スライド 1

Similar documents
2014 年電子情報通信学会総合大会ネットワークシステム B DNS ラウンドロビンと OpenFlow スイッチを用いた省電力法 Electric Power Reduc8on by DNS round- robin with OpenFlow switches 池田賢斗, 後藤滋樹

2.5 トランスポート層 147

第1回 ネットワークとは

Internet Initiative Japan Inc. プロトコルの脆弱性 ( 株 ) インターネットイニシアティブ 永尾禎啓 Copyright 2004, Internet Initiative Japan Inc.

2004 SYN/ACK SYN Flood G01P014-6

PowerPoint Presentation

Contents Part1: TCP Part2: TCP Part3: TCP Part4: Part5: TCP Part6:

Microsoft PowerPoint pptx

DDoS攻撃について

Stealthwatch System v6.9.0 内部アラーム ID

McAfee Network Security Platform Denial-of-Service (DoS) Prevention Techniques

IPsec徹底入門

本日の内容 ネットワーク運用と監視 観測 定常と異常 トラフィック計測 ネットワークに起こり得る 悪いこと 原因の特定 パケットを見るとわかること 長期観測と観測手法 観測の目的 観測手法 サンプリング フィルタリング 集約

4-5. ファイアウォール (IPv6)

4-4. ファイアウォール (IPv4)


修士論文進捗報告

Microsoft PowerPoint - network8forPDF

情報通信ネットワーク特論 TCP/IP (3)

初めてのBFD

Microsoft PowerPoint _y.kenji.pptx

amplification attacks とは 送信元を偽装した dns query による攻撃 帯域を埋める smurf attacks に類似 攻撃要素は IP spoofing amp 2006/07/14 Copyright (C) 2006 Internet Initiative Jap

スライド 1

<4D F736F F F696E74202D DB A B C C815B E >

Microsoft PowerPoint ppt [互換モード]

本資料について

技術的条件集別表 35 IP トランスポート仕様

Microsoft PowerPoint network8.pptx

Microsoft PowerPoint - nwgn ppt [互換モード]

TECHNICAL BRIEF RealServer ロードバランス時の BIG-IP 設定方法 本ドキュメントは複数の RealServer をロードバランスする際の BIG-IP コントローラの設定方法を紹介するもので F5 Networks Japan K.K. と RealNetworks

TFTP serverの実装

PowerPoint プレゼンテーション

チェックしておきたいぜい弱性情報2009< >

main2.dvi

卒業論文審査

PowerPoint プレゼンテーション

Mobile IPの概要

TOPIC 2004 年 4 月 21 日に公開された TCP の脆弱性! Transmission Control Protocol: TCP について! 脆弱性発見の背景! 脆弱性情報の流通過程! 脆弱性の内容について! 実際の脆弱性への対応 脆弱性の対象となる製品 脆弱性の回避策と対策 公開情

ASA の脅威検出機能および設定

第1回 ネットワークとは

橡c03tcp詳説(3/24修正版).PDF

センサーデバイスへの仮想IP割り当て実験

PAN-OS: パケット処理 PAN-OS のパケットフローシーケンス パロアルトネットワークス合同会社

オペレーティング システムでの traceroute コマンドの使用

conf_example_260V2_inet_snat.pdf

UDPとCBR

bitvisor_summit.pptx

画像情報特論 (2) - マルチメディアインフラとしての TCP/IP (1) インターネットプロトコル (IP) インターネット QoS (diffserv / MPLS) 電子情報通信学科甲藤二郎

2 1: OSI OSI,,,,,,,,, 4 TCP/IP TCP/IP, TCP, IP 2,, IP, IP. IP, ICMP, TCP, UDP, TELNET, FTP, HTTP TCP IP

3. LISP B EID RLOC ETR B 4. ETR B ITR A 1: LISP 5. ITR A B EID RLOC 6. A SYN 7. ITR A ITR A B EID RLOC SYN ITR A RLOC ETR B RLOC 8. ETR B SYN ETR B B

_IPv6summit_nishizuka.pptx

Computer Security Symposium October 2015 ハニーポットによる TCP リフレクション攻撃の観測と分析 小出駿 牧田大佑 * 吉岡克成 松本勉 横浜国立大学 横浜国立大学大学院環境情報研究院 / 横浜国立大学先端科学高等研究院

