発信者詐称SPAMメールによるDoS攻撃への対策手法

Slides:



Advertisements
Similar presentations
WINDOWS AZURE上での ACTIVE DIRECTORY構築入門 Windows Azure ハンズオン トレーニング.
Advertisements

ご提案書 『ホテル インターネットサービスソリューション』
Global Ring Technologies
The Enterprise-class Monitoring Solution for Everyone
情報基礎A 情報科学研究科 徳山 豪.
Webプロキシサーバにおける 動的資源管理方式の提案と実装
最新ファイルの提供を保証する代理FTPサーバの開発
NORWAY ENGLAND AMERICA FRANCE
SOHOシステムの構築と運用 東北NTユーザ会新潟勉強会資料.
(株)アライブネット RS事業部 企画開発G 小田 誠
join NASS ~つながりあうネットワーク監視システム~
B4向け研究グループ紹介 セキュリティ&村岡セキュリティプロジェクト
「ついうっかり 」 では済まないメール誤送信
3/4/ :37 PM © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered.
第2章 ネットサービスとその仕組み(前編) [近代科学社刊]
ネットワーク技術II 第8.2課 イーサネット・スイッチング
仮想ブロードキャストリンクを利用した 片方向通信路の透過的経路制御 藤枝 俊輔(慶應義塾大学)
スケールフリーネットワークにおける 経路制御のためのフラッディング手法の提案と評価
第14回 今日の目標 §4.3 情報セキュリティー 情報化社会の特徴を社会的な面から概観する 情報に関わる危険の要因を示す
解析サーバの現状と未来 2006/07/18 衛星データ処理勉強会 村上 弘志 現状のシステム構成など 統合解析環境としての整備
ネットワーク構成法 スケール 第6回 11月19日.
TCP (Transmission Control Protocol)
Outlook で送信したメールの 添付ファイルが消える
第5章 情報セキュリティ(前半) [近代科学社刊]
第2章 第3節 コミュニケーションにおけるネットワークの活用 情報Cプレゼン用資料(座学24) 担当 早苗雅史
発表の流れ 研究背景 マルチテナント型データセンタ 関連研究 IPマルチキャスト ユニキャスト変換手法 提案手法 性能評価.
リンクパワーオフによる光ネットワークの省電力化
i-Pathルータのフロー情報を用いたDoS攻撃検知法
輪講: 詳解TCP/IP ACE B3 suzuk.
第13回 今日の目標 §4.3 情報セキュリティー 情報化社会の特徴を社会的な面から概観する 情報に関わる危険の要因を示す
IPマルチキャスト通信とXcast 早稲田大学後藤研究室 Xcast班.
保育科第①部 C 網島大輔 C 宇野圭昭 設置場所:携帯を使うすべての若者の心に…届け!! ※大人向け
第2章 第3節 コミュニケーションにおけるネットワークの活用 情報Cプレゼン用資料(座学24) 担当 早苗雅史
Qmailとspamとの闘い 木村 博美 筑波大学 加速器センター
情報の基礎とセキュリティ ●URL (Uniform Resource Locator) インターネットサービスの所在地の表記
情報コミュニケーション入門 総合実習(1) 基礎知識のポイント(2)
B4向け研究紹介 MTAにおけるspamメール判別方法
総合講義B:インターネット社会の安全性 第8回 ネットワークの脆弱性
サーバ負荷分散におけるOpenFlowを用いた省電力法
Copyright Yumiko OHTAKE
総合講義B:インターネット社会の安全性 第6回 ネットワークの基盤技術
情報基盤センター 分散システムセキュリティ支援掛 2000年4月18日
総合講義B:インターネット社会の安全性 第9回 セキュリティとコスト
IPv6 ネットワークにおける エニーキャスト通信実現のための プロトコル設計と実装
大阪大学 大学院情報科学研究科 博士前期課程2年 宮原研究室 土居 聡
第7回ネットワークプログラミング 中村 修.
i-Pathルータのフロー情報を用いたDoS攻撃検知法
第9章 Error and Control Messages (ICMP)
2009年度卒業論文発表 CDNコンテンツサーバの動的負荷分散
インターネットにおける真に プライベートなネットワークの構築
セキュリティ(2) 05A2013 大川内 斉.
G Suite導入ガイド Ver1.3.
学内環境におけるP2Pアプリケーションの構築
東京工業大学 情報理工学研究科 数理・計算科学専攻 千葉研究室 栗田 亮
ネットワークプログラミング (3回目) 05A1302 円田 優輝.
メールの仕組みとマナー.
DNSクエリーパターンを用いたOSの推定
片方向通信路を含む ネットワークアーキテクチャに於ける 動的な仮想リンク制御機構の設計と実装
最低限インターネット ネットワークにつなぎましょ!
P2P ネットワーク上で 実時間ストリーミングを実現するための 分散制御プロトコルの提案
仮想環境を用いた 侵入検知システムの安全な構成法
Peer-to-Peerシステムにおける動的な木構造の生成による検索の高速化
P2P型アプリケーション用ライブラリ SUNET
情報ネットワーク 岡村耕二.
MAUI Project 2009 インターネットにおける近接性
SMTPプロトコル 2001年8月7日 龍 浩志.
まさ 2003/06/12 卒論その後の進捗 まさ 2003/06/12.
知技ワークショップ    画像の表示  ダブリンのセントパトリック寺院 2019/12/9.
HTTPプロトコルの詳細 M1 峯 肇史.
Presentation transcript:

発信者詐称SPAMメールによるDoS攻撃への対策手法 山井 成良 yamai@cc.okayama-u.ac.jp 岡山大学総合情報処理センター

SPAMメールによる被害 受信による被害 発信(中継)による被害 発信者アドレスの詐称による被害 比較的被害小 対策も比較的容易 頻度小(自ドメインに詐称された場合のみ) 被害は甚大 対策も困難

あるSPAMメール From: ********* ******* <**********@*******.***> To: ****.*******@********.***.***.*******.**.** Subject: Take advantage of the Bulk Email Special today? Broadcasting 500.000 Only $ 59.95 Date: Wed, 30 Oct 2002 12:56:30 -0500 MULTILEVEL MARKETING OPPORTUNITIES *PRODUCT ORDER* Disks are in TEXT file format and fully EXPORTABL: 1)[ ] 200 Million email addresses all fresh!!!!! ==Only $69.95== 2)[ ] 100 million email addresses all fresh!!!!! ==Only $49.95== 3)[ ] 1.5 Million USA Business FAX NUMBERS, ==Only $29.95== 4)[ ] 7.5 million Chinese e-mail addresses all fresh!!!! ==Only $49.95== 5)[ ] 100 Thousand Toronto Canada business fax numbers ==Only $49.95== … 90% DELIVERABLE

発信者詐称SPAMの問題点 詐称アドレスが自組織のものである場合 ⇒ 事実上のサービス不能(DoS)攻撃 エラーメールの大量受信 2億通 ×10% = 2000万通!! MTA・ネットワークの過負荷 ⇒ 通常メールの配送遅延・停止 ディスクの大量消費 特に実在アドレスの場合 ⇒ 事実上のサービス不能(DoS)攻撃

発信者詐称SPAMによる被害例 2002年11月に国内プロバイダで発生 30万通以上のエラーメール 最大で15時間以上の配送遅延 復旧までに約2日半 11/5 9:30am ~ 11/7 11:00pm 恐らく実在アドレス アドレスリスト中に含まれるものと推察

エラーメールの配送(1) 直接配送エラーメール 被害 MTA Open relay SPAM配送 MTA 発信者 詐称 SPAM 発信者 宛先 MTA

エラーメールの配送(2) 中継配送エラーメール 組織 被害 MTA 中継用 MTA 発信者 詐称 宛先 MTA SPAM 発信者

対策方式 1台のMTAでは過負荷は不可避 ⇒ 従来のMTA(プライマリMTA)とは別のMTA(セカンダリMTA)を導入 ※ コネクション確立前におけるエラーメールと通常メールの振り分けが問題

システム構成 primary MTA R Internet secondary MTA DNS ※ secondary MTAは server ※ secondary MTAは どこに設置してもよい LAN

直接配送エラーメールの処理 1つのMTAから多数のエラーメール → ルータでプライマリMTAへの通信を拒否 primary MTA SPAM配送 MTA secondary MTA

直接配送エラーメールの処理(続き) 他のMTAからメール → プライマリMTAで受信 primary MTA R 他のMTA secondary MTA

中継配送エラーメールの処理 多数のMTAから少数のエラーメール MXに対するキャッシュの有無を利用 MXを動的に変更 ルータでのフィルタリングは疑問 MXに対するキャッシュの有無を利用 多くの中継用MTAではミス メールを頻繁に交換するMTAではヒット MXを動的に変更 通常はプライマリMTAを応答 SPAM対策時にはセカンダリMTAを応答

中継配送エラーメールの処理(続き) 中継用MTA(キャッシュミス)の場合 primary MTA 組織 secondary MTA 中継用 MX? secondary MTA MX? DNS DNS secondary MTA

中継配送エラーメールの処理(続き) 他のMTA(キャッシュヒット)の場合 ※ 実在する詐称アドレス宛の 通常メールも優先配送 primary 組織 secondary MTA 中継用 MTA secondary MTA MX? primary MTA DNS primary MTA DNS

エラーメールの処理 エラーメールのみ早めに拒否/破棄 処理手順(プライマリ,セカンダリ共通) エラーメール処理に負荷をかけない Envelope-From,Envelope-Toをチェック MAILER-DAEMONから詐称アドレス宛なら コネクションを切断 ヘッダ中のFrom,Toをチェック 詐称アドレス宛のエラーメールなら破棄 通常メール/苦情メールと見なして配送 ※ 苦情メールの自動返信も可能

SPAM対策の開始・終了 SPAM処理開始 ※ 誤判定は実害が殆どないため許容 プライマリMTAにおいて 特定のアドレス宛のエラーメールを, 短時間に多数受け取った場合 DNSに対して, 特定のドメインに対する MXの問合せが 短時間に多数あった場合 ※ 誤判定は実害が殆どないため許容

SPAM対策の開始・終了 SPAM処理終了 セカンダリMTAにおいて 詐称アドレス宛の エラーメールが 一定時間検出されない場合

全体の対策手順 初期状態 DNSでプライマリMTAを応答(TTL大) SPAMの検出 プライマリMTAでのエラーメール監視 DNSでのMX queryの監視 SPAM処理開始 DNSでセカンダリMTAを応答(TTL小)

全体の処理手順(続き) ルータでのフィルタリング設定 両方のMTAでのエラーメール処理設定 プライマリMTAでのエラーメール監視(検出時は4.へ) セカンダリMTAでのSPAM処理終了検出 エラーメール処理及びルータでのフィルタリングの解除(全解除でなければ5.へ) 初期状態へ復旧(1.へ)

問題点 本手法の評価が困難 多くの要因が影響 調整可能パラメータが多い エラーメールの比率 キャッシュの有無など DNSにおけるキャッシュの有効期限 攻撃検出・解除方法

問題点(続き) 自分でSPAMを送るのは問題 実際に被害に遭うのも困難 ⇒ 多数の組織との連携が必須 DNSアクセス記録 エラーメール受信ログ (対策システムのインストール)

将来計画 セカンダリMTAの共有 広域で共通のセカンダリMTAを設置 DoS攻撃で浪費する帯域を別のネットワークに誘導 全体的な導入コスト,管理コストも削減可能

まとめ 発信者詐称SPAMによるDoS攻撃を回避 有効性の検証が困難 エラーメールはsecondary MTAへ誘導 DNSキャッシュの有無を利用 有効性の検証が困難 Janog参加者へ協力をお願いしたい メーリングリスト anti-spam-request@cc.okayama-u.ac.jp宛に subscribe end の2行だけ(Subject不要)のメールを送付

謝辞 ※ 本研究の一部は,以下の経費の補助を 受けている. 日本学術振興会 科学研究費補助金 研究種目: 基盤研究(C)(2) ※ 本研究の一部は,以下の経費の補助を 受けている. 日本学術振興会 科学研究費補助金 研究種目: 基盤研究(C)(2) 課題番号: 15500039 研究課題名: 発信者詐称SPAMメールに 起因するサービス不能攻撃への対策

関連発表 山井成良,山外芳伸,宮下卓也,大隅淑弘: 発信者詐称SPAMメールに対する対策手法,情報処理学会分散システム/インターネット運用技術研究会研究報告,2001-DSM-22-9,pp.~51-56,平成13年7月. 田中清,山井成良,岡山聖彦,宮下卓也,中村素典,丸山伸: 発信者詐称SPAMメールによるサービス不能攻撃の早期検出手法,情報処理学会第64回全国大会講演論文集,2H-2, 平成14年3月. 山井成良: 発信者詐称SPAMメールによるサービス不能攻撃対策(前編),CYBER SECURITY MANAGEMENT,Japan Cyber Security Institute,Vol.4,No.39,pp.64-67,平成15年1月. 山井成良: 発信者詐称SPAMメールによるサービス不能攻撃対策(後編),CYBER SECURITY MANAGEMENT,Japan Cyber Security Institute,Vol.4,No.40,pp.71-74,平成15年2月.