ついて説明する.5 章では, 検証実験とその結果について述べる. そして最後に,6 章でまとめと今後の課題とする. 2. DRDoS 攻撃 DRDoS 攻撃とは,TCP/IP プロトコルの基本的な通信手順やアプリケーションの仕様において生成される様々な応答パケットを利用して, 複数のサーバマシンから

Transcription

1 複数種類のハニーポットによる DRDoS 攻撃の観測 筒見拓也 野々垣嘉晃 田辺瑠偉 牧田大佑 吉岡克成 松本勉 近年,DNS リフレクション攻撃に代表される分散型サービス不能攻撃, 通称 DRDoS 攻撃 (Distributed Reflection Denial-of-Service attack) が脅威となっている.DRDoS 攻撃は, インターネット上における様々な種類のサービスを悪用するため, 攻撃の傾向を分析するためには単一のサービスでなく, 複数のサービスを用いて攻撃を観測することが重要である. 本稿では,DRDoS 攻撃に悪用される恐れのある複数種類のネットワークサービスを模擬するハニーポットを用意し,DRDoS 攻撃を観測する手法を提案する. Observing Distributed Reflection Denial-of-Service Attacks by Several Kinds of Honeypots TSUTSUMI TAKUYA NONOGAKI YOSHIAKI TANABE RUI MAKITA DAISUKE YOSHIOKA KATSUNARI MATSUMOTO TSUTOMU In recent years, Distributed Reflection Denial-of-Service (DRDoS) attacks such as DNS Reflection attack have become a serious issue. DRDoS attacks abuse various types of services as reflectors, so it is important to observe the attack with multiple kinds of services to grasp the trend of attacks. In this paper, we propose a method to observe DRDoS attacks with several kinds of honeypots which emulate different types of network services. 1. はじめに 近年, インターネットの普及に伴い,Web サーバや DNS サーバなど, 外部に有用なサービスを提供するサーバが増えている. しかし, これらのサービスは誰でも利用できる利便性を有している反面, セキュリティ設定を正しく行わないと攻撃者に悪用される可能性がある. 事実, こうしたサーバを悪用した DRDoS 攻撃と呼ばれる分散型サービス不能 (DDoS) 攻撃が増加しており, 問題となっている. DRDoS(Distributed Reflection DoS) 攻撃とは, インターネット上の不特定多数のサーバに, 送信元 IP アドレスを攻撃対象のものに偽装したパケットを送り, サーバからの応答を攻撃対象に集中させることで行う DoS(Denial of Service) 攻撃の一つである. 任意のホストからのクエリを受け付けるオープンリゾルバと呼ばれる DNS サーバを悪用した DRDoS 攻撃は, DNS リフレクション攻撃 (DNS アンプ攻撃 ) と呼ばれており, 近年その問題が深刻になっている.2013 年 3 月には DNS リフレクション攻撃によって過去最大規模の DDoS 攻撃が発生し, スパム対策組織である Spamhaus[4] が標的とされ, 最大で 300Gbps にも及ぶ通信が, 関係するネットワーク上において発生した [5]. また, 最近では Network Time Protocol (NTP) サーバを悪用した DRDoS 攻撃が報告されており,2014 年 2 月上旬には, 欧州にて最大 400Gbps にも及ぶ通信が関係するネットワーク上において発生したと報じられている [6]. また文献 [2] では,CHARGEN (a), SNMP 等 のインターネットプロトコルが実際に DRDoS 攻撃に用いられていることが記述されている. このように,DRDoS 攻撃による被害は多様化, 深刻化する一方であり, 早急な対策が必要であると考えられる. DRDoS 攻撃への対策として, 文献 [1] では DNS リフレクション攻撃について,DNS ハニーポットと呼ばれる囮サービスを用いて, 実際に発生する通信内容を観測し, その傾向や特徴を明らかにする観測手法が提案されている. 