i-Pathルータのフロー情報を用いたDoS攻撃検知法

Slides:



Advertisements
Similar presentations
IP over DVB-RCS の設計と実装 研究背景 DVB-RCS 衛星回線を用いて受信局から送信局への狭帯域な戻り回線を提供 Forward Link Return Link HUB Terminal.
Advertisements

Step.5 パケットダンプ Wiresharkでパケットをキャプチャする PC 1 PC 2 PC 3 PC 4 ネットワーク
Timeout と再送 往復時間 予知が困難 他のトラフィックに依存 適応再送アルゴリズム データの採取.
インターネットの仕組み 例) Web閲覧 インターネット サーバ リクエスト データ 携帯電話 一般家庭 インターネットサービス
大阪大学 長谷川 剛 インターネットフローの公平性 大阪大学 長谷川 剛 2001年10月19日 IN研究会.
前回の授業への質問 質問:プロトコルアナライザで測定できる範囲はどこまでか?
Webプロキシサーバにおける 動的資源管理方式の提案と実装
クラウドにおける ネストした仮想化を用いた 安全な帯域外リモート管理
前回の課題 IPv6アドレス IP ARP ICMP NAT インターネット層 2003年12月4日 情報ネットワーク論 新村太郎.
セッション追跡によるプロトコルアノーマリの検知と対処
仮想ブロードキャストリンクを利用した 片方向通信路の透過的経路制御 藤枝 俊輔(慶應義塾大学)
IPv6 エニーキャスト ルーティングプロトコル PIA-SM の設計および実装
ネットワーク層.
一対多通信における ネットワーク障害物対応方法選択プロトコルの設計
詳解TCP/IP TCPタイムアウトと再転送 れにうむ.
TCP (Transmission Control Protocol)
早稲田大学大学院 理工学研究科情報科学専攻 後藤滋樹研究室 1年 渡辺裕太
NEC-早大技術交流会 OpenFlowスイッチによる広域通信の効率的集約法
XenによるゲストOSの解析に 基づくパケットフィルタリング
リンクパワーオフによる光ネットワークの省電力化
インターネット メールサーバ DNSサーバ WWWサーバ ファイアウォール/プロキシサーバ クライアント.
輪講: 詳解TCP/IP ACE B3 suzuk.
IPマルチキャスト通信とXcast 早稲田大学後藤研究室 Xcast班.
トランスポート層.
コンテンツ配信 エンコード (符号化) CBR (Constant Bit Rate) VBR (Variable Bit Rate)
認証と負荷分散を考慮した ストリーミングシステムに関する研究
伝送特性に応じた 適応型映像・音声配信機構の構築
IPv6アドレスによる RFIDシステム利用方式
サーバ負荷分散におけるOpenFlowを用いた省電力法
IPv6 ネットワークにおける エニーキャスト通信実現のための プロトコル設計と実装
無線環境におけるマルチホーム Mobile IPv6の通信品質分析
TCP/UDP プロセス間の通信のためのプロトコル TCP:信頼性高、処理時間大 UDP:信頼性低、処理時間小 ftp SMTP HTTP
インターネットの基礎知識 その3 ~TCP・UDP層編~
7. セキュリティネットワーク (ファイアウォール)
DiffServにおけるクラスの新しい設定方法の提案
i-Pathルータのフロー情報を用いたDoS攻撃検知法
2009年度卒業論文発表 CDNコンテンツサーバの動的負荷分散
Ibaraki Univ. Dept of Electrical & Electronic Eng.
IP ルーティングの図示 情報科学科 松澤 智史.
ネットワーク技術II 第9.1課 TCP/IPプロトコルスイート
リモートホストの異常を検知するための GPUとの直接通信機構
インターネットにおける真に プライベートなネットワークの構築
超高速ネットワークの弱点 光は速い 光は遅い 300km / 1msec (真空中) 180km / 1msec (光ファイバ中)
セキュリティ(2) 05A2013 大川内 斉.
マルチホーミングを利用した Proxy Mobile IPv6の ハンドオーバー
各種ルータに対応する P2P通信環境に関する研究
Ibaraki Univ. Dept of Electrical & Electronic Eng.
UDPマルチキャストチャット    空川幸司.
演習第6回 情報通信技術論 インターネット工学
Step.1 LinuxとIPコマンド ifconfig [-a] [インタフェース名] arp [-n]
非対称リンクにおける ジャンボフレームの性能評価
2003年6月17日 早稲田大学大学院理工学研究科 情報科学専攻 修士2年 水野 宏樹
DNSクエリーパターンを用いたOSの推定
TCP制御フラグの解析による ネットワーク負荷の推測
片方向通信路を含む ネットワークアーキテクチャに於ける 動的な仮想リンク制御機構の設計と実装
最低限インターネット ネットワークにつなぎましょ!
ICMPを用いた侵入検知システムの負荷軽減
仮想環境を用いた 侵入検知システムの安全な構成法
福岡工業大学 情報工学部 情報工学科 種田研究室 于 聡
トラフィックプロファイラAGURIの設計と実装
GbEにおける TCP/IP の研究について
計算機群における 「動的なインターネット接続性」の共有に関する研究
4.3 IPとルーティングテーブル 国際産業情報学科 2年 大竹 雅子.
岡村耕二 情報ネットワーク 岡村耕二 情報ネットワーク.
異種セグメント端末による 分散型仮想LAN構築機構の設計と実装
nチャネルメッセージ伝送方式のためのjailによる経路制御
特定ユーザーのみが利用可能な仮想プライベート・ネットワーク
牧野ゼミ 2年 産業情報 学科 韓 憲浩(カン ケンコウ)
TCP/IPの通信手順 (tcpdump)
プロトコル番号 長野 英彦.
Presentation transcript:

i-Pathルータのフロー情報を用いたDoS攻撃検知法 情報理工学専攻 後藤研究室 5108B096-1 野上晋平

研究背景 ネットワークの可視化 従来のインターネット エンドノードからネットワーク内部の情報が 得られない(ICMPを用いて間接的に得る) ネットワークの多様化 情報開示を求める声の高まり ネットワークの可視化

研究概要 ルータを通過するフロー情報を用いて DoS攻撃を検知 複数のルータを使用してDoS攻撃の 送信元を絞り込む 本研究ではこれまで注目されてない ルータが持つ情報を活用する ルータを通過するフロー情報を用いて DoS攻撃を検知 複数のルータを使用してDoS攻撃の   送信元を絞り込む

i-Pathルータ 産業技術総合研究所の小林克志氏が開発 ネットワーク内部の可視化が目的 取得できる情報の例 エンドノードが通信経路の情報を取得できる 取得できる情報の例 ネットワーク帯域 輻輳状態 遅延 パケットロス

可視化の例 30% 1G 20% 500M 60% 10G 40% 3G 2G 30% 1G 60% 2G 1% 100M 50% 700M

SHIMヘッダ IPヘッダとTCP/UDPヘッダの間にルータの持つ情報を書き込むSHIMヘッダを挿入 イーサネットヘッダ IP ヘッダ TCP/ UDP データ イーサネット トレイラ イーサネットヘッダ IP ヘッダ TCP/ UDP データ イーサネット トレイラ SHIMヘッダ IPヘッダとTCP/UDPヘッダの間にSHIMヘッダを挿入

DoS攻撃 サービス不能(Denial of Service)攻撃 大量のパケットを送りつけ、サーバの資源(CPU、メモリなど)やネットワーク帯域を占有してサービスを妨害する DoS攻撃の種類 SYN Flood(TCP), Connection Flood(TCP), ・・・ UDP Flood, ICMP Flood, ・・・ 分散型(DDoS)、反射型(DRDoS)

実証実験 nf_conntrackでフロー情報を取得 MIB(SNMP)に情報を書き込む i-Pathルータが実現する機能を確認する i-Pathルータの機能をLinuxで実装 nf_conntrackでフロー情報を取得 MIB(SNMP)に情報を書き込む 観測用ホストがSNMPで得たフロー情報を もとにDoS攻撃の検知を行う 定常状態から外れた場合に検知 複数のルータからDoS攻撃の経路を絞り込む ルータでの処理

DoS攻撃の検知法 SYN Flood攻撃 Connection Flood攻撃 UDP Flood攻撃 ICMP Flood攻撃 SYNフラグとACKフラグが立っている SYN Flood攻撃 内部状態がSYN_RECVのフロー数で判定 Connection Flood攻撃 内部状態がESTABLISHEDのフロー数で判定 UDP Flood攻撃 UDPのフロー数で判定 ICMP Flood攻撃 ICMPのフロー数で判定 TCPコネクションが 確立している

実験環境 Polling 観測用ホスト

実験 DoS攻撃 通常のトラフィック 各ルータでDoS攻撃の検知を行う

実験結果(SYN Flood)

実験結果(SYN Flood) $ ./detector output01.csv 02:50:04: Router3: SYN Flood Router4: SYN Flood 02:50:05: 02:50:06: 02:50:07:

実験結果(Connection Flood)

実験結果(Connection Flood) $ ./detector output02.csv 20:45:59: Router3: Connection Flood Router4: Connection Flood 20:46:04: 20:46:07: 20:46:08: Router4: Invalid Data SNMPでデータが取得できなかった

実験結果(UDP Flood)

実験結果(UDP Flood) $ ./detector output03.csv 21:23:46: Router3: UDP Flood Router4: UDP Flood 21:23:50: 21:23:51: 21:23:52:

実験結果(ICMP Flood)

実験結果(ICMP Flood) $ ./detector output04.csv 21:49:15: Router3: ICMP Flood Router4: ICMP Flood 21:49:16: 21:49:17: 21:49:18:

まとめ ルータのフロー情報を用いてDoS攻撃の検知を行った 複数のルータを監視することでDoS攻撃の経路を絞り込めた

ご清聴ありがとうございました

End-to-End原理 パケットの再送やQoS などの複雑な機能は可能な限りエンドノードで行うべきだという考え インターネットの基本的な設計原理 TCPにおける再送制御などがこれにあたる

i-PathルータとSNMP i-Pathルータ SNMP End-to-End原理にもとづいて、エンドノードへの情報提供を目的とする ルータで情報が開示されれば、どのホストでも等しく情報が得られる SNMP Managerにより、ホストの集中管理を行う 外部のホストのアクセスは制限される 情報の取得に加えて、一部の設定も行える

ネットワークの多様化 ブロードバンドの普及 モバイル機器によるインターネットの利用 P2P など新たな形態のネットワーク →多様化と格差の拡大 ネットワークアプリケーションの最適化、 障害時の原因究明などで困難に直面

情報開示を求める声 ネットワーク中立性の観点から情報開示を求める声が高まっている 米連邦通信委員会(FCC) 規則の制定を目指す 「ISP は正当な理由があればサービスの規制を行えるが、その場合はネットワークの管理情報を開示しなければならない」

nf_conntrack フローを追跡して情報を保持する (Linuxの持つConnection Tracking機能) 通信中のフローについての情報 プロトコル コネクションの状態、数 送信元と宛先のIPアドレス・ポート番号 パケット数、トラフィック量

例:nf_conntrackの情報 ipv4 2 tcp 6 299 ESTABLISHED src=192.168.1.2 dst=192.168.2.2 sport=34711 dport=5001   packets=9736 bytes=14373496 src=192.168.2.2 dst=192.168.1.2 sport=5001 dport=34711   packets=3687 bytes=192812 [ASSURED] mark=0 secmark=0 use=2 内部状態 コネクションの確立状態

nf_conntrack 補足 The meaning of the states are: * NONE: initial state * SYN_SENT: SYN-only packet seen * SYN_RECV: SYN-ACK packet seen * ESTABLISHED: ACK packet seen * FIN_WAIT: FIN packet seen * CLOSE_WAIT: ACK seen (after FIN) * LAST_ACK: FIN seen (after FIN) * TIME_WAIT: last ACK seen * CLOSE: closed connection (RST)

nf_conntrack 補足 それぞれのタイムアウト時間 [TCP_CONNTRACK_SYN_SENT] = 2 MINS [TCP_CONNTRACK_SYN_RECV] = 60 SECS [TCP_CONNTRACK_ESTABLISHED] = 5 DAYS [TCP_CONNTRACK_FIN_WAIT] = 2 MINS [TCP_CONNTRACK_CLOSE_WAIT] = 60 SECS [TCP_CONNTRACK_LAST_ACK] = 30 SECS [TCP_CONNTRACK_TIME_WAIT] = 2 MINS [TCP_CONNTRACK_CLOSE] = 10 SECS [TCP_CONNTRACK_SYN_SENT2] = 2 MINS

i-Pathプロジェクト 情報通信研究機構の委託を受け、産業技術総合研究所、三菱総合研究所、早稲田大学後藤滋樹研究室の共同研究 FreeBSDのカーネルをSIRENSに入れ替え実装 i-Path Project: http://i-path.goto.info.waseda.ac.jp/trac/i-Path/

DoS攻撃の説明 SYN Flood攻撃 Connection Flood攻撃 UDP Flood攻撃 ICMP Flood攻撃 TCP で接続の最初に行われるスリーウェイハンドシェイクにおいて、攻撃者が接続要求(SYNパケット)を大量に送りつける攻撃 Connection Flood攻撃 TCP による接続を大量に確立させる攻撃 UDP Flood攻撃 UDP パケットを大量に送りつける攻撃 ICMP Flood攻撃 ICMP echo request パケットを大量に送りつける攻撃

今後の課題 実運用のトラフィックに近い環境で評価を行い説得力を高める 今回使用しなかったパラメータを使用して  検知の精度を高める