III 1 R el A III 4 TCP/IP プロトコルと 関連する各種上位プロトコルの基礎を学ぶ 具体的には 各プロトコルを実装したコマンド ( アプリケーションプログラム ) を実行し 各プロトコルの機能等を確認する また 同じプロトコルを実装したコンピュータ間では OS

Maximize the Power of Flexible NetFlow

PowerPoint プレゼンテーション

一般的に使用される IP ACL の設定

研究報告用MS-Wordテンプレートファイル

IPSJ SIG Technical Report Vol.2009-CSEC-46 No /7/2 nicter Conficker nicter Conficker nicter Network Observation and Analysis Re

Microsoft PowerPoint - css2013_3A4_1_slide.ppt

2. ネットワークアプリケーションと TCP/IP 2.1. クライアント / サーバモデル TCP/IP プロトコルに従うネットワークアプリケーションの典型的モデルは, クライアント / サーバモデルである. クライアント / サーバモデルでは, クライアントからの要求に対してサーバがサービスを提

¥¤¥ó¥¿¡¼¥Í¥Ã¥È·×¬¤È¥Ç¡¼¥¿²òÀÏ Âè1²ó

Nokia_Visibility_with_Control_White_Paper_EN

Detector とゾーンの動作の監視

Microsoft PowerPoint pptx

PowerPoint Presentation

ヤマハ ルーター ファイアウォール機能~説明資料~

パブリック6to4リレールータに おけるトラフィックの概略

Microsoft Word - DiCoMo2005_harima_19.doc

トランスポートレイヤの仕事 計算機間での良好なデータのやり取りを実現する 誤りがないように 再送 パリティー情報による自動再生 (FEC; Forward Error Correction) データを取りこぼさないように それ以外に欲しくなる機能 並列データ転送 ネットワークに やさしく 道が混まな

NetFlow Analyzer 6 Professional Edition のご紹介

PowerPoint プレゼンテーション

DNS

MIRACLE LoadBalancerを使用したネットワーク構成と注意点

パススルー IPSecトンネル インターフェイスに AVC トラフィックを有効に する 回避策

アマチュア無線のデジタル通信

Packet Tracer: 拡張 ACL の設定 : シナリオ 1 トポロジ アドレステーブル R1 デバイスインターフェイス IP アドレスサブネットマスクデフォルトゲートウェイ G0/ N/A G0/

講座内容 第 1 回オープンネットワークの概念と仕組み ( 講義 90 分 ) 基本的なネットワークの構成及び伝送技術について大規模化 マルチプロトコル化を中心に技術の発展と 企業インフラへの適用を理解する その基本となっている OSI 7 階層モデルについて理解する (1) ネットワークの構成と機

F O M A P P P 接続参考資料 DTE~FOMA パケット網間インタフェース 第 1.4 版 株式会社 NTT ドコモ Unpublished copyright 2007 NTT DoCoMo, Inc. All rights reserved. Unpublished copyrigh

Microsoft PowerPoint - GTM_TB_Load_Balance.pptx

キャッシュポイズニング攻撃対策

NetLec17TCPIP1.ppt

<4D F736F F F696E74202D208CA48B868FD089EE288FDA82B582A294C5292E B8CDD8AB B83685D>

インターネットVPN_IPoE_IPv6_fqdn

なって削除されるが invalid-route-reactivateオプションをonで指定している場合 優先度が高い経路が消滅したときに無効になっていたRIP 由来の経路を再有効化する [ ノート ] スタティック経路の優先度は10000で固定である invalid-route-reactivate

中継サーバを用いたセキュアな遠隔支援システム

PIM-SSMマルチキャストネットワーク

IPSEC(Si-RG)

untitled

アジェンダ フローマネージメント / フロープロトコル NetFlow InMonTrafficSentinelのご紹介 日本語版の提供 ネットワーク管理 レポーティング機能 セキュリティ管理 ダッシュボード機能 ケーススタディー インフォメーション 2