文献 [2] では, 主に UDP で通信を行う 14 種類のサービスに関して DRDoS 攻撃に悪用される可能性を検証し, またこれらのプロトコルを用いた DRDoS 攻撃が実際に行われるかを, 囮サービスを設置して調査している. 文献 [3] では TCP を用いた DRDoS 攻撃について報告されている. これらの文献では HTTP,DNS 等, 単一のサービスに着目した DRDoS 攻撃の分析は行われているが, 各種サービスを悪用する DRDoS 攻撃の関連性は不明である. 本研究では,DRDoS 攻撃に悪用される恐れのある, 複数種類のネットワークサービスを模擬する囮システム ( ハニーポット ) を用意し, 複数地点において DRDoS 攻撃を観測する手法を提案する. 本手法で攻撃を観測した結果,DNS, CHARGEN, NTP, Web 等のサービスの悪用の様子や, これら複数種類のサービスを用いて同一の対象を攻撃する事例が観測できた. 本稿の構成は次の通りとなっている.2 章では,DRDoS 攻撃について説明する.3 章では,DRDoS 攻撃に関する先行研究に関して説明する.4 章では, 本研究の提案手法に 横浜国立大学, 神奈川県横浜市保土ケ谷区常盤台 79-7, Yokohama National University, 79-7 Tokiwadai, Hodogaya-ku, Yokohama-shi, Kanagawa, Japan. (a) CHARGEN とは, 任意の文字列データを, 通信が切断されるまで送信し続けるサービスである [8]. 1

2 ついて説明する.5 章では, 検証実験とその結果について述べる. そして最後に,6 章でまとめと今後の課題とする. 2. DRDoS 攻撃 DRDoS 攻撃とは,TCP/IP プロトコルの基本的な通信手順やアプリケーションの仕様において生成される様々な応答パケットを利用して, 複数のサーバマシンから同時連携して攻撃を行う分散型 DoS 攻撃である. 攻撃者は, 攻撃発信源のマシン群から, インターネット上の不特定多数のサーバに対して送信元 IP アドレスを攻撃対象に偽装した要求パケットを送信する. 要求パケットを受け取ったサーバ ( リフレクタ ) は, 偽装された IP アドレスからパケットを受け取ったと誤認し, その IP アドレスに応答パケットを送信する. ここで, リフレクタが受信した要求パケットに対して, より多くの応答パケットを返したり, 要求パケットのサイズより大きな応答パケットを返したりすることで通信が増幅され, 攻撃対象に大量の通信が届く. また,DRDoS 攻撃では, 実際の送信元の IP アドレスが詐称されているため, 攻撃対象側では攻撃発信源のマシン群が特定できない. 以下では, 具体例として,TCP を用いた DRDoS 攻撃と DNS リフレクション攻撃,NTP サーバを用いた DRDoS 攻撃について説明する. 2.1 TCP を用いた DRDoS 攻撃 TCP では, クライアントがサーバに SYN パケットを送信すると, サーバからクライアントに対して SYN/ACK パケットを応答し, 最後にクライアントからサーバに対し ACK パケットを送信する, という一連の手順を踏むことで接続が確立する. そのため,TCP を用いた外部からの通信を受け付けるサーバに対し, 送信元 IP アドレスを攻撃対象のものに偽装した SYN パケットを送信すると, 攻撃対象に SYN/ACK パケットを応答するが, 攻撃対象のホストからは SYN パケットを送信していないため,ACK パケットを送信しない. すると, サーバは攻撃対象に SYN/ACK パケットの再送を行い, 結果として SYN/ACK パケット数は SYN パケット数の数倍にまで増幅される. 2.2 DNS リフレクション攻撃 DNS はインターネット上でドメイン名と IP アドレス等 の情報を対応付ける役割を果たしている.DNS の通信は, 要求とそれに対する応答からなり, その仕様上, 要求より も応答のデータサイズが大きくなる性質を持つ. そのため, 外部からの名前解決を受け付ける DNS サーバ ( オープンリ ゾルバ ) に対し, 送信元 IP アドレスを攻撃対象のものに偽 装した DNS 要求を送信することで, 攻撃対象に対しデータ サイズの大きな応答が発生する.DNS サーバの要求に対し て応答が増幅 (Amplify) する性質から DNS アンプ攻撃と も呼ばれる.DNS の通信は, 主に UDP で行われるため, 要求パケットの送信元 IP アドレスを攻撃対象のものに偽 装することが容易である. 2.3 NTP サーバを用いた DRDoS 攻撃 NTP Project[7] が提供する ntpd において, 過去に通信した NTP サーバに関する情報を最大 600 件分送信する monlist 機能が実装されている.monlist 機能による要求は, 送信し たデータに対する応答データのサイズが最大で 206 倍まで に増幅する性質を持つ [6]. そのため, 外部からの moblist 要求を受け付ける NTP サーバに対し送信元 IP アドレスを 攻撃対象のものに偽装した要求パケットを送ることで, 攻 撃対象に対しデータサイズの大きな応答が発生する.DNS と同様に,NTP の通信も主に UDP を用いて行われるため, 要求パケットの送信元 IP アドレスを攻撃対象のものに偽 装することが容易である. 3. 先行研究 文献 [1] では,DNS リフレクション攻撃を観測するための DNS ハニーポットが提案されており,DNS リフレクション 攻撃と推測される通信を多数観測した結果から,DNS リフ レクション攻撃の傾向や特徴について明らかにしている. 文献 [2] では, リフレクタを通じてパケットの増幅が可能で, かつ IP アドレスの偽装をすることが可能である,UDP で 通信を行う 14 種類のサービスについて応答パケットの増 幅率の検証を行うなど,DRDoS 攻撃に悪用するにあたって どれ位の影響が見込まれるのかを検証している. また, 囮 サービスを設置し, これらのプロトコルに関して実際に DRDoS 攻撃が発生するかの検証を行っている. 文献 [3] で は, チェコで大規模な DDoS 攻撃が発生していたニュース が 2013 年の 3 月に報じられており, 同国のマサリク大学の コンピュータサイエンス研究所にて設置していたハニーポ ットが DDoS 攻撃に加担していたことをきっかけに, その 内容を解析したところ,2.1. 節で触れた TCP を悪用した DRDoS 攻撃であることを確認している. 4. 提案手法 : 複数種類のハニーポットによる DRDoS 攻撃観測 図 1.DRDoS 攻撃 DRDoS 攻撃は特定の攻撃対象サービスの負荷を高める 2

3 のではなく, 大量の通信により攻撃対象のネットワーク帯域を圧迫してサービス不能状態に陥れる攻撃であることから,2 章に述べたような様々なサービスを同時並列的に悪用することで攻撃の効果を高めることが可能である. そこで本研究では,DRDoS 攻撃に悪用される恐れのあるネットワークサービスを模擬するハニーポットを複数種類用意し, 各観測地点において発生した DRDoS 攻撃を観測する手法を提案する. 様々な種類のハニーポットを用いて複数の地点で観測を行い, 各ハニーポットで得られた通信内容の突合分析を行うことにより,DRDoS 攻撃の傾向および特徴を明らかにする. 図 2 に提案手法の概念図を示す. 各観測地点におけるハニーポット上では,DRDoS 攻撃に悪用される恐れのあるサービスが動作しており, これを発見した攻撃者がリフレクタとしてハニーポットを用いる様子を観測する. 各観測地点において, 受信したパケットの情報を分析し, 分析部では, 観測地点にて収集した情報を分析する. DNS ハニーポットは参考文献 [1] で提案されているハニー ポットを用い,DNS(53/udp) に関する通信を観測する. CHARGEN ハニーポットでは,CHARGEN(19/udp) に関 する通信を観測する.NTP ハニーポットは monlist 機能が 有効になっている ntpd サーバを用いて,NTP(123/udp) の 通信を観測する. TCP を用いるサービスは様々なものがあるが, 本観測環 境はその中でも特にサービスとしての利用頻度が高い Web サービスである HTTP のみを対象とした. それ以外の TCP サービスについては今後の課題とする. これらのハニーポ ットは応答の頻度に制限が加えられており, 実際の攻撃に 加担しないようにしている. 5.2 実験結果 表 2 に示す分析対象期間中に観測された累計受信パケッ ト数,1 分当りの平均受信パケット数, 通信先ホスト数を 表 3 に示す. なお, 表 3 において Web ハニーポットの観測 結果は SYN パケット数のカウントとなっている.UDP を 用いる DNS,CHARGEN,NTP サービスに対する通信が多 く観測されていることがわかる.. 図 2. 提案手法 以下, 図表の凡例における各種ハニーポットに対する略記は次の通りである. WEB:Web ハニーポット DNS:DNS ハニーポット CHAR:CHARGEN ハニーポット NTP:NTP ハニーポット 5. 検証実験 本章では, 提案手法の有効性を示すための検証実験, 及び実験結果について述べる. 5.1 実験環境実証実験のための観測機構の概要を表 1 に示す. 観測地点は 5 つ, 観測に用いたハニーポットは 7 つ (Web ハニーポット 2 つ,DNS ハニーポット 2 つ,CHARGEN ハニーポット 1 つ,NTP ハニーポット 2 つ ) である. 各観測ホストの通信を tcpdump[9] でキャプチャし, 得られた pcap ファイルを分析する.Web ハニーポット 1 は glastopf[10],web ハニーポット 2 では dionaea[11] を用いている.dionaea は Web サービス以外にも対応しているが, 今回は Web サービスへの通信のみを分析対象とする.Web ハニーポットでは HTTP(80/tcp) に関する通信を観測する 単位時間当りの受信パケット数の推移 1 時間単位での受信パケット数 [pph: packet per hour] の推移を図 3, 図 4, および図 5 に示す.Web ハニーポットについては SYN パケットのカウントのみとなっている. また, 図 3 において Web ハニーポット 2 のグラフは 1 IP アドレス当りの平均値となっている.Web ハニーポット 2 では Web ハニーポット 1 に比べて平均で 10 倍程度のパケットが観測されているが, これは Web ハニーポット 2 が分析対象期間の約 2 年半前から固定 IP アドレスにより継続的に運用されていたことが影響している可能性がある. また,CHARGEN ハニーポットの受信パケット数が 2 月 6 日辺りから急減しているが, これは観測地点のグローバル IP アドレスが変化したことによる影響と考えられる. ハニーポットへ届く通信には, ハニーポットの探索 ( スキャン ), ハニーポット自体への攻撃, ハニーポットを悪用した DRDoS 攻撃を含めて, 様々な目的のものが考えられるが, これらの通信の目的を厳密に区別することは困難である. 本報告では DRDoS 攻撃に着目しているため, 当該攻撃の特徴である特定ホストまたは特定ネットワーク帯域からの大量の要求パケットに着目して以降の分析を行う. 具体的には, 各ハニーポットの観測状況を 1 時間単位で集計し, 同一のホストから 10,000 [pph] 以上の通信が見られた場合を DRDoS 攻撃事例 ( 以降, 単に事例 ) として扱う. なお, 図 3, 図 4, 図 5 では, 閾値の 10,000[pph] に太い実線を描いているが, これらのグラフは各ハニーポットに届くパケットの総数のカウントであるため, 実線を超えた期間が全て攻撃事例という訳ではない. 3

4 表 1. 観測地点とハニーポットの概要 表 3. 各ハニーポットにおける観測情報 観測地点 ( 使用回線 ) ハニーポット通信ポート使用サービス ハニーポット 受信パケット数 受信量 (kb) 通信先ホスト数 観測地点 1( 一般 ISP-A1) WEB1 80/tcp 2 glastopf(v3.0.9) ( 累計 / 分平均 ) ( 累計 / 分平均 ) NTP1 123/udp ntpd(v4.2.6) 観測地点 2( 一般 ISP-B) DNS1 53/udp BIND[13] (v9.8.1) CHAR1 19/udp xinetd(v2.3.14) 観測地点 3( 学内回線 -A) WEB2 1 80/tcp 2 dionaea(v0.1.0) 観測地点 4( 一般 ISP-C) DNS2 53/udp BIND[13](v 9.8.1) 観測地点 5( 一般 ISP-A2) NTP2 123/udp ntpd(v4.2.6) 1 1つのハニーポットに対し数十個のグローバル IP アドレスが割り当てられて いる, 2 SYN パケットのみ観測 WEB1 1 1,596,083/ ,101/ WEB2 1,2 13,828,778/ ,787/ ,898 DNS1 45,442,415/ ,917,199/ ,188 DNS2 41,958,422/ ,676,727/ ,468 CHAR1 432,267,555/ ,241,911/ ,160 NTP1 22,421,924/ ,025,212/ ,527 NTP2 13,371/ / Web ハニーポットについては SYN パケットのみをカウント 2 数十の IP アドレスで観測された値の平均値を算出 表 2. 各ハニーポットにおける通信の観測期間 ハニーポット 運用開始時期 分析対象期間 WEB1 2013/12/29~ 2013/12/30 12:40~2014/02/28 23:59 1,5 WEB2 2011/7/1~ 2013/12/30 00:13~2014/02/28 23:59 2 DNS1 2012/10/7~ 2013/12/30 00:00~2014/02/28 23:59 3 DNS2 2013/5/20~ 2013/12/30 00:00~2014/02/28 23:59 4 CHAR1 2013/7/25~ 2013/12/30 00:00~2014/02/28 23:59 NTP1 2014/1/21~ 2014/01/21 22:15~2014/02/28 23:59 5 NTP2 2014/1/21~ 2014/01/21 22:08~2014/02/28 23: /08 12:06 ~ 21:07 観測を中断, /03 13:53 ~ 01/04 01:29 観測を中断, /6 にグローバル IP アドレスが同日中に 3 度変化, /17,01/21,2/8, 2/11 にグローバル IP アドレスが変化, /11 04:17 ~ 02/21 17:19 観測を中断, 図 3.Web ハニーポットの受信パケット数推移 ( 横軸 : 日時, 縦軸 :pph) /02 03:31 ~ 02/02 20:46 観測を中断 同一攻撃に悪用されるハニーポットの組み合わせ分析対象期間中において,10,000[pph] 以上の通信が見られたホストの分布と単位時間当りの受信パケット数の大きさを表すバブルチャートを図 6 に示す. バブルの色は同一の事例で悪用されたハニーポットの種類数を示しており, 緑色が濃いほど多くの種類のハニーポットが同一期間に同一攻撃対象に対して悪用されていたことを示す. 図 6 から 2014 年 1 月に事例が集中しており,2 月上旬で一旦減少した後,2 月後半で再び増加している様子が確認できる. また,4 種類のハニーポットを同時に悪用した攻撃 ( 濃い緑色のバブル ) はおよそ 1 月上旬と下旬に偏って分布している. 複数のハニーポットを悪用した攻撃事例数を表 4 に示す. 異なる観測地点の同一種類ハニーポット (Web ハニーポット 1 と Web ハニーポット 2,DNS ハニーポット 1 と DNS ハニーポット 2) を同時に悪用する事例が多く見られるが, Web と DNS,DNS と CHARGEN といった異なるサービスを同時刻に悪用する事例も確認できる. 図 4.DNS ハニーポット,CHARGEN ハニーポットの受信 パケット数推移 ( 横軸 : 日時, 縦軸 :pph) 累計受信パケット数上位 10 ホストの情報 累計受信パケット数が上位 10 件となったホストに関す る国情報および組織情報と, 期間中に悪用された対象ハニ 図 5.NTP ハニーポットの受信パケット数推移 ( 横軸 : 日時, 縦軸 :pph) 4

