amplification attacks とは 送信元を偽装した dns query による攻撃 帯域を埋める smurf attacks に類似 攻撃要素は IP spoofing amp 2006/07/14 Copyright (C) 2006 Internet Initiative Jap

Similar documents
untitled

Inter-IX IX/-IX 10/21/2003 JAPAN2003 2

ブロードバンドルータにおける問題(オープンリゾルバ)の解説、対策の説明

Microsoft PowerPoint ppt [互換モード]

untitled

2004 SYN/ACK SYN Flood G01P014-6

2011 NTT Information Sharing Platform Laboratories

スライド 1

untitled

DDoS攻撃について

3. LISP B EID RLOC ETR B 4. ETR B ITR A 1: LISP 5. ITR A B EID RLOC 6. A SYN 7. ITR A ITR A B EID RLOC SYN ITR A RLOC ETR B RLOC 8. ETR B SYN ETR B B

untitled

IIJ Technical WEEK IIJのバックボーンネットワーク運用

頑張れフォールバック

DNS DNS 2002/12/19 Internet Week 2002/DNS DAY 2

SCREENOS NAT ScreenOS J-Series(JUNOS9.5 ) NAT ScreenOS J-Series(JUNOS9.5 ) NAT : Destination NAT Zone NAT Pool DIP IF NAT Pool Egress IF Loopback Grou

スライド 1

DNS DNS DDoS [2] Open Resolver Project [3] DNS 53/UDP DNS ,800 DNS Spamhaus [4] DDoS DNS 120 Gbps Tier Gbps [5], [6] DDoS Prolex

T8_4-shirasaki.PDF

BIND 9 BIND 9 IPv6 BIND 9 view lwres

Agenda IPv4 over IPv6 MAP MAP IPv4 over IPv6 MAP packet MAP Protocol MAP domain MAP domain ASAMAP ASAMAP 2

worm hoihoi

情報処理学会研究報告 IPSJ SIG Technical Report Vol.2015-DPS-162 No.19 Vol.2015-CSEC-68 No /3/5 経路変更を用いた分散フィルタリングによる DNS amp 攻撃への対策手法の提案 桂井友輝 1 中村嘉隆 2 高橋修

Juniper Networks Corporate PowerPoint Template

New IANA allocation な IP Address 利用の手引き ~1. 悲しい編 ~

第1回 ネットワークとは

untitled

IPSEC-VPN IPsec(Security Architecture for Internet Protocol) IP SA(Security Association, ) SA IKE IKE 1 1 ISAKMP SA( ) IKE 2 2 IPSec SA( 1 ) IPs

ict2-.key

DNSを「きちんと」設定しよう

IP 2.2 (IP ) IP 2.3 DNS IP IP DNS DNS 3 (PC) PC PC PC Linux(ubuntu) PC TA 2

Packet Tracer: 拡張 ACL の設定 : シナリオ 1 トポロジ アドレステーブル R1 デバイスインターフェイス IP アドレスサブネットマスクデフォルトゲートウェイ G0/ N/A G0/

untitled

total.dvi

NTT Communications PowerPoint Template(38pt)

Microsoft PowerPoint irs14-rtbh.ppt

1. Domain Name System DNS IP DNS DNS DNS Distributed Denial-of-Service Attack; DDoS [1] Open Resolver Project [2] DNS 53/UDP ,000 DNS S

DNS DNS(Domain Name System) named(bind), tinydns(djbdns), MicrosoftDNS(Windows), etc 3 2 (1) ( ) IP IP DNS 4

IPv6 トラブルシューティング~ ISP編~

TCP/IP Internet Week 2002 [2002/12/17] Japan Registry Service Co., Ltd. No.3 Internet Week 2002 [2002/12/17] Japan Registry Service Co., Ltd. No.4 2

shtsuchi-janog35.5-grnet.pptx

DNS (BIND, djbdns) JPNIC・JPCERT/CC Security Seminar 2005

tcp/ip.key

ネットワークユーティリティ説明書

設定手順

untitled

ヤマハ ルーター ファイアウォール機能~説明資料~

janog315-openresolver-5.pptx

2 1: OSI OSI,,,,,,,,, 4 TCP/IP TCP/IP, TCP, IP 2,, IP, IP. IP, ICMP, TCP, UDP, TELNET, FTP, HTTP TCP IP

TCP/IP再認識〜忘れちゃいけないUDP、ICMP~

IPv6 IPv6 IPv4/IPv6 WG IPv6 SWG

untitled

はじめに xsp のルータにおいて設定を推奨するフィルタの項目について の IPv6 版 最低限 設定することが推奨されるフィルタ について まず議論したい 接続形態に変化はないので IPv6 対応をメインに IETF draft RIR でproposal 進行中のものについては今回の検討外とした

IP.dvi

PDF

untitled

WebRTC P2P Web Proxy P2P Web Proxy WebRTC WebRTC Web, HTTP, WebRTC, P2P i

本日の内容 ネットワーク運用と監視 観測 定常と異常 トラフィック計測 ネットワークに起こり得る 悪いこと 原因の特定 パケットを見るとわかること 長期観測と観測手法 観測の目的 観測手法 サンプリング フィルタリング 集約

routing_tutorial key

SRX License

untitled

オペレーティング システムでの traceroute コマンドの使用

IPv6 リンクローカル アドレスについて

enog-ryuichi

Microsoft PowerPoint - ykashimu_dslite_JANOG26_rev

III 1 R el A III 4 TCP/IP プロトコルと 関連する各種上位プロトコルの基礎を学ぶ 具体的には 各プロトコルを実装したコマンド ( アプリケーションプログラム ) を実行し 各プロトコルの機能等を確認する また 同じプロトコルを実装したコンピュータ間では OS

PowerPoint プレゼンテーション

ip nat outside source list コマンドを使用した設定例

学生実験

fuzzing

Microsoft PowerPoint attacktool.pptx

antiabuse.gby

SRXシリーズおよびJシリーズのネットワークアドレス変換

HomeGatewayにまつわるDNS話あれこれ

試験問題での表記規格 標準の名称験午前Ⅱ 問題文中で共通に使用される表記ルール 各問題文中に注記がない限り, 次の表記ルールが適用されているものとする. JIS Q 9001 JIS Q JIS Q JIS Q JIS Q JIS Q 2700

目次 1. 概要 問題点 DDoS 攻撃事例から見る脅威 海外の事例 国内の事例 脅威のメカニズム UDP パケットの送信元詐称を用いた DDoS 攻撃

初めてのBFD

2014/07/18 1

All Rights Reserved. Copyright(c)1997 Internet Initiative Japan Inc. 1

- 1 -

9.pdf

R80.10_FireWall_Config_Guide_Rev1

ヤマハ ルーター ファイアウォール機能~説明資料~

LSM-L3-24設定ガイド(初版)

ストリーミングシステム (II) 配信技術 IP マルチキャスト アイアイジェイメディアコミュニケーションズ藤井直人 Internet Week 2001 December 4, 2001 Copyright IIJ Media Communications I

SRX IDP Full IDP Stateful Inspection 8 Detection mechanisms including Stateful Signatures and Protocol Anomalies Reassemble, normalize, eliminate ambi

本資料について

仕様と運用

IPv4aaSを実現する技術の紹介

Win XP SP3 Japanese Ed. NCP IPSec client Hub L3 SW SRX100 Policy base VPN fe-0/0/0 vlan.0 Win 2003 SVR /

スライド 1

IPv6 IPv6 IPv4/IPv6 WG IPv6 SWG

学生実験 3 日目 DNS IP ネットワークアーキテクチャ 江崎研究室

ストリーミングシステム (II) 配信技術 IP マルチキャスト アイアイジェイメディアコミュニケーションズ藤井直人 Internet Week 2002 December 20, 2002 Copyright IIJ Media Communications

MPLS での traceroute コマンド

IPv6における

信学技報の正誤表 フルリゾルバ運用者の対策 harden-refferal-path harden-referral-path 表 2 $2^16$ $2^{16}$ 6. 現実の攻撃と対策 健在化 顕在化 Copyright 2014 Japan Registry Services C

Microsoft PowerPoint - Amazon VPCとのVPN接続.pptx

2 PC [1], [2], [3] 2.1 OS 2.1 ifconfig 2.1 lo ifconfig -a 2.1 enp1s0, enx0090cce7c734, lo 3 enp1s0 enx0090cce7c734 PC 2.1 (eth0, eth1) PC 14

Transcription:

amplification attacks Matsuzaki Yoshinobu <maz@iij.ad.jp> 2006/07/14 Copyright (C) 2006 Internet Initiative Japan Inc. 1

amplification attacks とは 送信元を偽装した dns query による攻撃 帯域を埋める smurf attacks に類似 攻撃要素は IP spoofing amp 2006/07/14 Copyright (C) 2006 Internet Initiative Japan Inc. 2

IP spoofing + amp IP spoofing 送信元 IP アドレスを偽装した dns query 反射パケットを利用するため amp UDP ( 簡単に利用できる ) 大きな増幅率 =~ 60 リゾルバ (dns cache) による分散 2006/07/14 Copyright (C) 2006 Internet Initiative Japan Inc. 3

反射 (reflection) Sender IP spoofed packet src: victim dst: reflector reflector reply packet src: reflector dst: victim victim 2006/07/14 Copyright (C) 2006 Internet Initiative Japan Inc. 4

増幅 (amplification) 1. multiple replies Sender 2. bigger reply Sender 2006/07/14 Copyright (C) 2006 Internet Initiative Japan Inc. 5

amplification ANY?xxx.example.com Sender xxx.example.com IN TXT XXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXX 2006/07/14 Copyright (C) 2006 Internet Initiative Japan Inc. 6

amplification attack Attacker IP spoofed queries replies victim 2006/07/14 Copyright (C) 2006 Internet Initiative Japan Inc. 7

攻撃の相関関係 root-servers Command&Control stub-resolvers full-resolvers IP spoofed queries tld-servers example-servers botnet victim 2006/07/14 Copyright (C) 2006 Internet Initiative Japan Inc. 8

view of bot #1 Internet 過負荷 輻輳 bot #1 queries size: =~60bytes src IP: victim(ip spoofed) dst IP: various( amp) protocol: udp src port: various dst port: 53 QR: standard query QNAME: (specific one) 2006/07/14 Copyright (C) 2006 Internet Initiative Japan Inc. 9

view of bot #2 a bot behind NAT box reply src IP: various( amp) dst IP: NAT Router Internet query after NAT NAT テーブルの溢れ ICMP unreach の生成 NAT src IP: NAT Router dst IP: various( amp) query before NAT bot #2 src IP: victim(ip spoofed) dst IP: various( amp) 2006/07/14 Copyright (C) 2006 Internet Initiative Japan Inc. 10

view of stub-resolver queries Internet full-resolvers victim bot#2(nat) size: =~60bytes src IP: victim bot#2(nat) dst IP: stub-resolver QNAME: (specific one) 過負荷 輻輳 stub-resolverにcache 機能がなければ 全てのqueryは full-resolverに転送される stub-resolver replies size: =~4000bytes (ip fragmented) src IP: stub-resolver dst IP: victim bot#2(nat) QNAME: (specific one) 2006/07/14 Copyright (C) 2006 Internet Initiative Japan Inc. 11

view of full-resolver queries Internet root-servers tld-servers example-servers victim bot#2(nat) stub-resolvers size: =~60bytes src IP: victim bot#2 stub-resolver dst IP: full-resolver QNAME: (specific one) 過負荷 輻輳 RRのTTLが短ければ コンテンツサーバへのquery 数が増加する full-resolver replies size: ~4000bytes (ip fragmented) src IP: full-resolver dst IP: victim bot#2(nat) stub-resolver QNAME: (specific one) 2006/07/14 Copyright (C) 2006 Internet Initiative Japan Inc. 12

view of victim Internet 輻輳 replies size: =~4000bytes (ip fragmented) src IP: full-resolvers stub-resolvers dst IP: victim victim 2006/07/14 Copyright (C) 2006 Internet Initiative Japan Inc. 13

対策は Attacker IP spoofed dns queries resolvers IP spoofed パケットを破棄 = Source Address Validation dns replies 外部からの recursive query を破棄 = Disable Open Recursive victim 2006/07/14 Copyright (C) 2006 Internet Initiative Japan Inc. 14

Disable Open Recursive open relay なリゾルバがいっぱい ISPのサーバ 各組織のサーバ 幾つかの ちょっと賢い機器 2006/07/14 Copyright (C) 2006 Internet Initiative Japan Inc. 15

Source Address Validation BCP38/RFC2827 All providers of Internet connectivity are urged to implement filtering described in this document to prohibit attackers from using forged source addresses... 2006/07/14 Copyright (C) 2006 Internet Initiative Japan Inc. 16

IIJ/AS2497 の場合 IIJ 全接続サービスにおいて Source Address Validation を導入 http://www.iij.ad.jp/pressrelease/2006/0308.html IIJ では Source Address Validation の実装に urpf と ACL を利用しています 2006/07/14 Copyright (C) 2006 Internet Initiative Japan Inc. 17

IIJ の基本ポリシ ピア ISP 上流 ISP IIJ/AS2497 ISP 顧客 シングルホーム static 顧客 マルチホーム static 顧客 urpf strict mode urpf loose mode 2006/07/14 Copyright (C) 2006 Internet Initiative Japan Inc. 18

CISCO urpf configuration urpf strict mode interface GigabitEthernet0/0 ip verify unicast source reachable-via rx urpf loose mode interface GigabitEthernet0/0 ip verify unicast source reachable-via any 2006/07/14 Copyright (C) 2006 Internet Initiative Japan Inc. 19

Juniper urpf configuration urpf strict mode interface { ge-0/0/0 { unit 0 { family inet { rpf-check; } } } } urpf loose mode interface { ge-0/0/0 { unit 0 { family inet { rpf-check { mode loose; } } } } } 2006/07/14 Copyright (C) 2006 Internet Initiative Japan Inc. 20

世の中の動き RIPE IP Anti-Spoofing Task Force EU 地域での状況調査 documentの作成 公開 RIRでanti-spoofing 実装を推進する手法の模索 2006/07/14 Copyright (C) 2006 Internet Initiative Japan Inc. 21

参照先 AL-1999.004 DoS attacks using the http://www.auscert.org.au/render.html?it=80 The Continuing DoS Threat Posed by Recursion http://www.us-cert.gov/reading_room/-recursion033006.pdf SAC008 Distributed DDoS Attacks http://www.icann.org/committees/security/dns-ddos-advisory- 31mar06.pdf 2006/07/14 Copyright (C) 2006 Internet Initiative Japan Inc. 22

2006/07/14 Copyright (C) 2006 Internet Initiative Japan Inc. 23

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック