NetAgent P2P検知技術 NetAgent
日本のP2Pの現状 WinMXとWinnyによるファイル共有ネットワーク 主なコンテンツ アダルト画像動画 テレビの録画内容やDVDのコピー 商用アプリケーション 漏洩した名簿データ ゲームのROMイメージ NetAgent
問題の深刻度 ダウンロードした (違法ではない) 使用した (違法) 共有(公開)した (違法) 商用ソフトウェアの使用など ダウンロードした (違法ではない) 使用した (違法) 商用ソフトウェアの使用など 共有(公開)した (違法) Winnyではダウンロードするだけでも、ファイル断片もしくは全てを共有してしまう。 NetAgent
WinMX WinMX Peer 、OpenNapおよびプロトコルベースのファイル共有プログラム NetAgent
WinMXの通信方法 ディフォルトポート プロトコルの特徴 検索 UDP 6257 ダウンロード TCP 6699 暗号化されないので検知が容易 ディフォルトポートが固定なのでQoSを掛けやすい プロトコルが公開されているので、解析が容易 NetAgent
WinMXの速度を規制しているプロバイダ ・ J-COM ・ ZAQ ・ Yahoo!BB ・ ODN ・ OCN ・ SO-NET ・ hi-ho プロバイダーによる速度制限への対処法 http://members.at.infoseek.co.jp/ito0120/kaihi.html より引用 NetAgent
WinMX検知方法 Snortによる検知 速度制限対策クライアント用ルール alert tcp $HOME_NET any -> $EXTERNAL_NET 6699 (msg:"WinMX Download file"; content:"\" M"; offset:20; classtype:policy-violation ; rev:1;) alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"WinMX Download file"; content:"\" M"; offset:20; classtype:policy-violation ; rev:1;) PacketBlackHole IDS ルール http://www.packetblackhole.com/ids.html より NetAgent
ダウンロードしたファイルの表示 PacketBlackHole grep:Shift-Jis/NetAgent NetAgent
Winny Winnyは高速性と匿名性の両立を目指したファイル共有ソフト。匿名BBS機能も有す。 NetAgent
Winnyの通信方法 ディフォルトポート 検索リンク TCPポート ダウンロード Port0 通信内容 相手先にTCPをすることにより実現 インストール時にランダムで決定される 一時ポート間で通信が行われるため、ポートレベルではFTP passive転送と区別つかない。 通信内容 暗号化されているので、単純な検知が不可能 検索リンク TCPポート 相手先にTCPをすることにより実現 ダウンロード Port0 NetAgent
Winny検知方法 一時ポートと一時ポートでの接続 特定サイズの暗号化通信の連続 1対多の接続 NetAgent
検知の実際 通信統計で接続している数とサイズを調べる 受け側のWinnyポートに数回接続する NetAgent
接続テスト Winnyの待ち受けポートにNULL接続 クラスタキーワードなどを含んで返答する NetAgent クラスタキーワードが同じなら同じサイズ 毎回異なる結果を返す。(時刻情報など毎回異なる情報が添加されているため) クラスタキーワードなどを含んで返答する NetAgent
接続テストの内容 判明している受信文字列 上流検索リンクに送信する内容 UP限界速度 クラスタキーワード UP限界速度 クラスタキーワード NetAgent
初期ノード 初期ノードは解析可能 NetAgent @64515f2d03008c100f8c04920c24bdb82ca4 @17ea34a57df6a2f6a1047c6b4f06d0ff08083054f6 @2b86988d4ed185d36bdaf7f821685bd82de149743146 @92acb69f0dbbaa902530a1f11b195f99f17a98 @30a1a8f6e9c643152f5051117370eefecd @9585aea4872b8cca49f7274a2d56e8aeb77816 @8831f8a322f6bd8cc91753a0ed3406faff57ff @35c69ad64e4a20d9753bf9304715420a8b67ec8c27f8 @373a8d564173e8c74418b1b34a92c1c57f557912a868 @cb1bd4a7c67f5f08cb554ec9c8fe2436a0165d15 @36673d74b744c978cb45f26e17b1f9e567 @3439594b87d4b5d9966ee0294561a9c7d2 @9a7316f7d7122e7686bac3acc4049022436fe6 @e0bc5e79284a0087ff5a798a4f53bdd2a6a537 @ce5cd61271ff19ee87e6dc31c486c4142916029a @3139360b072d17f666a431dffeaabd36d7 @905c2ddf25ea13363250b26541b11d3d4a2c99 @a4df8ddcc055f25212e3a6f3461b0d9987ef1d @9e234484d86ca722137f32e5c93299273e62dc @914a21238c813ceb9c5724581dd5 @4fd00dde764038d1a53f516a28ac74f6fca7aa0a33697a2742262fac @f1785467a2553993048ea4b1a9da708fc80ec4ab8f @f1785767a2563d91048da7b4a9db788fcb00c6ae8f @974cb8189cd966d97f29c8af333ff82289303a @03a2104a01465a9ac2533dc85da4cc5d169260ec10 210.162.130.71:19245 220.220.205.69:27015 192.168.116.2:2552 211.75.179.209:10765 172.16.57.51:28498 192.168.1.102:25833 192.168.1.2:6074 43.244.160.48:32667 192.168.1.2:7747 192.168.1.2:11677 218.90.191.132:6298 192.168.0.3:27116 221.154.55.188:1360 172.17.129.2:5358 218.121.80.50:32718 61.214.65.54:12315 規定:7805 211.199.229.254:7851 192.168.1.2:17652 219.104.183.113:3069 43.244.165.176:9135 192.168.116.2:32658 192.168.1.11:3298 218.141.62.99:12368 219.56.158.34:24403 61.22.210.100:29145 218.228.160.162:4662 61.204.109.237:31063 192.168.0.2:8366 y2k.zive.net:11903 81jthbwgpd.dyndns.org:16198 220.111.65.251:18251 61.248.150.208:8109 192.168.1.2:23223 61.116.191.253:8765 61.214.24.13:11419 218.41.23.210:25144 219.167.2.228:23613 61.44.72.101:9071 192.168.1.118:3241 192.168.0.2:7743 192.168.0.2:3466 NetAgent
共有しているファイル名を判別する firewallにより、共有相手のアドレスを絞ることによって、PORT0から相手先の共有ファイル名の一部を見ることが可能。 NetAgent
ネットエージェント株式会社 東京都墨田区錦糸3-5-8 SOAビル7F TEL 03-5619-1243 FAX 03-5619-1244 http://www.netagent.co.jp/ NetAgent