5 図 6. 単一ホストからの 10,000[pph] 以上の攻撃事例 ( 横軸 : 日時, 縦軸 :IP アドレス, 円の大きさ :[pph]) ーポットについて表 5 に示す. これらは,GeoIP[14] のオンラインデモサービスから取得したデータを用いた. 表 5 から, これらのホストの多くは, 正規の Web ホスティングサービスと考えられるが, 中には組織名や国情報が存在しないホストも存在した 種類のサービスを悪用した攻撃事例 4 種類のハニーポットに対し累計 10,000 [pph] 以上の通信が発生した事例について説明する. 当該ホストにおける単位時間当りの受信パケット数の推移を図 7 に示す.1 月 12 日には 2 台の DNS ハニーポットに対する 400,000 [pph] にもおよぶ通信が 2 度発生し,1 月 13 日の 1 時頃には 2 台の Web ハニーポットと 2 台の DNS ハニーポットの計 4 台のハニーポットに対する通信が発生している. 特に 1 月 12 日の攻撃は 2 つのハニーポットのパケット観測数の増減はほぼ一致しており, 高い同期性がみられる. 攻撃対象となった IP アドレスは,DDoS 攻撃対策サービスを提供する企業に割り当てられており, その企業が DRDoS 攻撃を受けたのではないかと推測される NTP ハニーポットの観測結果本節では, 近年問題となっている NTP サーバを用いた DRDoS 攻撃の観測事例を述べる.NTP サーバは他の NTP サーバと時刻同期を行い, クライアントに時刻情報を提供するが, 過去に同期した NTP サーバ情報のリストを返答する monlist 機能を悪用した DRDoS 攻撃が報告されている. 以降では,NTP ハニーポット 1 が 10,000 [pph] 以上のパケットを受信した事例を説明する. 図 8 に NTP ハニーポット 1 が時刻同期を行ったホスト数の推移と単位時間当りに受信した monlist 要求数を示す. monlist 機能を悪用する DRDoS 攻撃においては, 攻撃者はリストサイズを大きくし 表 4. 複数のハニーポットを悪用した攻撃事例数 対象 ハニーポットの組 事例数 通信先ホスト数 WEB1,WEB WEB2,DNS1 6 6 DNS1,NTP 種類 DNS1,DNS DNS1,CHAR DNS2,CHAR WEB2,DNS2 1 1 WEB2,DNS1,DNS 種類 DNS1,DNS2,CHAR WEB1,WEB2,DNS 種類 WEB1,WEB2,DNS1,DNS2 3 2 表 5. 累計受信パケット数上位 10 ホストの詳細情報 IP アドレス 国 組織 ドメイン ハニーポット xx IN Syscon Infoway Pvt.Ltd. mysipl.com CHAR1,NTP xx DE Neue Medien kasserver.com CHAR1 Muennich GmbH xx FR Iowa Network Services - DNS1,DNS xx BR Esecurity S.A. - Web2,DNS xx FR OVH SAS kimsufi.com DNS xx IN Syscon Infoway Pvt. Ltd. mysipl.com CHAR1,NTP xx CHAR xx CN Solar Communications GMBH solarcom.ch DNS1,DNS2, CHAR xx BR Dancom Ltd - Web1,Web2, DNS1,DNS xx US Glenbard HSD #87 k12.il.us CHAR1 5

6 6. まとめと今後の課題 図 7. 特定ホストへの攻撃事例 ( 横軸 : 日時, 左縦軸 : DNS[pph], 右縦軸 :WEB[pph]) 本研究では, 複数地点で複数種類のハニーポットを運用して DRDoS 攻撃を観測する手法を提案し, 各ハニーポットにおける受信パケット数の推移から, 単一のサービスではなく様々なサービスを悪用して特定の攻撃対象を攻撃していると思われる通信事例が多数確認できた. 参考文献 [1] では, パケット数の推移だけでなく, 各ハニーポットにおける通信先ホストの TTL や送信元ポート番号,ID ヘッダの分布などといった様々な統計的指標を組み合わせ,DNS リフレクション攻撃の傾向や特徴を明らかにしており, 複数種類のハニーポットによる観測内容に対しても同様の分析を行いたい. 謝辞本研究の一部は, 総務省情報通信分野における研究開発委託 / 国際連携によるサイバー攻撃の予知技術の研究開発 / サイバー攻撃情報とマルウェア実体の突合分析技術 / 類似判定に関する研究開発により行われた. 図 8.NTP ハニーポット 1 の観測情報 ( 横軸 : 日時, 左縦軸 :monlist 要求 [pph], 右縦軸 : 時刻同期ホスト数 ) て増幅率を高めるため, 送信元 IP アドレスを詐称した同期リクエストを多数送信することが予想されるが, 図 8 に示す通り, 本事例においては, ハニーポットに設定されたホストとだけ時刻同期を行っていた.10,000[pph] 以上の monlist 要求パケットが多く観測されたのは 2 つの期間 (2/11 前後 2/27 前後 ) であり, これらの期間の増幅率 ( 応答パケット群の合計サイズ /monlist 要求パケットサイズ ) はそれぞれ 120 倍,65 倍であった Web ハニーポットと Web サーバとの観測結果の比較今回の観測実験では,UDP を用いたサービスに加えて Web サービスを用いた DRDoS 攻撃事例が観測された.Web サービスは, 増幅率は低いもののインターネット上に多数存在しており, 脅威となる可能性がある. そこで, 本学にて実運用中の Web サーバにおいて DRDoS 攻撃事例が発見されるかを確認した.Web サーバの通信環境および分析対象期間を表 6 に示す. この期間において特定ホストから大量の SYN パケットが届く事例は確認されなかった. 表 6.Web サーバの情報 分析対象期間 通信ポート 使用サービス 2014/01/17 14:36 ~ 2014/02/28 23:59 80/tcp apache[12](v2.2.3) 1 つの Web サーバに対し 2 つのグローバル IP アドレスが割り当てられている SYN パケットのみをカウント 参考文献 1) 牧田大佑, 吉岡克成, 松本勉, DNS ハニーポットによる不正活動観測, 情報処理学会研究会報告コンピュータセキュリティ (CSEC), Vol CSEC-62, No.54, pp. 1-8, ) Christian Rossow, "Amplification Hell: Revisiting Network Protocols for DDoS Abuse," 2014 Network and Distributed System Security Symposium, NDSS 2014, pp. 1-15, ) HUSÁK, Martin and Martin VIZVÁRY, POSTER: Reflected attacks abusing honeypots, 2013 ACM SIGSAC conference on Computer & communications security, ACM 2013, pp , ) The Spamhaus Project, available from < (last visited ). 5) Trendmicro: DNS Amp 手法による過去最大規模の DDoS 攻撃, スパム対策組織 Spamhaus がターゲットに, available from < (last visited ). 6) CloudFlare: Technical Details Behind a 400Gbps NTP Amplification DDoS Attack, available from < lification-ddos-attack>,(last visited ) 7) NTP project, available from < (last visited ) 8) INTERNET STANDARD: Character Generator Protocol, available from < >, (last visited ) 9) tcpdump, available from, < (last visited ) 10) glastopf, available from, < (last visited ) 11) dionaea, available from, < (last visited ) 12) apache available from, < (last visited ) 13) Internet System Consortium: BIND, available from < (last visited ) 14) MaxMind: GeoIP available from, < (last visited ) 6