BGP ルーターには，Flowspec という機能があります．2009年にRFC5575 として標準化されたもので，ざっくり言えば「遠くのルーターでパケットフィルターを発動させる」機能．

最近 注目されているこのFlowspec のうち，とくにバリデーションについて調べました．

2015-05-28 追記

@shtsuchi さんに指摘をもらい，IOS-XRv の実装が分かりましたので 追記しました．Flowspec ちゃんと動きます．コメントありがとうございました！

2023-01-31 追記

@a16tochjp さんに JUNOS 実装についてコメントをもらい，RFC9117 について追記しました．ありがとうございました！

ところで，使われてるの?

当初脚光を浴びましたが 大規模にデプロイする事業者がなく，その後しばらく下火でした．ここ数年でコンテンツプロバイダー中心にアーリーアダプターが使いはじめ，少しずつ注目されてきたのが現状です．

https://www.slideshare.net/Arbor_Networks/aol-flowspec-2015

BGP Flowspec とは

JANOG35 のセッション が詳しいです．

簡単に言えば

1. トラフィックを特定するためのL3/L4 情報
2. 特定したトラフィックの処理方法

をBGP に乗せて伝搬させます．

1. 通常のBGP で言えば「10.0.0.0/8」が入っていたところに「dst prefix=172.16.0.0/16, src prefix=any, proto=1」のような情報が
2. BGP community のところに「rate-limit させる」のような情報が

入っているイメージです．*1

show route すれば「ああ，素直に出力してるんだな」と分かる程度にそのまま表示されます．

バリデーション?

Flowspec は パケット操作方法をeBGP にも乗せられる強力な機能なので，標準にも厳しくバリデーション方法が指定されています．各ルーターでは，Flowspec 経路それぞれをバリデーションし，valid であればそこに記述されているパケットフィルターを発動させます．

A flow specification NLRI must be validated such that it is considered feasible if and only if:

a) The originator of the flow specification matches the originator of the best-match unicast route for the destination prefix embedded in the flow specification.

b) There are no more specific unicast routes, when compared with the flow destination prefix, that have been received from a different neighboring AS than the best-match unicast route, which has been determined in step a).

By originator of a BGP route, we mean either the BGP originator path attribute, as used by route reflection, or the transport address of the BGP peer, if this path attribute is not present.

けっこう重要そうな項目なのに，これだけだと意味がわかりませんね．メーカーサイトにもわかりやすいドキュメントがなかったので「いくつかの実装を試して確かめました」というのが今回の趣旨です．

試したのはJuniper vSRX (12.1X47-D15.4)，Cisco IOS-XRv (5.2.2)．ともにFlowspec をFIB にインストールする部分が実装されていないようで，今回はルーティングだけの確認です．

Flowspec のオリジネーターとDestination Prefix

a) Flowspec のオリジネーターは，Flowspec 中のdestination prefix に対するベストマッチ経路のものと一致する必要がある

意味がわからない その1．

オリジネーターとは，BGP originator パスアトリビュートかBGP ピアのトランスポートアドレス

とあります．

BGP originator パスアトリビュートには，ORIGINATOR_ID のことですが，ルートリフレクターがクライアントのrouter ID を格納します．トランスポートアドレスは，ピアを張るIPアドレスそのものを指します．ですのでFlowspec ルーターは，RR 構成であれば経路のrouter ID を，そうでなければneighbor IP アドレスを使ってオリジネーターを識別していることになります．

なるほど．iBGP だけの世界なら単純そう．ところがiBGP とeBGP を混ぜて考えると少しわかりにくいかもしれません．

トランスポートアドレスが一致する，とは?

iBGP とeBGP がある構成を考えます．

上の構成では どこにも経路フィルターを設定していません．RTR1 から10.0.0.0/8 の経路を広告し，RTR3 まで伝えます．

この構成でRTR2 にstatic なFlowspec (dst=10.0.0.0/8) を設定したとすると，RTR3 にも伝搬しますが，そこでは該当のFlowspec 経路はvalid になります．通常の経路はRTR1 でオリジネートし，Flowspec はRTR2 でオリジネートしたにも関わらず，です．

これは経路の向きを逆にして，RTR1 上で考えたとしても同じです．

このような動作になるのは，Flowspec ルーターがトランスポートアドレスによってオリジネーターを識別しているからです．ようするに「オリジネーターが同じ」とは，「同じBGP セッションから受信した」と解釈して構いません．*2

ベストマッチ経路とは?

該当のprefix を含有する最小の経路のことです．

たとえばBGP テーブル上に10.0.0.0/8 と10.0.0.0/16 がある場合，dst=10.0.0.0/24 なFlowspec 経路に対するベストマッチ経路は10.0.0.0/16 です．

また，ベストマッチ経路が存在しない場合はFlowspec 経路はinvalid です．

逆に言うとBGP テーブル上に10.0.0.0/8 がある場合は，dst=10.0.0.0/8~/32 までのFlowspec 経路がベストマッチ経路を持ち，valid になる可能性があります．

Destination Prefix が指定されていなかった場合は?

「dst 条件がなかったらどうなんの?」と思った方はするどいですね．

• Juniper vSRX の場合
  • dst=0.0.0.0/0 相当です．この場合のベストマッチ経路はデフォルトルート(0.0.0.0/0) です．なので，dst 条件のないFlowspec 経路をvalid にするには，デフォルトルートが必要になります．
• Cisco IOS-XRv の場合
  • オリジネーターバリデーションしません．なので，dst 条件のないFlowspec 経路をvalid にするために，デフォルトルートは必要ありません．

ここまでのまとめ

a) Flowspec のオリジネーターは，Flowspec 中のdestination prefix に対するベストマッチ経路のものと一致する必要がある

というのは，言いかえると

Flowspec 経路と，そのdestination prefix を含む最小の経路は，同じBGP セッションから受信する必要がある

2015-05-28 追記

Cisco IOS-XRv は「iBGP からFlowspec 経路を受信した場合に限り，上のオリジネーターバリデーションをスキップする」という実装になっています．詳しくは後述しますが，Juniper vSRX と動作が違うので注意です．

More Specific な経路があってはいけない，とは?

b) 異なるAS から受信する，more specific な経路がないこと

意味がわからない その2．

こちらも経路フィルターがない構成で，RTR1 とRTR3 から経路を注入します．すると，RTR2 のBGP テーブルに10.0.0.0/8 と10.0.0.0/24 が乗ります．

この状態ではRTR2 上でdst=10.0.0.0/8 なFlowspec 経路はinvalid になり，Flowspec テーブルには乗りません．more specific な/24 の経路があるためです．

「割り当てられた/8 から/24 を他者に割り振る」ような状況も考慮すると，「/8 単位での制御は危険だからやめとくべき」という意図だと思われますが，ちょっと窮屈ですね．

また，今回のテストではなぜか「異なるAS かどうか」は評価されないように見えました．10.0.0.0/24 をiBGP から受信しようが，eBGP から受信しようが，static な経路だろうが，dst=10.0.0.0/8 なFlowspec 経路はinvalid になります．

RFC によると「異なるAS からmore specific 経路が広告された場合のみinvalid」になりそうですが，そのような動作はしません．*3

Destination Prefix が指定されていなかった場合は?

• Juniper vSRX の場合
  • dst=0.0.0.0/0 相当なので，デフォルトルート以外の経路が存在しない場合に限り 該当のFlowspec 経路はvalid になります．通常そんなことはありえないので，destination prefix が指定されていないFlowspec は常にinvalid です．
• Cisco IOS-XRv の場合
  • more specific バリデーションしません．destination prefix が指定されていないFlowspec もvalid になる可能性があります．

Flowspec をstatic に設定することができる

ここまでで，Flowspec のバリデーションは

• Flowspec 経路と，そのdestination prefix を含む最小の経路は，同じBGP セッションから受信している
• BGP テーブル上に，destination prefix よりmore specific な経路がない

ことを確認するものだ，と理解できます．

この動作に不都合を感じる場合は，Flowspec をstatic に設定することで，設定したルーター上に限りバリデーションをスキップすることができます．

たとえばJUNOS でdst prefix を指定せずFlowspec を有効にしたい場合，該当ルーターすべてにstatic 設定することで実現できます．ただ，「そこまでするならパケットフィルターを書いて回ったほうがいいんでは」と感じます．

ほかにstatic 設定はFlowspec をオリジネートするためにも使われますが，通常はこっちがメインだと思います．

Neighbor やピアグループ単位でバリデーションを無効にできる (2015-05-28 追記)

AS内だけでFlowspec を使う場合など，厳しいバリデーションが邪魔になることがあります．その場合はNeighbor やピアグループ単位でバリデーションをスキップすることができます．

Juniper vSRX:

protocols {
    bgp {
        group ibgp {
            family inet {
                flow {
                    no-validate skip-validation;
                }
            }
        }
    }
}

policy-options {
    policy-statement skip-validation {
        then accept;  # フィルター条件をいろいろ書ける
    }
}

Cisco IOS-XRv

router bgp 64600
 neighbor 192.168.1.20
  address-family ipv4 flowspec
   validation disable

Juniper vSRX とCisco IOS-XRv のちがい (2015-05-28 追記)

destination prefix 指定のないFlowspec の扱いなどに違いはありますが，一番大きな差は

@codeout メールしまーす。簡単にいうと、RFC5575の部分、draft-ietf-idr-bgp-flowspec-oidでiBGPはリラックスさせる。eBGPだとknobで無効化しなきゃいけないって感じ

— Shishio Tsuchiya (@shtsuchi) 2015年5月26日

です．Cisco IOS-XRv はdraft-ietf-idr-bgp-flowspec-oid-02 が実装されており，オリジネーターバリデーションが一部変更されています．

Step (a) of the validation procedure specified in RFC 5575, section 6 is redefined as follows:

        a) One of the following conditions MUST hold true:
           o The originator of the flow specification matches the
             originator of the best-match unicast route for the
             destination prefix embedded in the flow specification.
           o The AS_PATH and AS4_PATH attribute of the flow
             specification are empty.
           o The AS_PATH and AS4_PATH attribute of the flow
             specification does not contain AS_SET and AS_SEQUENCE
             segments.

簡単に言えば「iBGP からFlowspec 経路を受信した場合に限り，上のオリジネーターバリデーションをスキップする」です．オリジネーターがベストマッチ経路と一致しない場合や，ベストマッチ経路が存在しない場合でもvalid になる可能性があります．

RFC9117 (2023-01-31 追記)

現在👆のI-Dは RFC9117 になっています．

datatracker.ietf.org

未確認ですが，多くの実装で iBGP から受信したFlowspec 経路に関するバリデーションをスキップすると思われます。@a16tochjp さんのコメントによると「JUNOSもそうなっている」とのことです．

その他

• JUNOS の場合，特定のPFE やVRF だけにインストールすることはできないようです．インターフェイスを指定して設定するパケットフィルターとは考え方が変わる点に注意
  • Cisco IOS-XRv はインターフェイス指定でipv4 flowspec disable 設定可能ですが，今回試せてません．
• Flowspec 経路にも BGP community をつけることができます．いつものようにBGP community を見る経路フィルターを作れば，Flowspec 経路を選択的にvalid にすることができます
• Juniper とCisco で実装が違うので注意

どう使うか?

今回のIOS-XRv のように期待通り動かないことや，CloudFlare でのトラブル のような例もあります．議論の余地はありますが，現状だと まだ「コミュニティに知見が足りないため検証するしかないが，コストに対して得られるメリットが小さい」場合が多そうです．

一方で「用途を限ればすごく便利で，コスト問題も解決できるかも」と感じています．

たとえば，次のような使い方はよさそう．

• DDoS 対策など，小さいdst prefix を守るために使う

  • dst prefix が広い場合，more specific バリデーションで落とされる可能性が高い
  • more specific 経路が無ければ大きいdst prefix でも動くが，いちいち確認するのが手間

• exabgp のようなAPI 豊富なソフトウェアルーターを使い，Flowspec を注入する

  • 自動化のため

• AS ボーダーでフィルターする目的で，ソフトウェアルーターは1段階だけ下流のルーターとピアする

  • 小さいdst prefix を守りたい場合，その経路はおそらく下流からくる
  • トランスポートアドレスバリデーションにより，AS ボーダーでのみFlowspec が動くと期待できる

• 特定のルーターでのみ発動させたい場合は，BGP community で制御

強力なので，ハマれば便利そうですが…どうでしょうかね． 「こういう使い方できそう」「こうやってる」などなど，ぜひご意見ください！

リーン・スタートアップと言ってもいい．Web 界隈ではあたりまえの開発手法を ネットワークの開発に使うのはむずかしい．

自分はインターネットが得意で (ネットワークとしてのインターネットね！) たかだかIP と上下レイヤーくらいしか分からないんだけど，なにか新機能を作るときの事情はだいたい共通していると思うし，幅広く「ネットワーク」とくくってしまう．実際は共通どころか，エンタープライズネットワークのほうが制約が多いし，IP よりPHY のほうがつらい．まだ自由度があるインターネットでさえ，Web 界隈やミドルウェア，サーバーインフラ界隈のようなスピードで動けない．

うらやましいことに，それらの開発についてはオンライン/オフラインいろんなところで議論され，本が出版され，ノウハウが溜まっていく．一方でネットワーク開発は 低いギアでアクセル踏みっぱなしのような，なんか「タスクこなしてるんだけど進んでない感じ」がする．なんですかこの違い．アプリレイヤーの仕事をしているときとは違ったストレスを感じる．

ネットワークエンジニアリングの現場

ハードウェア / ソフトウェアを使ってネットワークに新機能を足したり，地理的に / 帯域的に拡張したり，運用を変えたりする場合，

1. どういう技術があるか調査する
2. テスト環境で粗く試す
3. 設計する
4. 必要なハードウェア，ソフトウェアを調達する
5. 検証環境でちゃんと試す
6. 必要な回線を調達する
7. ユーザーから借用をとる
8. ハードウェア，ソフトウェア，回線をインストールする
9. デプロイする

みたいなことが必要だが，あるあるネタとして

• 調達のリードタイムが予測できない / 長い
• やってみないと，実網にどんな影響が出るかわからない
• 借用に要する時間が予測できない / 長い

こういう問題をよく見る．たとえばソフトウェア開発と比較すると「ソフトウェアには起こらない問題」と「起こってるんだけど頑張って回避している問題」が含まれていて，ネットワークエンジニアはソフトウェアエンジニアが頑張っているところを盗まないといけないと思う．

もちろん「コード書いて自動化しましょう」もその1つなんだけど，生産性が低い原因はたぶんそれだけではない．

生産性の低さ

自分は，デプロイまでの待ち時間が大きな原因だと思っている．調達とか 会社をまたいで調整しないといけないタスクが挟まっていたり，借用 (お客さんに「メンテしていいですか」と聞いて回る営み) のようなタスクがあるかもしれない．契約上は1ヶ月前に通知すればメンテできるが，慣例で一部法人ユーザーにお伺いを立てたりすることがある．「これ！と決めたやつをデプロイするまでに1ヶ月待たないといけない」なんて普通にある．

そのせいで 年間のデプロイ回数が限られ，フィードバックがないから試行錯誤できず，一発で大成功させようとして準備の時間が増え，待っている間にネットワークが変わって手戻りが発生する． 他者との調整が主なボトルネックだから，ミーティングが増え，資料を作りまくり，調整能力だけがグングン伸びる．

ソフトウェア開発はどうやっているか

アジャイル「イテレーションを小さく回せ」リーン・スタートアップ「MVP から始めよ」両方とも，デプロイに時間をかけず フィードバックを短期間で得るための努力があってのことだと思う．大規模にやれば「マージに時間がかかる」「QA チームが求める品質にならない」いろんな問題が出るところを，「CI を回す」「毎週火曜日にリリースすることにする」「組織を変えて，QA 機能をプロジェクト内に持つ」「ベータ提供するしくみ」「一部ユーザーにのみデプロイし，小さく失敗して早く直す」など，技術で解決するのはもちろんのこと 組織 / ワークフロー / ポリシーを見直して頑張ってる．

ネットワーク開発は何ができるか

「調達のリードタイムが予測できない / 長い」というのはしょうがない．でも「在庫を持つコスト」と「持たないことによる生産性の低下」は天秤にかけられるかもしれない．

「やってみないと，実網にどんな影響が出るかわからない」とくにインターネットルーティングは生き物だからしょうがないけど「自分たちのネットワークは複雑だから，やってみないとわかりません」は避けないといけない．シンプルに保つ努力は必要だし，インターネットの端っこにテストベッドを持つ選択肢もあるし，堅く作る前のベータサービスに付き合ってくれるユーザーがいるかもしれない．

「借用に要する時間が予測できない / 長い」レイヤーが低いほど上に乗っているものが多い = 影響範囲が大きいので，メンテナンスには慎重になるべき．でもメンテナンスポリシーが曖昧だと「うーん，分からんけど安全側に倒して…」ってなるし「契約ではできることになってるけど，いままでそうしてなかったから…」みたいなのも癌だと思う．

ちなみに

いま，週のうち数日はフリーのネットワークエンジニアとして働いており，タスクをガッとこなす日と何もしない日が極端に分かれている．それでも自分がボトルネックになるケースは少ない (はず！) ので，待ちが多いと時間を区切って生産性を上げるという手が効く．そういう意味では，トヨタのリーン生産方式の方は勉強しないとなあ，と思ってる．

tcpdump やtshark などでキャプチャーしたパケットを，ruby で読むためのライブラリがあります．

The Ruby Toolbox などで検索すると山のように出てきますが，いくつか良さそうなのを紹介します．

PacketFu

例: IP パケットのsource address だけを抽出したい場合:

require 'packetfu'

packets = PacketFu::PcapPackets.new.read(File.read('sample.pcap'))

packets.each do |p|
  packet = PacketFu::Packet.parse(p.data)
  puts packet.respond_to?(:ip_saddr) && packet.ip_saddr
end

• PacketFu::Packet#inspect がちゃんとあってprint デバッグしやすい

[1] pry(main)> p packet
--EthHeader-------------------------------------------------
  eth_dst      fe:ff:20:00:01:00       PacketFu::EthMac
  eth_src      00:00:01:00:00:00       PacketFu::EthMac
  eth_proto    0x0800                  StructFu::Int16
--IPHeader--------------------------------------------------
  ip_v         4                       Fixnum
  ip_hl        5                       Fixnum
  ip_tos       0                       StructFu::Int8
  ip_len       48                      StructFu::Int16
  ip_id        0x0f41                  StructFu::Int16
  ip_frag      16384                   StructFu::Int16
  ip_ttl       128                     StructFu::Int8
  ip_proto     6                       StructFu::Int8
  ip_sum       0x91eb                  StructFu::Int16
  ip_src       145.254.160.237         PacketFu::Octets
  ip_dst       65.208.228.223          PacketFu::Octets
--TCPHeader-------------------------------------------------
  tcp_src      3372                    StructFu::Int16
  tcp_dst      80                      StructFu::Int16
  tcp_seq      0x38affe13              StructFu::Int32
  tcp_ack      0x00000000              StructFu::Int32
  tcp_hlen     7                       PacketFu::TcpHlen
  tcp_reserved 0                       PacketFu::TcpReserved
  tcp_ecn      0                       PacketFu::TcpEcn
  tcp_flags    ....S.                  PacketFu::TcpFlags
  tcp_win      8760                    StructFu::Int16
  tcp_sum      0xc30c                  StructFu::Int16
  tcp_urg      0                       StructFu::Int16
  tcp_opts     MSS:1460,NOP,NOP,SACKOK PacketFu::TcpOptions

• C拡張ではないため 遅い

pcap / ruby-pcap

例: IP パケットのsource address だけを抽出したい場合:

require 'pcap'

packets = Pcap::Capture.open_offline('sample.pcap')

packets.each do |packet|
  puts packet.ip? && packet.ip_src
end

• pcap，ruby-pcap の中身は同じ
• ruby っぽく書ける
• C拡張

このgem はruby 2.2 に対応してません．(2015-07-27 追記: 対応されました) 本体に取り込まれるまでは

gem install specific_install
gem specific_install https://github.com/codeout/ruby-pcap

or

git clone https://github.com/codeout/ruby-pcap
cd ruby-pcap
gem build pcap.gemspec
gem install --local pcap-0.7.7.gem

でインストールできます．

ほか

• pcaprub
• ffi-pcap
• ffi-packets
• blackfoundry-pcap
• pcap-ffi
• spcap
• pcap_simple

いろいろありますが，各種プロトコルヘッダーにアクセスするAPI が少なくて使いやすいとは言えません．

ベンチマーク: PacketFu vs. pcap

10,000 パケットの処理時間:

              user     system      total        real
PacketFu  3.760000   0.040000   3.800000 (  3.857046)
pcap      0.010000   0.000000   0.010000 (  0.012067)

やはり差が出ます．パフォーマンスが要求される場合は pcap オススメ．

ベンチマーク用コード:

require 'packetfu'
require 'pcap'
require 'benchmark'

Benchmark.bm do |x|
  packets = PacketFu::PcapPackets.new.read(File.read('sample.pcap'))

  x.report('PacketFu') do
    packets.each do |p|
      packet = PacketFu::Packet.parse(p.data)
      packet.respond_to?(:ip_saddr) && packet.ip_saddr
    end
  end

  packets = Pcap::Capture.open_offline('sample.pcap')

  x.report('pcap') do
    packets.each do |packet|
      packet.ip? && packet.ip_src
    end
  end
end

別途PacketFu をプロファイリングしてみても，パケットのparse が遅そうです．

  %   cumulative   self              self     total
 time   seconds   seconds    calls  ms/call  ms/call  name
  6.44    10.16     10.16   297491     0.03     0.05  StructFu::Int#read
  4.46    17.20      7.04   171613     0.04     0.06  PacketFu::EthPacket.can_parse?
  3.33    22.45      5.25    70757     0.07     0.15  PacketFu::IPPacket.can_parse?
  3.02    27.22      4.77   296710     0.02     0.02  PacketFu.force_binary
  3.00    31.96      4.74    44296     0.11     0.18  PacketFu::EthOui#read
  2.45    35.83      3.87    12958     0.30     4.20  PacketFu::IPHeader#read
  2.30    39.46      3.63     8866     0.41     2.22  PacketFu::TCPPacket#tcp_calc_sum
  2.17    42.89      3.43  1149060     0.00     0.00  String#[]
  2.09    46.19      3.30    17732     0.19     1.64  PacketFu::TcpOptions#read
  2.09    49.49      3.30    27390     0.12     0.30  PacketFu::TcpOption#read
  2.08    52.77      3.28    79465     0.04     0.06  PacketFu::Packet.layer
  1.93    55.81      3.04   155600     0.02     0.03  StructFu::Int#to_i
  1.84    58.72      2.91   966615     0.00     0.00  Struct#[]
  1.83    61.61      2.89   159701     0.02     1.18  PacketFu::Packet.parse
  1.80    64.45      2.84     8866     0.32     4.71  PacketFu::TCPHeader#read
  1.79    67.28      2.83   278978     0.01     0.03  Struct#force_binary