0 NGN における当社利用部門サービスと網機能の対応関係及び各サービスのインタフェース条件等について 平成 2 8 年 1 1 月 3 0 日東日本電信電話株式会社西日本電信電話株式会社

Microsoft Word - 3.1NW...o...doc

MYNOS-2015 年 3 月号 - 兼松株式会社様への次世代ファイアウォール導入事例 Palo Alto Networks 製品によるネットワーク運用事例 次世代ファイアウォールとは 従来型ファイアウォールの特徴であるポート番号 IP アドレスの組み合わせによる制御から進

presen1.pptx

shtsuchi-janog35.5-grnet.pptx

ヤマハ ルーター ファイアウォール機能~説明資料~

スライド タイトルなし

平成21年度実績報告

141201NetSCaler_CGNAT_brochure

頑張れフォールバック

ボンドグラフと熱伝導解析による EHA熱解析ツールの開発

Transcription:

i-path ルータのフロー情報を用いた DoS 攻撃検知法 情報理工学専攻後藤研究室 5108B096-1 野上晋平 1

研究背景 従来のインターネット エンドノードからネットワーク内部の情報が得られない (ICMP を用いて間接的に得る ) ネットワークの多様化情報開示を求める声の高まり 2

研究概要 本研究ではこれまで注目されてないルータが持つ情報を活用する ルータを通過するフロー情報を用いて DoS 攻撃を検知 複数のルータを使用して DoS 攻撃の送信元を絞り込む 3

i-path ルータ 産業技術総合研究所の小林克志氏が開発 ネットワーク内部の可視化が目的 エンドノードが通信経路の情報を取得できる 取得できる情報の例 ネットワーク帯域 輻輳状態 遅延 パケットロス 4

可視化の例 30% 1G 20% 500M 60% 10G 40% 3G 40% 2G 30% 1G 60% 2G 1% 100M 50% 1G 30% 700M 40% 2G 5

SHIM ヘッダ IP ヘッダと TCP/UDP ヘッダの間にルータの持つ情報を書き込む SHIM ヘッダを挿入 イーサネットヘッダ IP ヘッダ TCP/ UDP ヘッダ データ イーサネットトレイラ イーサネットヘッダ IP ヘッダ SHIM ヘッダ TCP/ UDP ヘッダ データ イーサネットトレイラ IP ヘッダと TCP/UDP ヘッダの間に SHIM ヘッダを挿入 6

DoS 攻撃 サービス不能 (Denial of Service) 攻撃 大量のパケットを送りつけ サーバの資源 (CPU メモリなど ) やネットワーク帯域を占有してサービスを妨害する DoS 攻撃の種類 SYN Flood(TCP), Connection Flood(TCP), UDP Flood, ICMP Flood, 分散型 (DDoS) 反射型 (DRDoS) 7

実証実験 i-path ルータが実現する機能を確認する i-path ルータの機能を Linux で実装 1. nf_conntrack でフロー情報を取得 2. MIB(SNMP) に情報を書き込む 3. 観測用ホストが SNMP で得たフロー情報をもとに DoS 攻撃の検知を行う 定常状態から外れた場合に検知 ルータでの処理 複数のルータから DoS 攻撃の経路を絞り込む 8

SYN Flood 攻撃 DoS 攻撃の検知法 内部状態が SYN_RECV のフロー数で判定 Connection Flood 攻撃 内部状態が ESTABLISHED のフロー数で判定 UDP Flood 攻撃 UDP のフロー数で判定 ICMP Flood 攻撃 ICMP のフロー数で判定 SYN フラグと ACK フラグが立っている TCP コネクションが確立している 9

実験環境 Polling 観測用ホスト 10

実験 DoS 攻撃 通常のトラフィック 各ルータで DoS 攻撃の検知を行う 11

実験結果 (SYN Flood) 12

実験結果 (SYN Flood) $./detector output01.csv 02:50:04: Router3: SYN Flood Router4: SYN Flood 02:50:05: Router3: SYN Flood Router4: SYN Flood 02:50:06: Router3: SYN Flood Router4: SYN Flood 02:50:07: Router3: SYN Flood Router4: SYN Flood 13

実験結果 (Connection Flood) 14

実験結果 (Connection Flood) $./detector output02.csv 20:45:59: Router3: Connection Flood Router4: Connection Flood 20:46:04: Router3: Connection Flood Router4: Connection Flood 20:46:07: Router3: Connection Flood Router4: Connection Flood 20:46:08: Router3: Connection Flood SNMP でデータが取得できなかった Router4: Invalid Data 15

実験結果 (UDP Flood) 16

実験結果 (UDP Flood) $./detector output03.csv 21:23:46: Router3: UDP Flood Router4: UDP Flood 21:23:50: Router3: UDP Flood Router4: UDP Flood 21:23:51: Router3: UDP Flood Router4: UDP Flood 21:23:52: Router3: UDP Flood Router4: UDP Flood 17

実験結果 (ICMP Flood) 18

実験結果 (ICMP Flood) $./detector output04.csv 21:49:15: Router3: ICMP Flood Router4: ICMP Flood 21:49:16: Router3: ICMP Flood Router4: ICMP Flood 21:49:17: Router3: ICMP Flood Router4: ICMP Flood 21:49:18: Router3: ICMP Flood Router4: ICMP Flood 19

まとめ ルータのフロー情報を用いて DoS 攻撃の検知を行った 複数のルータを監視することで DoS 攻撃の経路を絞り込めた 20

ご清聴ありがとうございました 21

End-to-End 原理 パケットの再送や QoS などの複雑な機能は可能な限りエンドノードで行うべきだという考え インターネットの基本的な設計原理 TCP における再送制御などがこれにあたる 22

i-path ルータと SNMP i-path ルータ End-to-End 原理にもとづいて エンドノードへの情報提供を目的とする ルータで情報が開示されれば どのホストでも等しく情報が得られる SNMP Manager により ホストの集中管理を行う 外部のホストのアクセスは制限される 情報の取得に加えて 一部の設定も行える 23

ネットワークの多様化 ブロードバンドの普及 モバイル機器によるインターネットの利用 P2P など新たな形態のネットワーク 多様化と格差の拡大 ネットワークアプリケーションの最適化 障害時の原因究明などで困難に直面 24

情報開示を求める声 ネットワーク中立性の観点から情報開示を求める声が高まっている 米連邦通信委員会 (FCC) 規則の制定を目指す ISP は正当な理由があればサービスの規制を行えるが その場合はネットワークの管理情報を開示しなければならない 25

nf_conntrack フローを追跡して情報を保持する (Linuxの持つConnection Tracking 機能 ) 通信中のフローについての情報 プロトコル コネクションの状態 数 送信元と宛先のIPアドレス ポート番号 パケット数 トラフィック量 26

例 :nf_conntrack の情報 ipv4 2 tcp 6 299 ESTABLISHED src=192.168.1.2 dst=192.168.2.2 sport=34711 dport=5001 packets=9736 bytes=14373496 src=192.168.2.2 dst=192.168.1.2 sport=5001 dport=34711 内部状態 packets=3687 bytes=192812 [ASSURED] mark=0 secmark=0 use=2 コネクションの確立状態 27

nf_conntrack 補足 The meaning of the states are: * NONE: initial state * SYN_SENT: SYN-only packet seen * SYN_RECV: SYN-ACK packet seen * ESTABLISHED: ACK packet seen * FIN_WAIT: FIN packet seen * CLOSE_WAIT: ACK seen (after FIN) * LAST_ACK: FIN seen (after FIN) * TIME_WAIT: last ACK seen * CLOSE: closed connection (RST) 28

nf_conntrack 補足 それぞれのタイムアウト時間 [TCP_CONNTRACK_SYN_SENT] = 2 MINS [TCP_CONNTRACK_SYN_RECV] = 60 SECS [TCP_CONNTRACK_ESTABLISHED] = 5 DAYS [TCP_CONNTRACK_FIN_WAIT]= 2 MINS [TCP_CONNTRACK_CLOSE_WAIT] = 60 SECS [TCP_CONNTRACK_LAST_ACK] = 30 SECS [TCP_CONNTRACK_TIME_WAIT] = 2 MINS [TCP_CONNTRACK_CLOSE] = 10 SECS [TCP_CONNTRACK_SYN_SENT2] = 2 MINS 29

i-path プロジェクト 情報通信研究機構の委託を受け 産業技術総合研究所 三菱総合研究所 早稲田大学後藤滋樹研究室の共同研究 FreeBSD のカーネルを SIRENS に入れ替え実装 i-path Project: http://i-path.goto.info.waseda.ac.jp/trac/i-path/ 30

DoS 攻撃の説明 SYN Flood 攻撃 TCP で接続の最初に行われるスリーウェイハンドシェイクにおいて 攻撃者が接続要求 (SYN パケット ) を大量に送りつける攻撃 Connection Flood 攻撃 TCP による接続を大量に確立させる攻撃 UDP Flood 攻撃 UDP パケットを大量に送りつける攻撃 ICMP Flood 攻撃 ICMP echo request パケットを大量に送りつける攻撃 31

今後の課題 実運用のトラフィックに近い環境で評価を行い説得力を高める 今回使用しなかったパラメータを使用して検知の精度を高める 32

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック