bitvisor_summit.pptx

Similar documents
今週の進捗

PowerPoint プレゼンテーション

PowerPoint プレゼンテーション

PowerPoint プレゼンテーション

160311_icm2015-muramatsu-v2.pptx

Internet Initiative Japan Inc. プロトコルの脆弱性 ( 株 ) インターネットイニシアティブ 永尾禎啓 Copyright 2004, Internet Initiative Japan Inc.

Microsoft Word - Dolphin Expressによる10Gbpソケット通信.docx

センサーデバイスへの仮想IP割り当て実験

Microsoft PowerPoint - ns0601.ppt

PowerPoint プレゼンテーション

2004年度情報科学科卒論アブスト テンプレート

VNSTProductDes3.0-1_jp.pdf

PowerPoint Presentation

情報処理学会研究報告 IPSJ SIG Technical Report Vol.2013-CSEC-61 No.15 Vol.2013-IOT-21 No /5/10 トラフィック削減用ネットワークノードの多段構成と評価 古田駿介 大高友樹 成田明子 動画配信に代表されるように一つの

大月勇人, 若林大晃, 瀧本栄二, 齋藤彰一, 毛利公一 立命館大学 名古屋工業大学

スライド 1

fse7_time_sample

スライド 1

template.dvi

目次 1 はじめに 登録商標 商標 注意事項 免債事項 SR-IOV の機能概要 性能検証事例 測定環境 測定結果 各方式による共有 NIC 性能比較 ( ポートあ

修士論文進捗報告

2 1: OSI OSI,,,,,,,,, 4 TCP/IP TCP/IP, TCP, IP 2,, IP, IP. IP, ICMP, TCP, UDP, TELNET, FTP, HTTP TCP IP

Microsoft PowerPoint - Android+TPMによるセキュアブート_KDDI研_後日配布用

Control Manager 6.0 Service Pack 3 System Requirements

F O M A P P P 接続参考資料 DTE~FOMA パケット網間インタフェース 第 1.4 版 株式会社 NTT ドコモ Unpublished copyright 2007 NTT DoCoMo, Inc. All rights reserved. Unpublished copyrigh

2.5 トランスポート層 147

TFTP serverの実装

Microsoft Word - nvsi_090203_r1_sanboot_vaultdr.doc

SiTCP ユーティリティユーザガイド 2014 年 6 月 18 日 0.73 版 Bee Beans Technologies 1

赤堀蒼磨, 納堂博史, 鈴木秀和, 内藤克浩, 渡邊晃 名城大学理工学部 愛知工業大学情報科学部

情報通信ネットワーク特論 TCP/IP (3)

BitVisor Updates in 2016

パケットモニター (Wireshark) の使い方 第 1 版 1.Wireshark とは ネットワーク上 (LAN ケーブルに流れている ) のパケットを取得して その中の情報を画面に表示するソフトウェア (LAN アナライザーまたはパケットモニター ) の 1 つに Wiresh

CTA 82: CTA A A B B A B A, C A A A D A B Max-Planck-Inst. fuer Phys. C D

Microsoft Word - 楽天㇯ㅩ㇦ㅛIaaSㇵㅼã…fiã‡¹ä»Łæ§Ÿ.doc

KSforWindowsServerのご紹介

CLUSTERPRO X IIJ GIO インフラストラクチャー P2 動作検証報告 2017 年 11 月日本電気株式会社クラウドプラットフォーム事業部 CLUSTERPROグループ 1 NEC Corporation 2017

AV 1000 BASE-T LAN 90 IEEE ac USB (3 ) LAN (IEEE 802.1X ) LAN AWS (Amazon Web Services) AP 3 USB wget iperf3 wget 40 MBytes 2 wget 40 MByt

Microsoft Word - gori_web原稿:TrusSPSにおけるNAS OSのパフォーマンス評価.docx

PowerPoint プレゼンテーション

[技術資料] PRIMERGY サーバブレードのLAN 冗長化

2004 SYN/ACK SYN Flood G01P014-6

Dual Stack Virtual Network Dual Stack Network RS DC Real Network 一般端末 GN NTM 端末 C NTM 端末 B IPv4 Private Network IPv4 Global Network NTM 端末 A NTM 端末 B

4-5. ファイアウォール (IPv6)

4-4. ファイアウォール (IPv4)

2014 年電子情報通信学会総合大会ネットワークシステム B DNS ラウンドロビンと OpenFlow スイッチを用いた省電力法 Electric Power Reduc8on by DNS round- robin with OpenFlow switches 池田賢斗, 後藤滋樹

研究報告用MS-Wordテンプレートファイル

スライド 1

PeerPool IP NAT IP UPnP 2) Bonjour 3) PeerPool CPU 4) 2 UPnP Bonjour PeerPool CPU PeerPool PeerPool PPv2 PPv2 2. PeerPool 2.1 PeerPool PeerPool PoolGW

Microsoft PowerPoint - CLUSTERPRO_BIG-IP.ppt[読み取り専用]



第1回 ネットワークとは

InterSec/LB400k システム構成ガイド 2019 年 01 月第 3 版

Microsoft PowerPoint - about_stack_ ppt [互換モード]

“nice to meet you”

[1] [2] [3] (RTT) 2. Android OS Android OS Google OS 69.7% [4] 1 Android Linux [5] Linux OS Android Runtime Dalvik Dalvik UI Application(Home,T

1012  ボットネットおよびボットコードセットの耐性解析

フルボリュームのレプリケーションは 通常 営業時間外か週末に実施されます 一方 インクリメンタルなレプリケーションは 一日を通じて実施され 開始点としてフルボリュームのレプリケートを必要とします 主な機能 TCP 最適化標準的な TCP ウィンドウサイズと輻輳動作を変更することでスループットを改善

Corp ENT 3C PPT Template Title

タイトル情報サーチ 目次 取扱説明書 Version 1.10 タイトル情報サーチの概要 必要なもの インストール 注意事項 音楽 CD のタイトル情報取得の手順 1 USB への記録 2 USB の接続 3 Gracenote データベースへのアクセス 4 USB への保存 5 NissanCon

TOPIC 2004 年 4 月 21 日に公開された TCP の脆弱性! Transmission Control Protocol: TCP について! 脆弱性発見の背景! 脆弱性情報の流通過程! 脆弱性の内容について! 実際の脆弱性への対応 脆弱性の対象となる製品 脆弱性の回避策と対策 公開情

延命セキュリティ製品 製品名お客様の想定対象 OS McAfee Embedded Control 特定の業務で利用する物理 PC 仮想 PC や Server 2003 Server 2003 ホワイトリスト型 Trend Micro Safe Lock 特定の業務で利用するスタンドアロン PC

KiwiSyslogServer/KiwiLogViewer製品ガイド

Microsoft Word - appendix_b_srft.doc

Microsoft PowerPoint - kiwi_productguide v9_rev2.7.ppt

はじめに Dell PowerVault DL2000 Powered by Symantec Backup Exec は シンプルで管理しやすいデータ保護機能を提供する 柔軟かつ経済的なバックアップソリューションです 本ホワイトペーパーでは PowerVault DL2000 の バリューシリーズ

<4D F736F F F696E74202D208C7997CA89BB8E9E8AD491AA92E B2E B8CDD8AB B83685D>

本資料について

Arcserve Unified Data Protection サーバ構成とスペック見積もり方法 2018 年 10 月 Arcserve Japan Ver

III 1 R el A III 4 TCP/IP プロトコルと 関連する各種上位プロトコルの基礎を学ぶ 具体的には 各プロトコルを実装したコマンド ( アプリケーションプログラム ) を実行し 各プロトコルの機能等を確認する また 同じプロトコルを実装したコンピュータ間では OS


IPSJ SIG Technical Report Vol.2011-IOT-12 No /3/ , 6 Construction and Operation of Large Scale Web Contents Distribution Platfo

ィングを使う設計にすることはあまりない これを使うと混雑なく使えるチャネル数が足りなく なるためである 関連記事 : 高速な チャネルボンディング はいいことだけなのか? こうした事情から 無線 LAN の通信が実測で 1Gbps を超えられるかどうかを試したことがあ る人は少ないのではないだろうか

MIRACLE LoadBalancerを使用したネットワーク構成と注意点

中村隼大 鈴木秀和 内藤克浩 渡邊晃 名城大学理工学部愛知工業大学情報科学部

<4D F736F F F696E74202D DB A B C C815B E >

サービス仕様 1. 提供機能一覧楽天クラウド IaaS では以下の機能をユーザに対し提供します 機能名 1 管理コンソール 2 仮想マシン 概要 ユーザが楽天クラウド IaaS の各機能を操作するための Web インターフェースです 以下の全ての機能を操作できます ユーザが占有でき

Microsoft Word - nvsi_080177jp_trendmicro_bakbone.doc

PowerPoint プレゼンテーション

2/11 ANNEX HATS HATS

Solstice Pod ネットワーク導入ガイド

スライド 1

Ethernet 開発支援ツール ACCEL ti2k (LastUpdate Mar 1, 2019) 概要ターミナルツール (1) TcpTermS.exe ターミナルツール (2) TcpTermM.exe ターミナルツール (3) UdpTermS.exe ターミナルツール (

PDF.PDF

CheckPoint Endpoint Security メトロリリース製品について 株式会社メトロ 2018 年 07 月 25 日

Microsoft PowerPoint - JANOG19-u10-GigaPcap(NonAnim).ppt

スライド 1

Microsoft PowerPoint - install_NGSsokushu_windows(ver2.1).pptx

Arcserve Unified Data Protection サーバ構成とスペック見積もり方法 2016 年 06 月 Arcserve Japan Ver

サーバセキュリティサービスアップグレード手順書 Deep Security 9.6SP1 (Windows) NEC 第 1 版 2017/08/23

GIGA光SW-HUB

Microsoft PowerPoint ppt [互換モード]

出岡雅也 旭健作 鈴木秀和 渡邊晃 名城大学理工学部

スライド 1

PowerPoint プレゼンテーション

Microsoft Word - nvsi_050110jp_netvault_vtl_on_dothill_sannetII.doc

Sylpheed とは オープンソースのメールソフト ライセンスは GPL+LGPL 高速 軽量 高機能 高い操作性 高い信頼性 導入が容易 マルチプラットフォーム Windows, Linux, etc. 多言語対応 ( 約 30 ヶ国語 )

山添.pptx

Microsoft PowerPoint - DEXCS2015_Salome_Installation pptx

Transcription:

BitVisor 内蔵の lwip で Alkanet ログの送信を試みる 命館 学システムソフトウェア研究室 下雄也, 明 修平, 瀧本栄, 利公 1

はじめに (1/4) 近年, マルウェアが増加しており, マルウェアの脅威が問題となっている マルウェアの脅威に対抗するためには, 多数のマルウェアを迅速に解析する必要がある システムコールトレーサ Alkanet Windows 上で動作するマルウェアを対象とし, マルウェアが発 したシステムコールのログ (Alkanet ログ ) を作成 VMM である BitVisor ベース アンチデバッグ機能を持つマルウェアでもスレッド単位で短時間にトレース可能 勇, 瀧本栄, 齋藤彰, 利公 : マルウェア観測のための仮想計算機モニタを いたシステムコールトレース 法, 情報処理学会論 誌, Vol.55, No.9, pp.2034 2046 (2014). 2

はじめに (2/4) Alkanet によるトレースでは,IEEE 1394 ケーブルを いる IEEE 1394 の問題点 柔軟な端末の構成が難しい (1) Windows (2) (4)SIGINT Alkanet (3)Alkanet IEEE 1394 Linux (5) (6)Alkanet 3

はじめに (3/4) 前スライドで述べた問題を解決するため, Ethernet 版 Alkanetを提案 (1) Windows (2) (4)SIGINT (3)Alkanet Alkanet (Ethernet) Ethernet Linux (5) IEEE 1394 (6)Alkanet 4

はじめに (4/4) 本発表では,Ethernet 版 Alkanet の開発を進める中で得られた知 について発表する NIC の隠蔽設定や送信に特化した lwip のチューニングによる性能差 lwip を いて複数のパケットを送信する場合, ARP を考慮する必要がある 5

使 する TCP/IP プロトコルスタック Ethernet 経由での Alkanet ログ送信を実現するためには, TCP/IP プロトコルスタックが必要 現 の BitVisor には,TCP/IP プロトコルスタック lwip が移植されている lwip を いて, Ethernet 経由での Alkanet ログ送信機能を実装 lwip (lightweight IP) 組込みシステムを対象とした TCP/IP プロトコルスタック 設計 標 : メモリ等のリソース使 量を可能な限り削減する 6

各種設定による送信性能の差 7

送信スループットの計測 lwip が, どれほどの送信性能を持っているか調べるため, 送信スループットの計測を った 以下の 6 つを対象に, 計測を った プロトコル NICの隠蔽設定 データサイズ /pkt 送信バッファサイズ (TCP, ip) TCP net=ip 536B 1072B (tuned TCP, ip) TCP net=ip 1460B 65535B (TCP, ippass) TCP net=ippass 536B 1072B (tuned TCP, ippass) TCP net=ippass 1460B 65535B (UDP, ip) UDP net=ip 1472B (UDP, ippass) UDP net=ippass 1472B 8

送信スループットの計測 lwip が, どれほどの送信性能を持っているか調べるため, 送信スループットの計測を った 以下の 6 つを対象に, 計測を った プロトコル NICの隠蔽設定 データサイズ /pkt 送信バッファサイズ (TCP, ip) TCP net=ip 536B 1072B (tuned TCP, ip) TCP net=ip 1460B 65535B (TCP, ippass) TCP net=ippass 536B 1072B (tuned TCP, ippass) TCP net=ippass 1460B 65535B (UDP, ip) UDP net=ip 1472B (UDP, ippass) UDP net=ippass 1472B 9

NIC の隠蔽設定 BitVisor は,NIC をゲスト OS に対して隠蔽する機能を持っている net=ip: NIC を隠蔽する net=ippass: NIC を隠蔽しない NIC を隠蔽するか否かが, 送信性能にどの程度影響を与えるのか知りたい NIC の隠蔽設定を計測対象に加えた 10

送信スループットの計測 lwip が, どれほどの送信性能を持っているか調べるため, 送信スループットの計測を った 以下の 6 つを対象に, 計測を った プロトコル NICの隠蔽設定 データサイズ /pkt 送信バッファサイズ (TCP, ip) TCP net=ip 536B 1072B (tuned TCP, ip) TCP net=ip 1460B 65535B (TCP, ippass) TCP net=ippass 536B 1072B (tuned TCP, ippass) TCP net=ippass 1460B 65535B (UDP, ip) UDP net=ip 1472B (UDP, ippass) UDP net=ippass 1472B 11

TCP のチューニング lwip は, チューニング の #define 定数マクロを多数 意している チューニングを うことで, どの程度 速になるのか知りたい 以下の 2 つのチューニングを った tuned TCP を計測対象に加えた MSS を 536B から 1460B に変更 (TCP_MSS) TCP が持つ送信バッファのサイズを 1072B から 65535B に変更 (TCP_SND_BUF, TCP_SND_QUEUELEN, MEMP_NUM_TCP_SEG) 12

送信スループットの計測 lwip が, どれほどの送信性能を持っているか調べるため, 送信スループットの計測を った 以下の 6 つを対象に, 計測を った プロトコル NICの隠蔽設定 データサイズ /pkt 送信バッファサイズ (TCP, ip) TCP net=ip 536B 1072B (tuned TCP, ip) TCP net=ip 1460B 65535B (TCP, ippass) TCP net=ippass 536B 1072B (tuned TCP, ippass) TCP net=ippass 1460B 65535B (UDP, ip) UDP net=ip 1472B (UDP, ippass) UDP net=ippass 1472B 13

計測環境 項 値 VMM BitVisor 1.4 ゲスト OS CPU メモリ NIC Debian 8.6 (Linux 3.16.0-4.amd64) Intel (R) Core(TM) i5-2320 CPU @ 3.00GHz 4GB Intel Corporation PRO/1000 PT Dual Port Server Adapter (1Gbps) 1 パケットあたりのデータサイズ 1460B (TCP),1472B (UDP) 1 実験あたりの合計送信データサイズ 100MB 実験回数 5 回 14

計測 法 (1)dbgsh を いて, 送信 関数を呼び出す Debian BitVisor (2) パケット 100MB 送信 Ethernet ケーブル Ubuntu (3)sys_now() を いて, 全パケットの送信に要した時間を計測 送信した合計バイト数と送信に要した時間から送信スループットを算出 5 回計測し, その平均値を結果とする 15

計測結果と考察 (TCP, ip) (tuned TCP, ip) (TCP, ippass) (tuned TCP, ippass) (UDP, ip) (UDP, ippass) 138.3Kbps 21.2Mbps 33.8Mbps 874Mbps 953Mbps 981Mbps 0.0041 倍 0.024 倍 0.97 倍 特に,TCP の送信スループットが極端に低下する TCP は, ウィンドウサイズ以上のデータを送信する場合,ACK を待つ必要がある NIC を隠蔽することで,VM に割込みが らない ACK の受信処理を円滑に えないことが原因 16

計測結果と考察 (TCP, ip) (tuned TCP, ip) (TCP, ippass) (tuned TCP, ippass) (UDP, ip) (UDP, ippass) 138.3Kbps 21.2Mbps 33.8Mbps 874Mbps 953Mbps 981Mbps 153 倍 26 倍 チューニングに関する参考サイト Tuning TCP lwip Wiki Fandom powered by Wikia (http://lwip.wikia.com/wiki/tuning_tcp) Maximizing throughput lwip Wiki Fandom powered by Wikia (http://lwip.wikia.com/wiki/maximizing_throughput) 17

計測結果と考察 (TCP, ip) (tuned TCP, ip) (TCP, ippass) (tuned TCP, ippass) (UDP, ip) (UDP, ippass) 138.3Kbps 21.2Mbps 33.8Mbps 874Mbps 953Mbps 981Mbps Ethernet 版 Alkanetでは,(UDP, ip) を採 ロギング 端末への攻撃の対策 膨 なログを素早く送信する必要がある 有線なので, パケットロスは滅多に発 しない 18

ARP に関する問題 19

ARP に関する問題 ARP によるアドレス解決が完了する前に, 複数のパケットを送信しようとするとパケットの破棄が発 する 複数のパケットを送信する場合, ARP を考慮する必要がある 問題の原因と対策について述べる 20

lwip の送信処理の流れ lwip は, 以下の 順で送信処理を う 1. TCP or UDP ヘッダを作成 2. IP ヘッダを作成 3. ARP テーブルを検索 該当するエントリあり 4. Ethernet ヘッダを作成してパケットを送信 該当するエントリなし 4. ARP Reply 待ちキュー (ARP エントリ毎に存在 ) にパケットを 時的に格納 5. ARP Request を送信 6. ARP Reply 受信後,4 で格納したパケットを送信 21

ARP に関する問題の原因 キューサイズは 1 パケット分 パケット 2 enqueue パケット 1 パケット 1 は上書きされる ARP Reply 待ちキュー n パケット送信した場合, 1 番 から n-1 番 までのパケットは破棄される Ethernet 版 Alkanet では問題にならない 起動パケットを受信した段階で, アドレス解決が完了しているため 22

複数の TCP パケット送信 法 tcp_connect() を いることで,ARP アドレス解決や 3 ウェイハンドシェイクと同期が取れる err_t tcp_connect(struct tcp_pcb *pcb, ip_addr_t *ipaddr, u16_t port, tcp_connected_fn connected) SYN パケットを送信する (ARP Request も送信 ) connected には, コネクション確 後に呼び出されるコールバック関数を指定可能 connected にデータ送信 関数を指定することで, 複数の TCP パケットを送信できる コネクション確 後には,ARP アドレス解決が完了しているため 23

複数の UDP パケット送信 法 TCP のように, コールバック関数で同期を取ることができない ARP に関して何かしらの対応は必要 1 パケット と 2 パケット の間に待機処理を れる lwip を拡張し,ARP Reply 受信時にコールバック関数が呼ばれるようにする ARP Reply 待ちキューのサイズを増やす ARP Reply 待ちキューのサイズの増やし ARP_QUEUEING を 1 に設定 MEMP_NUM_ARP_QUEUE にサイズを設定 ( パケット単位 ) 24

Ethernet 版 Alkanet の現状 基本的な機能については実装完了 Alkanet ログ送信機能 起動 / 終了パケット受信機能 Ethernet 版ログ取得ツール 今後は,Ethernet 版 Alkanet 上でマルウェアを動作させ, IEEE 1394 版 Alkanet と同様のログを取得できるか確認 25

おわりに Ethernet 版 Alkanet の開発を進める中で得られた知 について発表 NIC の隠蔽設定や lwip のチューニングによる送信性能の差 NIC を隠蔽すると, 特に TCP の送信スループットが極端に低下する lwip が提供するチューニング 定数を使 することで, 送信スループットの向上が可能 lwip を いて複数のパケットを送信する場合, ARP を考慮する必要がある TCP では, コールバック関数を いて解決可能 UDP では, これといった解決策が存在しない 26

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック