散型サービス拒否(DDOS)攻撃は、サービスプロバイダーによって処理されるという重大な脅威です。このようなDDOS攻撃が発生すると、サービスプロバイダーはサービスを保護または回復するためにすぐにそれらを緩和する必要があります。
For service providers to immediately protect their network services from DDoS attacks, DDoS mitigation needs to be highly automated. To that aim, multivendor components involved in DDoS attack detection and mitigation should cooperate and support standard interfaces.
サービスプロバイダーがDDOS攻撃からネットワークサービスを即座に保護するためには、DDOS緩和を高度に自動化する必要があります。その目的のために、DDOS攻撃の検出と緩和に関与するマルチベンダーコンポーネントは、標準的なインターフェイスを協力してサポートする必要があります。
DDoS Open Threat Signaling (DOTS) is a set of protocols for real-time signaling, threat-handling requests, and data filtering between the multivendor elements [RFC9132] [RFC8783]. DOTS telemetry enriches the DOTS protocols with various telemetry attributes allowing optimal DDoS attack mitigation [RFC9244]. This document presents sample use cases for DOTS telemetry to enhance the overview and the purpose described in [RFC9244]. This document also presents what components are deployed in the network, how they cooperate, and what information is exchanged to effectively use attack-mitigation techniques.
DDOSオープン脅威シグナル伝達(DOTS)は、マルチベンダー要素[RFC9132] [RFC8783]間のリアルタイムシグナル、脅威処理要求、およびデータフィルタリングのプロトコルのセットです。DOTSテレメトリーは、最適なDDOS攻撃緩和を可能にするさまざまなテレメトリ属性を持つDOTSプロトコルを濃縮します[RFC9244]。このドキュメントは、[RFC9244]で説明されている概要と目的を強化するために、DOTSテレメトリーのサンプルユースケースを提示します。このドキュメントでは、ネットワークに展開されているコンポーネント、協力方法、および攻撃緩和技術を効果的に使用するためにどのような情報が交換されるかも示されています。
Readers should be familiar with the terms defined in [RFC8612], [RFC8903], and [RFC9244].
読者は、[RFC8612]、[RFC8903]、および[RFC9244]で定義されている用語に精通している必要があります。
In addition, this document uses the following terms:
さらに、このドキュメントでは、次の用語を使用しています。
Supervised Machine Learning:
監視された機械学習:
A machine-learning technique in which labeled data is used to train the algorithms (the input and output data are known).
ラベルデータを使用してアルゴリズムのトレーニングに使用される機械学習手法(入力データと出力データが既知)。
Unsupervised Machine Learning:
監視されていない機械学習:
A machine-learning technique in which unlabeled data is used to train the algorithms (the data has no historical labels).
ラベル付けされていないデータを使用してアルゴリズムをトレーニングするために使用される機械学習手法(データには履歴ラベルがありません)。
This section describes DOTS telemetry use cases that use telemetry attributes included in the DOTS telemetry specification [RFC9244].
このセクションでは、DOTSテレメトリ属性を使用するDOTSテレメトリーユースケースについて説明します。DOTSテレメトリー仕様[RFC9244]に含まれています。
The following subsections assume that once the DOTS signal channel is established, DOTS clients will proceed with the telemetry setup configuration detailed in Section 7 of [RFC9244]. The following telemetry parameters are used:
次のサブセクションでは、DOTS信号チャネルが確立されると、DOTSクライアントは[RFC9244]のセクション7で詳述されているテレメトリセットアップ構成を進めると想定しています。次のテレメトリーパラメーターが使用されます。
* "measurement-interval" defines the period during which percentiles are computed.
* 「測定間インターバル」は、パーセンタイルが計算される期間を定義します。
* "measurement-sample" defines the time distribution for measuring values that are used to compute percentiles.
* 「測定サンプル」は、パーセンタイルを計算するために使用される値を測定する時間分布を定義します。
Some transit providers have to mitigate large-scale DDoS attacks using DDoS Mitigation Systems (DMSes) with limited resources that are already deployed in their network. For example, recently reported large DDoS attacks exceeded several Tbps [DOTS_Overview].
一部のトランジットプロバイダーは、ネットワークに既に展開されている限られたリソースを使用して、DDOS緩和システム(DMS)を使用して大規模なDDOS攻撃を軽減する必要があります。たとえば、最近報告された大規模なDDOS攻撃はいくつかのTBPSを超えた[dots_overview]。
This use case enables transit providers to use their DMS efficiently under volume-based DDoS attacks whose volume is more than the available capacity of the DMS. To enable this, the attack traffic of top talkers is redirected to the DMS preferentially by cooperation among forwarding nodes, flow collectors, and orchestrators.
このユースケースにより、トランジットプロバイダーは、ボリュームベースのDDO攻撃でDMSを効率的に使用できます。これを有効にするために、トップトーカーの攻撃トラフィックは、転送ノード、フローコレクター、オーケストレーター間の協力により、DMSに優先的にリダイレクトされます。
Figure 1 gives an overview of this use case. Figure 2 provides an example of a DOTS telemetry message body that is used to signal top talkers (2001:db8:1::/48 and 2001:db8:2::/48).
図1に、このユースケースの概要を示します。図2は、トップトーカーのシグナルに使用されるドットテレメトリーメッセージ本文の例を示しています(2001:DB8:1 ::/48および2001:db8:2 ::/48)。
(Internet Transit Provider)
+-----------+ +--------------+ SNMP or YANG/NETCONF
IPFIX +-----------+| DOTS | |<---
--->| Flow ||C<-->S| Orchestrator | BGP Flowspec
| collector |+ | |---> (Redirect)
+-----------+ +--------------+
+-------------+
IPFIX +-------------+| BGP Flowspec (Redirect)
<---| Forwarding ||<---
| nodes ||
| || DDoS Attack
[ Target(s) ]<==========================================
| ++=========================[top talker]
| || ++======================[top talker]
+----|| ||----+
|| ||
|| ||
|/ |/
+----x--x----+
| DDoS | SNMP or YANG/NETCONF
| mitigation |<---
| system |
+------------+
C: DOTS client functionality
S: DOTS server functionality
Figure 1: Mitigating Attack Flow of Top Talker Preferentially
図1:トップトーカーの攻撃の流れを優先的に緩和する
{
"ietf-dots-telemetry:telemetry": {
"pre-or-ongoing-mitigation": [
{
"target": {
"target-prefix": [
"2001:db8::1/128"
]
},
"total-attack-traffic-protocol": [
{
"protocol": 17,
"unit": "megabit-ps",
"mid-percentile-g": "900"
}
],
"attack-detail": [
{
"vendor-id": 32473,
"attack-id": 77,
"start-time": "1645057211",
"attack-severity": "high",
"top-talker":{
"talker": [
{
"source-prefix": "2001:db8:1::/48",
"total-attack-traffic": [
{
"unit": "megabit-ps",
"mid-percentile-g": "100"
}
]
},
{
"source-prefix": "2001:db8:2::/48",
"total-attack-traffic": [
{
"unit": "megabit-ps",
"mid-percentile-g": "90"
}
]
}
]
}
}
]
}
]
}
}
Figure 2: Example of Message Body to Signal Top Talkers
図2:メッセージボディの例からシグネートトップトーカー
The forwarding nodes send traffic statistics to the flow collectors, e.g., using IP Flow Information Export (IPFIX) [RFC7011]. When DDoS attacks occur, the flow collectors identify the attack traffic and send information about the top talkers to the orchestrator using the "target-prefix" and "top-talkers" DOTS telemetry attributes. The orchestrator then checks the available capacity of the DMSes using a network management protocol, such as the Simple Network Management Protocol (SNMP) [RFC3413] or YANG with the Network Configuration Protocol (YANG/NETCONF) [RFC7950]. After that, the orchestrator orders the forwarding nodes to redirect as much of the top talker's traffic to the DMSes as they can handle by dissemination of Flow Specifications using tools such as Border Gateway Protocol Dissemination of Flow Specification Rules (BGP Flowspec) [RFC8955].
転送ノードは、トラフィック統計をフローコレクターに送信します。たとえば、IPフロー情報エクスポート(IPFIX)[RFC7011]を使用します。DDOS攻撃が発生すると、フローコレクターは攻撃トラフィックを識別し、トップトーカーに関する情報を「Target-Prefix」および「Top-Talkers」DOTS Telemetry属性を使用してオーケストレーターに送信します。オーケストレーターは、ネットワーク構成プロトコル(YANG/NetConf)[RFC7950]を使用して、シンプルネットワーク管理プロトコル(SNMP)[RFC3413]またはYangなど、ネットワーク管理プロトコルを使用してDMSESの使用可能な容量をチェックします。その後、オーケストレーターは、フロー仕様ルール(BGP FlowsPec)[RFC8955]の境界ゲートウェイプロトコル普及などのツールを使用して、フロー仕様の普及により、トップトーカーのトラフィックをDMSEに扱うことができるように、トップトーカーのトラフィックをDMSEにリダイレクトするように命じます。
The flow collector implements a DOTS client while the orchestrator implements a DOTS server.
フローコレクターはドットクライアントを実装し、オーケストレーターはドットサーバーを実装します。
Transit providers can deploy their DMSes in clusters. Then, they can select the DMS to be used to mitigate a DDoS attack at the time of an attack.
トランジットプロバイダーは、DMSをクラスターに展開できます。次に、攻撃時にDDOS攻撃を軽減するために使用するDMを選択できます。
This use case enables transit providers to select a DMS with sufficient capacity for mitigation based on the volume of the attack traffic and the capacity of the DMS. Figure 3 gives an overview of this use case. Figure 4 provides an example of a DOTS telemetry message body that is used to signal percentiles for total attack traffic.
このユースケースにより、トランジットプロバイダーは、攻撃トラフィックの量とDMSの容量に基づいて、緩和に十分な容量を持つDMSを選択できます。図3に、このユースケースの概要を示します。図4は、攻撃トラフィック全体のパーセンタイルを通知するために使用されるドットテレメトリーメッセージ本文の例を示しています。
(Internet Transit Provider)
+-----------+ +--------------+ SNMP or YANG/NETCONF
IPFIX +-----------+| DOTS | |<---
--->| Flow ||C<-->S| Orchestrator | BGP (Redirect)
| collector |+ | |--->
+-----------+ +--------------+
+------------+
IPFIX +------------+| BGP (Redirect)
<---| Forwarding ||<---
| nodes ||
| || DDoS Attack
[Target A] | ++=================== [Destined for Target A]
[Target B] | || ++=============== [Destined for Target B]
+-||--||-----+
|| ||
++====++ || (congested DMS)
|| || +-----------+
|| |/ | DMS3 |
|| +-----x------+ |<--- SNMP or YANG/NETCONF
|/ | DMS2 |--------+
+--x---------+ |<--- SNMP or YANG/NETCONF
| DMS1 |------+
| |<--- SNMP or YANG/NETCONF
+------------+
C: DOTS client functionality
S: DOTS server functionality
Figure 3: DMS Selection for Mitigation
図3:緩和のためのDMS選択
{
"ietf-dots-telemetry:telemetry": {
"pre-or-ongoing-mitigation": [
{
"target": {
"target-prefix": [
"192.0.2.3/32"
]
},
"total-attack-traffic": [
{
"unit": "megabit-ps",
"low-percentile-g": "600",
"mid-percentile-g": "800",
"high-percentile-g": "1000",
"peak-g":"1100",
"current-g":"700"
}
]
}
]
}
}
Figure 4: Example of Message Body with Total Attack Traffic
図4:総攻撃トラフィックを備えたメッセージ本文の例
The forwarding nodes send traffic statistics to the flow collectors, e.g., using IPFIX. When DDoS attacks occur, the flow collectors identify the attack traffic and send information about the attack traffic volume to the orchestrator using the "target-prefix" and "total-attack-traffic" DOTS telemetry attributes. The orchestrator then checks the available capacity of the DMSes using a network management protocol, such as the Simple Network Management Protocol (SNMP) [RFC3413] or YANG with the Network Configuration Protocol (YANG/NETCONF) [RFC7950]. After that, the orchestrator selects a DMS with sufficient capacity to which attack traffic should be redirected. For example, a simple DMS selection algorithm can be used to choose a DMS whose available capacity is greater than the "peak-g" telemetry attribute indicated in the DOTS telemetry message. The orchestrator orders the appropriate forwarding nodes to redirect the attack traffic to the DMS relying upon routing policies, such as BGP [RFC4271].
転送ノードは、IPFIXを使用して、トラフィック統計をフローコレクターに送信します。DDOS攻撃が発生すると、フローコレクターは攻撃トラフィックを識別し、攻撃トラフィックボリュームに関する情報を「Target-Prefix」および「Total-Attack-Traffic」ドットテレメトリ属性を使用してオーケストレーターに送信します。オーケストレーターは、ネットワーク構成プロトコル(YANG/NetConf)[RFC7950]を使用して、シンプルネットワーク管理プロトコル(SNMP)[RFC3413]またはYangなど、ネットワーク管理プロトコルを使用してDMSESの使用可能な容量をチェックします。その後、オーケストレーターは、攻撃トラフィックをリダイレクトすべき十分な能力を持つDMSを選択します。たとえば、単純なDMS選択アルゴリズムを使用して、DOTSテレメトリーメッセージに示されている「Peak-G」テレメトリ属性よりも利用可能な容量が大きいDMを選択できます。オーケストレーターは、BGP [RFC4271]などのルーティングポリシーに依存して、攻撃トラフィックをDMSにリダイレクトするために、適切な転送ノードを命じます。
The detailed DMS selection algorithm is out of the scope of this document.
詳細なDMS選択アルゴリズムは、このドキュメントの範囲外です。
The flow collector implements a DOTS client while the orchestrator implements a DOTS server.
フローコレクターはドットクライアントを実装し、オーケストレーターはドットサーバーを実装します。
A transit provider network has multiple paths to convey attack traffic to a DMS. In such a network, the attack traffic can be conveyed while avoiding congested links by adequately selecting an available path.
トランジットプロバイダーネットワークには、攻撃トラフィックをDMSに伝えるための複数のパスがあります。このようなネットワークでは、利用可能なパスを適切に選択することにより、攻撃トラフィックを伝達することができます。
This use case enables transit providers to select a path with sufficient bandwidth for redirecting attack traffic to a DMS according to the bandwidth of the attack traffic and total traffic. Figure 5 gives an overview of this use case. Figure 6 provides an example of a DOTS telemetry message body that is used to signal percentiles for total traffic and total attack traffic.
このユースケースにより、トランジットプロバイダーは、攻撃トラフィックと総トラフィックの帯域幅に従って、攻撃トラフィックをDMSにリダイレクトするための十分な帯域幅のあるパスを選択できます。図5に、このユースケースの概要を示します。図6は、総トラフィックと総攻撃トラフィックのパーセンタイルを通知するために使用されるドットテレメトリーメッセージ本文の例を示しています。
(Internet Transit Provider)
+-----------+ +--------------+ DOTS
+-----------+| | |S<---
IPFIX | Flow || DOTS | Orchestrator |
-->| collector ||C<-->S| | BGP Flowspec (Redirect)
| |+ | |--->
+-----------+ +--------------+
DOTS +------------+ DOTS +------------+ IPFIX
--->C| Forwarding | --->C| Forwarding |--->
BGP Flowspec | node | | node |
(Redirect) --->| | | | DDoS Attack
[Target] | ++====================================
+-------||---+ +------------+
|| /
|| / (congested link)
|| /
DOTS +-||----------------+ BGP Flowspec (Redirect)
--->C| || Forwarding |<---
| ++=== node |
+----||-------------+
|/
+--x-----------+
| DMS |
+--------------+
C: DOTS client functionality
S: DOTS server functionality
Figure 5: Path Selection for Redirection
図5:リダイレクトのパス選択
{
"ietf-dots-telemetry:telemetry": {
"pre-or-ongoing-mitigation": [
{
"target": {
"target-prefix": [
"2001:db8::1/128"
]
},
"total-traffic": [
{
"unit": "megabit-ps",
"mid-percentile-g": "1300",
"peak-g": "800"
}
],
"total-attack-traffic": [
{
"unit": "megabit-ps",
"low-percentile-g": "600",
"mid-percentile-g": "800",
"high-percentile-g": "1000",
"peak-g": "1100",
"current-g": "700"
}
]
}
]
}
}
Figure 6: Example of Message Body with Total Attack Traffic and Total Traffic
図6:合計攻撃トラフィックと総トラフィックを備えたメッセージ本文の例
The forwarding nodes send traffic statistics to the flow collectors, e.g., using IPFIX. When DDoS attacks occur, the flow collectors identify attack traffic and send information about the attack traffic volume to the orchestrator using the "target-prefix" and "total-attack-traffic" DOTS telemetry attributes. The underlying forwarding nodes send the volume of the total traffic passing the node to the orchestrator using the "total-traffic" telemetry attributes. The orchestrator then selects a path with sufficient bandwidth to which the flow of attack traffic should be redirected. For example, a simple selection algorithm can be used to choose a path whose available capacity is greater than the "peak-g" telemetry attribute that was indicated in a DOTS telemetry message. After that, the orchestrator orders the appropriate forwarding nodes to redirect the attack traffic to the DMS by dissemination of Flow Specifications using tools such as BGP Flowspec [RFC8955].
転送ノードは、IPFIXを使用して、トラフィック統計をフローコレクターに送信します。DDOS攻撃が発生すると、フローコレクターは攻撃トラフィックを識別し、「ターゲットプレーフィックス」および「ターゲット攻撃」ドットテレメトリー属性を使用して、攻撃トラフィックボリュームに関する情報をオーケストレーターに送信します。基礎となる転送ノードは、「トータルトラフィック」テレメトリ属性を使用して、ノードをオーケストレーターに通す総トラフィックのボリュームを送信します。オーケストレーターは、攻撃トラフィックの流れをリダイレクトする十分な帯域幅のあるパスを選択します。たとえば、単純な選択アルゴリズムを使用して、DOTSテレメトリーメッセージに示された「Peak-G」テレメトリ属性よりも利用可能な容量が大きいパスを選択できます。その後、オーケストレーターは、BGP FlowsPec [RFC8955]などのツールを使用してフロー仕様の普及により、適切な転送ノードをDMSにリダイレクトするように命じます。
The detailed path selection algorithm is out of the scope of this document.
詳細なパス選択アルゴリズムは、このドキュメントの範囲外です。
The flow collector and forwarding nodes implement a DOTS client while the orchestrator implements a DOTS server.
フローコレクターと転送ノードはドットクライアントを実装し、オーケストレーターはドットサーバーを実装します。
Short but extreme volumetric attacks, such as pulse wave DDoS attacks, are threats to Internet transit provider networks. These attacks start from zero and go to maximum values in a very short time span. The attacks go back to zero and then back to maximum values, repeating in continuous cycles at short intervals. It is difficult for transit providers to mitigate such an attack with their DMSes by redirecting attack flows because this may cause route flapping in the network. The practical way to mitigate short but extreme volumetric attacks is to offload mitigation actions to a forwarding node.
パルス波のDDOS攻撃など、短いが極端なボリューム攻撃は、インターネットトランジットプロバイダーネットワークに対する脅威です。これらの攻撃はゼロから始まり、非常に短い期間で最大値になります。攻撃はゼロに戻り、最大値に戻り、短い間隔で連続サイクルで繰り返されます。トランジットプロバイダーは、ネットワーク内のルート羽ばたきを引き起こす可能性があるため、攻撃フローをリダイレクトすることにより、DMSSでこのような攻撃を軽減することが困難です。短いが極端なボリューム攻撃を緩和する実用的な方法は、緩和策を転送ノードにオフロードすることです。
This use case enables transit providers to mitigate short but extreme volumetric attacks. Furthermore, the aim is to estimate the network-access success rate based on the bandwidth of the attack traffic. Figure 7 gives an overview of this use case. Figure 8 provides an example of a DOTS telemetry message body that is used to signal total pipe capacity. Figure 9 provides an example of a DOTS telemetry message body that is used to signal various percentiles for total traffic and total attack traffic.
このユースケースにより、トランジットプロバイダーは、短いが極端なボリューム攻撃を軽減できます。さらに、目的は、攻撃トラフィックの帯域幅に基づいて、ネットワークアクセス成功率を推定することです。図7に、このユースケースの概要を示します。図8は、総パイプ容量を通知するために使用されるドットテレメトリーメッセージ本文の例を示しています。図9は、総トラフィックと総攻撃トラフィックのさまざまなパーセンタイルを通知するために使用されるドットテレメトリーメッセージ本文の例を示しています。
(Internet Transit Provider)
+------------+ +----------------+
| Network | DOTS | Administrative | BGP Flowspec
Alert----->| Management |C<--->S| System | (Rate-Limit)
| System | | |--->
+------------+ +----------------+
BGP Flowspec
+------------+ +------------+ (Rate-Limit X bps)
| Forwarding | | Forwarding |<---
| node | | node |
Link1 | | | | DDoS & Normal traffic
[Target]<------------------------------------================
Pipe +------------+ +------------+ Attack Traffic
Capability Bandwidth
X bps Y bps
Network-access success rate
X / (X + Y)
C: DOTS client functionality
S: DOTS server functionality
Figure 7: Short but Extreme Volumetric Attack Mitigation
図7:短いが極端なボリューム攻撃緩和
{
"ietf-dots-telemetry:telemetry-setup": {
"telemetry": [
{
"total-pipe-capacity": [
{
"link-id": "link1",
"capacity": "1000",
"unit": "megabit-ps"
}
]
}
]
}
}
Figure 8: Example of Message Body with Total Pipe Capacity
図8:合計パイプ容量のメッセージ本文の例
{
"ietf-dots-telemetry:telemetry": {
"pre-or-ongoing-mitigation": [
{
"target": {
"target-prefix": [
"2001:db8::1/128"
]
},
"total-traffic": [
{
"unit": "megabit-ps",
"mid-percentile-g": "800",
"peak-g": "1300"
}
],
"total-attack-traffic": [
{
"unit": "megabit-ps",
"low-percentile-g": "200",
"mid-percentile-g": "400",
"high-percentile-g": "500",
"peak-g": "600",
"current-g": "400"
}
]
}
]
}
}
Figure 9: Example of Message Body with Total Attack Traffic and Total Traffic
図9:総攻撃トラフィックと総トラフィックを備えたメッセージ本文の例
When DDoS attacks occur, the network management system receives alerts. Then, it sends the target IP address(es) and volume of the DDoS attack traffic to the administrative system using the "target-prefix" and "total-attack-traffic" DOTS telemetry attributes. After that, the administrative system orders relevant forwarding nodes to carry out rate-limiting of all traffic destined to the target based on the pipe capability by the dissemination of the Flow Specifications using tools such as BGP Flowspec [RFC8955]. In addition, the administrative system estimates the network-access success rate of the target, which is calculated by (total-pipe-capability / (total-pipe-capability + total-attack-traffic)).
DDOS攻撃が発生すると、ネットワーク管理システムはアラートを受け取ります。次に、ターゲットIPアドレス(ES)とDDOS攻撃トラフィックのボリュームを、「ターゲットプレーフィックス」および「トータルアタックトラフィック」ドットテレメトリ属性を使用して管理システムに送信します。その後、管理システムは、BGP FlowsPec [RFC8955]などのツールを使用してフロー仕様の普及により、パイプ機能に基づいて、ターゲットに基づいてターゲットに導かれるすべてのトラフィックのレート制限を実行するように関連する転送ノードを命じます。さらに、管理システムは、ターゲットのネットワークアクセス成功率を推定します。これは、(合計パイプ能力 /(合計パイプ能力の合計攻撃 - トラフィック))によって計算されます。
Note that total pipe capability information can be gathered by telemetry setup in advance (Section 7.2 of [RFC9244]).
テレメトリセットアップにより、パイプ機能の合計情報は事前に収集できることに注意してください([RFC9244]のセクション7.2)。
The network management system implements a DOTS client while the administrative system implements a DOTS server.
ネットワーク管理システムはDOTSクライアントを実装し、管理システムはDOTSサーバーを実装します。
Some volumetric attacks, such as DNS amplification attacks, can be detected with high accuracy by checking the Layer 3 or Layer 4 information of attack packets. These attacks can be detected and mitigated through cooperation among forwarding nodes and flow collectors using IPFIX. It may also be necessary to inspect the Layer 7 information of suspicious packets to detect attacks such as DNS water torture attacks [DNS_Water_Torture_Attack]. To carry out the DNS water torture attack, an attacker commands a botnet to make thousands of DNS requests for fake subdomains against an authoritative name server. Such attack traffic should be detected and mitigated at the DMS.
DNS増幅攻撃などのいくつかの体積攻撃は、攻撃パケットのレイヤー3またはレイヤー4情報をチェックすることにより、高精度で検出できます。これらの攻撃は、IPFIXを使用して、転送ノードとフローコレクター間の協力を通じて検出および軽減できます。また、DNS水拷問攻撃[DNS_WATER_TORTURE_ATTACK]などの攻撃を検出するために、疑わしいパケットのレイヤー7情報を検査する必要がある場合があります。DNS水拷問攻撃を実行するために、攻撃者はボットネットを指揮して、権威ある名前サーバーに対する偽のサブドメインを何千ものDNS要求にします。このような攻撃トラフィックは、DMSで検出および軽減する必要があります。
This use case enables transit providers to select a mitigation technique based on the type of attack traffic, whether it is an amplification attack or not. To use such a technique, the attack traffic is blocked by forwarding nodes or redirected to a DMS based on the attack type through cooperation among forwarding nodes, flow collectors, and an orchestrator.
このユースケースにより、トランジットプロバイダーは、増幅攻撃であるかどうかにかかわらず、攻撃トラフィックの種類に基づいて緩和手法を選択できます。このような手法を使用するために、攻撃トラフィックはノードを転送するか、転送ノード、フローコレクター、およびオーケストレーター間の協力を通じて攻撃タイプに基づいてDMSにリダイレクトされます。
Figure 10 gives an overview of this use case. Figure 11 provides an example of attack mappings that are shared using the DOTS data channel in advance. Figure 12 provides an example of a DOTS telemetry message body that is used to signal percentiles for total attack traffic, total attack traffic protocol, and total attack connection; it also shows attack details.
図10に、このユースケースの概要を示します。図11は、DOTSデータチャネルを事前に共有される攻撃マッピングの例を示しています。図12は、総攻撃トラフィック、総攻撃トラフィックプロトコル、および総攻撃接続の割合を信号するために使用されるドットテレメトリーメッセージ本文の例を示しています。また、攻撃の詳細も表示されます。
The example in Figure 11 uses the folding defined in [RFC8792] for long lines.
図11の例は、長い線の[RFC8792]で定義されている折りたたみを使用しています。
(Internet Transit Provider)
+-----------+ DOTS +--------------+
+-----------+|<---->| | BGP (Redirect)
IPFIX | Flow ||C S| Orchestrator | BGP Flowspec (Drop)
--->| collector |+ | |--->
+-----------+ +--------------+
+------------+ BGP (Redirect)
IPFIX +------------+| BGP Flowspec (Drop)
<---| Forwarding ||<---
| nodes || DDoS Attack
| ++=====||================
| || ||x<==============[DNS Amp]
| || |+x<==============[NTP Amp]
+-----||-----+
||
|/
+-----x------+
| DDoS |
| mitigation |
| system |
+------------+
C: DOTS client functionality
S: DOTS server functionality
DNS Amp: DNS Amplification
NTP Amp: NTP Amplification
Figure 10: Selecting Mitigation Technique Based on Attack Type
図10:攻撃タイプに基づく緩和手法の選択
=============== NOTE: '\' line wrapping per RFC 8792 ================
{
"ietf-dots-mapping:vendor-mapping": {
"vendor": [
{
"vendor-id": 32473,
"vendor-name": "mitigator-c",
"last-updated": "1629898958",
"attack-mapping": [
{
"attack-id": 77,
"attack-description": "DNS amplification Attack: \
This attack is a type of reflection attack in which attackers \
spoof a target's IP address. The attackers abuse vulnerabilities \
in DNS servers to turn small queries into larger payloads."
},
{
"attack-id": 92,
"attack-description":"NTP amplification Attack: \
This attack is a type of reflection attack in which attackers \
spoof a target's IP address. The attackers abuse vulnerabilities \
in NTP servers to turn small queries into larger payloads."
}
]
}
]
}
}
Figure 11: Example of Message Body with Attack Mappings
図11:攻撃マッピングを備えたメッセージ本文の例
{
"ietf-dots-telemetry:telemetry": {
"pre-or-ongoing-mitigation": [
{
"target": {
"target-prefix": [
"2001:db8::1/128"
]
},
"total-attack-traffic": [
{
"unit": "megabit-ps",
"low-percentile-g": "600",
"mid-percentile-g": "800",
"high-percentile-g": "1000",
"peak-g": "1100",
"current-g": "700"
}
],
"total-attack-traffic-protocol": [
{
"protocol": 17,
"unit": "megabit-ps",
"mid-percentile-g": "500"
},
{
"protocol": 15,
"unit": "megabit-ps",
"mid-percentile-g": "200"
}
],
"total-attack-connection": [
{
"mid-percentile-l": [
{
"protocol": 15,
"connection": 200
}
],
"high-percentile-l": [
{
"protocol": 17,
"connection": 300
}
]
}
],
"attack-detail": [
{
"vendor-id": 32473,
"attack-id": 77,
"start-time": "1641169211",
"attack-severity": "high"
},
{
"vendor-id": 32473,
"attack-id": 92,
"start-time": "1641172809",
"attack-severity": "high"
}
]
}
]
}
}
Figure 12: Example of Message Body with Total Attack Traffic, Total Attack Traffic Protocol, Total Attack Connection, and Attack Detail
図12:合計攻撃トラフィック、総攻撃トラフィックプロトコル、総攻撃接続、および攻撃の詳細を備えたメッセージ本文の例
Attack mappings are shared using the DOTS data channel in advance (Section 8.1.6 of [RFC9244]). The forwarding nodes send traffic statistics to the flow collectors, e.g., using IPFIX. When DDoS attacks occur, the flow collectors identify attack traffic and send attack type information to the orchestrator using the "vendor-id" and "attack-id" telemetry attributes. The orchestrator then resolves abused port numbers and orders relevant forwarding nodes to block the amplification attack traffic flow by dissemination of Flow Specifications using tools such as BGP Flowspec [RFC8955]. Also, the orchestrator orders relevant forwarding nodes to redirect traffic other than the amplification attack traffic using a routing protocol, such as BGP [RFC4271].
攻撃マッピングは、[RFC9244]のセクション8.1.6)を事前にDOTSデータチャネルを使用して共有されます。転送ノードは、IPFIXを使用して、トラフィック統計をフローコレクターに送信します。DDOS攻撃が発生すると、フローコレクターは攻撃トラフィックを識別し、「ベンダーID」および「攻撃ID」テレメトリ属性を使用して攻撃タイプ情報をオーケストレーターに送信します。オーケストレーターは、乱用されたポート番号を解決し、関連する転送ノードを注文して、BGP FlowsPec [RFC8955]などのツールを使用して、フロー仕様の普及により増幅攻撃トラフィックフローをブロックします。また、オーケストレーターは、BGP [RFC4271]などのルーティングプロトコルを使用して、増幅攻撃トラフィック以外のトラフィックをリダイレクトするための関連する転送ノードを注文します。
The flow collector implements a DOTS client while the orchestrator implements a DOTS server.
フローコレクターはドットクライアントを実装し、オーケストレーターはドットサーバーを実装します。
It is possible for the transit provider to add value to the DDoS mitigation service by reporting ongoing and detailed DDoS countermeasure status to the enterprise network. In addition, it is possible for the transit provider to know whether the DDoS countermeasure is effective or not by receiving reports from the enterprise network.
継続的かつ詳細なDDOS対策ステータスをエンタープライズネットワークに報告することにより、トランジットプロバイダーがDDOS緩和サービスに価値を追加することができます。さらに、Enterprise Networkからレポートを受信することにより、Transit ProviderがDDOSの対策が効果的かどうかを知ることができます。
This use case enables the mutual sharing of information about ongoing DDoS countermeasures between the transit provider and the enterprise network. Figure 13 gives an overview of this use case. Figure 14 provides an example of a DOTS telemetry message body that is used to signal total pipe capacity from the enterprise network administrator to the orchestrator in the ISP. Figure 15 provides an example of a DOTS telemetry message body that is used to signal percentiles for total traffic and total attack traffic as well as attack details from the orchestrator to the network.
このユースケースにより、トランジットプロバイダーとエンタープライズネットワーク間の進行中のDDOS対策に関する情報の相互共有を可能にします。図13に、このユースケースの概要を示します。図14は、Enterprise Network管理者からISPのオーケストレーターへの合計パイプ容量を通知するために使用されるDOTSテレメトリーメッセージ本文の例を示しています。図15は、オーケストレーターからネットワークへの攻撃の詳細だけでなく、総トラフィックと総攻撃トラフィックのパーセンタイルを通知するために使用されるドットテレメトリーメッセージ本文の例を示しています。
+------------------+ +------------------------+
| Enterprise | | Upstream |
| Network | | Internet Transit |
| +------------+ | | Provider |
| | Network |C | | S+--------------+ |
| | admini- |<-----DOTS---->| Orchestrator | |
| | strator | | | +--------------+ |
| +------------+ | | C ^ |
| | | | DOTS |
| | | S v |
| | | +---------------+ DDoS Attack
| | | | DMS |+=======
| | | +---------------+ |
| | | || Clean |
| | | |/ Traffic |
| +---------+ | | +---------------+ |
| | DDoS | | | | Forwarding | Normal Traffic
| | Target |<================| Node |========
| +---------+ | Link1 | +---------------+ |
+------------------+ +------------------------+
C: DOTS client functionality
S: DOTS server functionality
Figure 13: Detailed DDoS Mitigation Report
図13:詳細なDDOS緩和レポート
{
"ietf-dots-telemetry:telemetry-setup": {
"telemetry": [
{
"total-pipe-capacity": [
{
"link-id": "link1",
"capacity": "1000",
"unit": "megabit-ps"
}
]
}
]
}
}
Figure 14: Example of Message Body with Total Pipe Capacity
図14:合計パイプ容量のメッセージ本文の例
{
"ietf-dots-telemetry:telemetry": {
"pre-or-ongoing-mitigation": [
{
"tmid": 567,
"target": {
"target-prefix": [
"2001:db8::1/128"
]
},
"target-protocol": [
17
],
"total-traffic": [
{
"unit": "megabit-ps",
"mid-percentile-g": "800"
}
],
"total-attack-traffic": [
{
"unit": "megabit-ps",
"mid-percentile-g": "100"
}
],
"attack-detail": [
{
"vendor-id": 32473,
"attack-id": 77,
"start-time": "1644819611",
"attack-severity": "high"
}
]
}
]
}
}
Figure 15: Example of Message Body with Total Traffic, Total Attack Traffic, and Attack Detail
図15:総トラフィック、総攻撃トラフィック、攻撃の詳細を備えたメッセージ本文の例
The network management system in the enterprise network reports limits of incoming traffic volume from the transit provider to the orchestrator in the transit provider in advance. It is reported using the "total-pipe-capacity" telemetry attribute in the DOTS telemetry setup.
エンタープライズネットワークのネットワーク管理システムは、トランジットプロバイダーからトランジットプロバイダーのオーケストレーターへの交通量の入ってくる制限を事前に報告しています。DOTSテレメトリセットアップで「Total-Pipe-Capacity」テレメトリ属性を使用して報告されています。
When DDoS attacks occur, DDoS mitigation orchestration [RFC8903] is carried out in the transit provider. Then, the DDoS mitigation systems report the status of DDoS countermeasures to the orchestrator by sending "attack-detail" telemetry attributes. After that, the orchestrator integrates the reports from the DDoS mitigation systems, while removing duplicate contents, and sends the integrated report to a network administrator using DOTS telemetry periodically.
DDOS攻撃が発生すると、DDOS緩和オーケストレーション[RFC8903]が輸送プロバイダーで実行されます。次に、DDOS緩和システムは、「攻撃」テレメトリ属性を送信することにより、オーケストレーターへのDDOS対策のステータスを報告します。その後、オーケストレーターはDDOS緩和システムからのレポートを統合し、重複したコンテンツを削除し、定期的にDOTSテレメトリを使用して統合レポートをネットワーク管理者に送信します。
During the DDoS mitigation, the orchestrator in the transit provider retrieves the link congestion status from the network manager in the enterprise network using the "total-traffic" telemetry attributes. Then, the orchestrator checks whether or not the DDoS countermeasures are effective by comparing the "total-traffic" and the "total-pipe-capacity" telemetry attributes.
DDOSの緩和中に、Transit Providerのオーケストレーターは、「Total-Truffic」テレメトリ属性を使用して、エンタープライズネットワークのネットワークマネージャーからリンク渋滞ステータスを取得します。次に、オーケストレーターは、DDOの対策が「総トラフィック」と「総パイプ容量」テレメトリ属性を比較することにより効果的であるかどうかをチェックします。
The DMS implements a DOTS server while the orchestrator behaves as a DOTS client and a server in the transit provider. In addition, the network administrator implements a DOTS client.
DMSはドットサーバーを実装し、オーケストレーターはTransitプロバイダーのDOTSクライアントとサーバーとして動作します。さらに、ネットワーク管理者はDOTSクライアントを実装しています。
DDoS detection based on tools, such as IPFIX, is a lighter-weight method of detecting DDoS attacks compared to DMSes in Internet transit provider networks. DDoS detection based on the DMSes is a more accurate method for detecting attack traffic than flow monitoring.
IPFIXなどのツールに基づくDDOS検出は、インターネットトランジットプロバイダーネットワークのDMSと比較して、DDOS攻撃を検出する軽量な方法です。DMSESに基づくDDOS検出は、フローモニタリングよりも攻撃トラフィックを検出するためのより正確な方法です。
The aim of this use case is to increase flow collectors' detection accuracy by carrying out supervised machine-learning techniques according to attack detail reported by the DMSes. To use such a technique, forwarding nodes, flow collectors, and a DMS should cooperate. Figure 16 gives an overview of this use case. Figure 17 provides an example of a DOTS telemetry message body that is used to signal attack detail.
このユースケースの目的は、DMSESによって報告された攻撃の詳細に従って、監視された機械学習技術を実行することにより、フローコレクターの検出精度を高めることです。このような手法を使用するには、ノード、フローコレクター、およびDMSを転送する必要があります。図16に、このユースケースの概要を示します。図17は、攻撃の詳細を知らせるために使用されるドットテレメトリーメッセージ本文の例を示しています。
+-----------+
+-----------+| DOTS
IPFIX | Flow ||S<---
--->| collector ||
+-----------++
+------------+
IPFIX +------------+|
<---| Forwarding ||
| nodes || DDoS Attack
[ Target ] | ++==============================
| || ++===========================
| || || ++========================
+---||-|| ||-+
|| || ||
|/ |/ |/
DOTS +---X--X--X--+
--->C| DDoS |
| mitigation |
| system |
+------------+
C: DOTS client functionality
S: DOTS server functionality
Figure 16: Supervised Machine Learning of Flow Collector
図16:フローコレクターの監視された機械学習
{
"ietf-dots-telemetry:telemetry": {
"pre-or-ongoing-mitigation": [
{
"target": {
"target-prefix": [
"2001:db8::1/128"
]
},
"attack-detail": [
{
"vendor-id": 32473,
"attack-id": 77,
"start-time": "1634192411",
"attack-severity": "high",
"top-talker": {
"talker": [
{
"source-prefix": "2001:db8::2/127"
}
]
}
}
]
}
]
}
}
Figure 17: Example of Message Body with Attack Detail and Top Talkers
図17:攻撃の詳細とトップトーカーを備えたメッセージ本文の例
The forwarding nodes send traffic statistics to the flow collectors, e.g., using IPFIX. When DDoS attacks occur, DDoS mitigation orchestration is carried out (as per Section 3.3 of [RFC8903]), and the DMS mitigates all attack traffic destined for a target. The DDoS mitigation system reports the "vendor-id", "attack-id", and "top-talker" telemetry attributes to a flow collector.
転送ノードは、IPFIXを使用して、トラフィック統計をフローコレクターに送信します。DDOS攻撃が発生すると、DDOS緩和オーケストレーションが実行されます([RFC8903]のセクション3.3に従って)、DMSはターゲットに向けられたすべての攻撃トラフィックを軽減します。DDOS緩和システムは、フローコレクターに「ベンダーID」、「攻撃ID」、および「トップトーカー」テレメトリ属性を報告しています。
After mitigating a DDoS attack, the flow collector attaches outputs of the DMS as labels to the statistics of the traffic flow of top talkers. The outputs, for example, are the "attack-id" telemetry attributes. The flow collector then carries out supervised machine learning to increase its detection accuracy, setting the statistics as an explanatory variable and setting the labels as an objective variable.
DDOS攻撃を緩和した後、フローコレクターは、トップトーカーのトラフィックフローの統計にラベルとしてDMの出力を取り付けます。たとえば、出力は「攻撃ID」テレメトリ属性です。その後、フローコレクターは、検出精度を高め、統計を説明変数として設定し、ラベルを客観的変数として設定するために、監視された機械学習を実行します。
The DMS implements a DOTS client while the flow collector implements a DOTS server.
DMSはDOTSクライアントを実装し、フローコレクターはDOTSサーバーを実装します。
DMSes can detect DDoS attack traffic, which means DMSes can also identify clean traffic. This use case supports unsupervised machine learning for anomaly detection according to a baseline reported by the DMSes. To use such a technique, forwarding nodes, flow collectors, and a DMS should cooperate. Figure 18 gives an overview of this use case. Figure 19 provides an example of a DOTS telemetry message body that is used to signal baseline.
DMSEはDDOS攻撃トラフィックを検出できます。つまり、DMSEはクリーンなトラフィックを識別できます。このユースケースは、DMSESによって報告されたベースラインに従って、異常検出のための監視されていない機械学習をサポートします。このような手法を使用するには、ノード、フローコレクター、およびDMSを転送する必要があります。図18に、このユースケースの概要を示します。図19は、ベースラインのシグナルに使用されるドットテレメトリーメッセージ本文の例を示しています。
+-----------+
+-----------+|
DOTS | Flow ||
--->S| collector ||
+-----------++
+------------+
+------------+|
| Forwarding ||
| nodes || Traffic
[ Destination ] <== =============++==============================
| || ||
| || |+
+---||-------+
||
|/
DOTS +---X--------+
--->C| DDoS |
| mitigation |
| system |
+------------+
C: DOTS client functionality
S: DOTS server functionality
Figure 18: Unsupervised Machine Learning of Flow Collector
図18:監視されていないフローコレクターの機械学習
{
"ietf-dots-telemetry:telemetry-setup": {
"telemetry": [
{
"baseline": [
{
"id": 1,
"target-prefix": [
"2001:db8:6401::1/128"
],
"target-port-range": [
{
"lower-port": "53"
}
],
"target-protocol": [
17
],
"total-traffic-normal": [
{
"unit": "megabit-ps",
"low-percentile-g": "30",
"mid-percentile-g": "50",
"high-percentile-g": "60",
"peak-g": "70"
}
]
}
]
}
]
}
}
Figure 19: Example of Message Body with Traffic Baseline
図19:トラフィックベースラインのメッセージ本文の例
The forwarding nodes carry out traffic mirroring to copy the traffic destined to an IP address and to monitor the traffic by a DMS. The DMS then identifies clean traffic and reports the baseline telemetry attributes to the flow collector using DOTS telemetry.
転送ノードは、トラフィックミラーリングを実行して、IPアドレスに運命づけられているトラフィックをコピーし、DMSによるトラフィックを監視します。次に、DMSはクリーントラフィックを識別し、DOTSテレメトリを使用してベースラインテレメトリ属性をフローコレクターに報告します。
The flow collector then carries out unsupervised machine learning to be able to carry out anomaly detection.
その後、フローコレクターは、異常検出を実行できるように、監視されていない機械学習を実行します。
The DMS implements a DOTS client while the flow collector implements a DOTS server.
DMSはDOTSクライアントを実装し、フローコレクターはDOTSサーバーを実装します。
Security considerations for DOTS telemetry are discussed in Section 14 of [RFC9244]. These considerations apply to the communication interfaces where DOTS is used.
DOTSテレメトリーのセキュリティ上の考慮事項については、[RFC9244]のセクション14で説明しています。これらの考慮事項は、ドットが使用される通信インターフェイスに適用されます。
Some use cases involve controllers, orchestrators, and programmable interfaces. These interfaces can be misused by misbehaving nodes to further exacerbate DDoS attacks. The considerations are for end-to-end systems for DoS mitigation, so the mechanics are outside the scope of DOTS protocols. Section 5 of [RFC7149] discusses some generic security considerations to take into account in such contexts (e.g., reliable access control). Specific security measures depend on the actual mechanism used to control underlying forwarding nodes and other controlled elements. For example, Section 12 of [RFC8955] discusses security considerations that are relevant to BGP Flowspec. IPFIX-specific considerations are discussed in Section 11 of [RFC7011].
一部のユースケースには、コントローラー、オーケストレーター、およびプログラム可能なインターフェイスが含まれます。これらのインターフェイスは、DDOS攻撃をさらに悪化させるためにノードを誤動作することにより誤用される可能性があります。考慮事項は、DOS緩和のエンドツーエンドシステムに関するものであるため、メカニズムはドットプロトコルの範囲外です。[RFC7149]のセクション5では、そのようなコンテキスト(たとえば、信頼できるアクセス制御など)で考慮すべき一般的なセキュリティ上の考慮事項について説明します。特定のセキュリティ対策は、基礎となる転送ノードおよびその他の制御要素を制御するために使用される実際のメカニズムに依存します。たとえば、[RFC8955]のセクション12では、BGP FlowsPecに関連するセキュリティに関する考慮事項について説明します。IPFIX固有の考慮事項については、[RFC7011]のセクション11で説明します。
This document has no IANA actions.
このドキュメントにはIANAアクションがありません。
[RFC9244] Boucadair, M., Ed., Reddy.K, T., Ed., Doron, E., Chen, M.,
and J. Shallow, "Distributed Denial-of-Service Open Threat
Signaling (DOTS) Telemetry", RFC 9244,
DOI 10.17487/RFC9244, June 2022,
<https://www.rfc-editor.org/info/rfc9244>.
[DNS_Water_Torture_Attack]
Luo, X., Wang, L., Xu, Z., Chen, K., Yang, J., and T.
Tian, "A Large Scale Analysis of DNS Water Torture
Attack", CSAI '18: Proceedings of the 2018 2nd
International Conference on Computer Science and
Artificial Intelligence, pp. 168-173,
DOI 10.1145/3297156.3297272, December 2018,
<https://dl.acm.org/doi/10.1145/3297156.3297272>.
[DOTS_Overview]
Reddy, T. and M. Boucadair, "DDoS Open Threat Signaling
(DOTS)", July 2020,
<https://datatracker.ietf.org/meeting/108/materials/
slides-108-saag-dots-overview-00>.
[RFC3413] Levi, D., Meyer, P., and B. Stewart, "Simple Network
Management Protocol (SNMP) Applications", STD 62,
RFC 3413, DOI 10.17487/RFC3413, December 2002,
<https://www.rfc-editor.org/info/rfc3413>.
[RFC4271] Rekhter, Y., Ed., Li, T., Ed., and S. Hares, Ed., "A
Border Gateway Protocol 4 (BGP-4)", RFC 4271,
DOI 10.17487/RFC4271, January 2006,
<https://www.rfc-editor.org/info/rfc4271>.
[RFC7011] Claise, B., Ed., Trammell, B., Ed., and P. Aitken,
"Specification of the IP Flow Information Export (IPFIX)
Protocol for the Exchange of Flow Information", STD 77,
RFC 7011, DOI 10.17487/RFC7011, September 2013,
<https://www.rfc-editor.org/info/rfc7011>.
[RFC7149] Boucadair, M. and C. Jacquenet, "Software-Defined
Networking: A Perspective from within a Service Provider
Environment", RFC 7149, DOI 10.17487/RFC7149, March 2014,
<https://www.rfc-editor.org/info/rfc7149>.
[RFC7950] Bjorklund, M., Ed., "The YANG 1.1 Data Modeling Language",
RFC 7950, DOI 10.17487/RFC7950, August 2016,
<https://www.rfc-editor.org/info/rfc7950>.
[RFC8612] Mortensen, A., Reddy, T., and R. Moskowitz, "DDoS Open
Threat Signaling (DOTS) Requirements", RFC 8612,
DOI 10.17487/RFC8612, May 2019,
<https://www.rfc-editor.org/info/rfc8612>.
[RFC8783] Boucadair, M., Ed. and T. Reddy.K, Ed., "Distributed
Denial-of-Service Open Threat Signaling (DOTS) Data
Channel Specification", RFC 8783, DOI 10.17487/RFC8783,
May 2020, <https://www.rfc-editor.org/info/rfc8783>.
[RFC8792] Watsen, K., Auerswald, E., Farrel, A., and Q. Wu,
"Handling Long Lines in Content of Internet-Drafts and
RFCs", RFC 8792, DOI 10.17487/RFC8792, June 2020,
<https://www.rfc-editor.org/info/rfc8792>.
[RFC8903] Dobbins, R., Migault, D., Moskowitz, R., Teague, N., Xia,
L., and K. Nishizuka, "Use Cases for DDoS Open Threat
Signaling", RFC 8903, DOI 10.17487/RFC8903, May 2021,
<https://www.rfc-editor.org/info/rfc8903>.
[RFC8955] Loibl, C., Hares, S., Raszuk, R., McPherson, D., and M.
Bacher, "Dissemination of Flow Specification Rules",
RFC 8955, DOI 10.17487/RFC8955, December 2020,
<https://www.rfc-editor.org/info/rfc8955>.
[RFC9132] Boucadair, M., Ed., Shallow, J., and T. Reddy.K,
"Distributed Denial-of-Service Open Threat Signaling
(DOTS) Signal Channel Specification", RFC 9132,
DOI 10.17487/RFC9132, September 2021,
<https://www.rfc-editor.org/info/rfc9132>.
The authors would like to thank Mohamed Boucadair and Valery Smyslov for their valuable feedback.
著者は、貴重なフィードバックについてMohamed BoucadairとValery Smyslovに感謝したいと思います。
Thanks to Paul Wouters for the detailed AD review.
詳細な広告レビューをしてくれたPaul Woutersに感謝します。
Many thanks to Donald Eastlake 3rd, Phillip Hallam-Baker, Sean Turner, and Peter Yee for their reviews.
ドナルド・イーストレイク・3rd、フィリップ・ハラム・ベーカー、ショーン・ターナー、ピーター・イーのレビューに感謝します。
Thanks to Lars Eggert, Murray Kucherawy, Roman Danyliw, Robert Wilton, and Éric Vyncke for the IESG review.
Lars Eggert、Murray Kuchherawy、Roman Danyliw、Robert Wilton、およびEric Vynckeに感謝します。
Yuhei Hayashi
NTT
3-9-11, Midori-cho, Tokyo
180-8585
Japan
Email: yuuhei.hayashi@gmail.com
Meiling Chen
China Mobile
32, Xuanwumen West
Beijing
100053
China
Email: chenmeiling@chinamobile.com
Li Su
China Mobile
32, Xuanwumen West
Beijing
100053
China
Email: suli@chinamobile.com