APAN NOC会合 APAN NOCにおける キャプチャの計画 2010年10月20日 下田晃弘, 後藤滋樹 早稲田大学.

Slides:



Advertisements
Similar presentations
Windows Azure ハンズオン トレーニング Windows Azure Web サイト入門.
Advertisements

ネットワークからみるPCC 寺内康之.
Step.5 パケットダンプ Wiresharkでパケットをキャプチャする PC 1 PC 2 PC 3 PC 4 ネットワーク
米国セキュリティ調査 (2002 CSI/FBI調査 攻撃場所)
CCC DATAset における マルウェアの変遷
第1回レポートの課題 6月15日出題 今回の課題は1問のみ 第2回レポートと併せて本科目の単位を認定 第2回は7月に出題予定
Chapter 11 Queues 行列.
ネットワーク構成法 スケール 第6回 11月19日.
早稲田大学大学院 理工学研究科情報科学専攻 後藤滋樹研究室 1年 渡辺裕太
HP ProLiant DL980 G7 SQL Server 2008 R2 NUMA 環境 ベンチマークテスト結果報告書
研究背景 クラウドコンピューティングサービスの普及 マルチテナント方式を採用 データセンタの需要が増加
日本人の英語文章の中で「ENJOY」はどういうふうに使われているのか
NEC-早大技術交流会 OpenFlowスイッチによる広域通信の効率的集約法
SP0 check.
後藤研の紹介 研究室説明資料 に掲載 日本語.
家庭からのインターネット ラスト・ワン・マイル ダイアルアップと常時接続 接続帯域
i-Pathルータのフロー情報を用いたDoS攻撃検知法
輪講: 詳解TCP/IP ACE B3 suzuk.
研究背景 クラウドコンピューティングサービスの普及 ユーザ数の増加に伴う問題 マルチテナント方式の採用 データセンタの需要が増加
OSのシグネチャを用いた 悪意のある通信の検出法
Tohoku University Kyo Tsukada
Windows Summit /8/2017 © 2010 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be.
Estimating Position Information by Detecting Network-Connection
Chapter 4 Quiz #2 Verbs Particles を、に、で
Provisioning on Multiple Network(NIC) env
The Sacred Deer of 奈良(なら)
Possible Damping Ring Timing
CRLA Project Assisting the Project of
仮想センサによる 広域ネットワーク脅威検出法
フロー技術を活用した ネットワークセキュリティの研究
Microsoft Partner Network Office 365 社内使用ライセンスの有効化
What is the English Lounge?
サーバ負荷分散におけるOpenFlowを用いた省電力法
ストップウォッチの カード ストップウォッチの カード
Future Internetとフロー指向
2018/11/19 The Recent Results of (Pseudo-)Scalar Mesons/Glueballs at BES2 XU Guofa J/ Group IHEP,Beijing 2018/11/19 《全国第七届高能物理年会》 《全国第七届高能物理年会》
TCP/UDP プロセス間の通信のためのプロトコル TCP:信頼性高、処理時間大 UDP:信頼性低、処理時間小 ftp SMTP HTTP
New accessory hardware Global Platform Division
情報の科学的 な理解(2) 情報科教育法 8回目 2005/6/4 太田 剛.
i-Pathルータのフロー情報を用いたDoS攻撃検知法
2009年度卒業論文発表 CDNコンテンツサーバの動的負荷分散
全国粒子物理会 桂林 2019/1/14 Implications of the scalar meson structure from B SP decays within PQCD approach Yuelong Shen IHEP, CAS In collaboration with.
-Get test signed and make corrections
後藤研の紹介 日本語.
マルチホーム事例 (大阪市立大学) 学術情報総合センター 大西克実.
MIX 09 2/23/2019 1:22 PM © 2009 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered.
戦略的情報通信研究開発推進制度(SCOPE) 仮想センサによる インターネット広域脅威検知技術の研究開発
後藤研の紹介 日本語.
後藤研の紹介 研究室説明資料 に掲載 日本語.
A18 スパムサーバの調査 ~ボットを見抜けるか?~
DNSクエリーパターンを用いたOSの推定
仮想ネットワークを考慮した SoftIRQ制御によるCPU割当ての手法
22 物理パラメータに陽に依存する補償器を用いた低剛性二慣性系の速度制御実験 高山誠 指導教員 小林泰秀
後藤研の紹介 研究室説明資料 に掲載 日本語.
2019/4/22 Warm-up ※Warm-up 1~3には、小学校外国語活動「アルファベットを探そう」(H26年度、神埼小学校におけるSTの授業実践)で、5年生が撮影した写真を使用しています(授業者より使用許諾済)。
Term paper, report (2nd, final)
戦略的情報通信研究開発推進制度(SCOPE) 仮想センサによる インターネット広域脅威検知技術の研究開発
第1回レポートの課題 6月24日出題 今回の課題は1問のみ 第2回レポートと併せて本科目の単位を認定 第2回は7月に出題予定
後藤滋樹研究室の紹介 現在のインターネットの課題 敵を知り、己を知れば、百戦危うからず(孫子) 1
Genetic Statistics Lectures (4) Evaluation of a region with SNPs
北大MMCセミナー 第62回 附属社会創造数学センター主催 Date: 2016年11月4日(金) 16:30~18:00
MO装置開発 Core part of RTR-MOI Photograph of core part.
九州大学のキャンパスネットワークを事例にL1~L3を学ぶ Study on L1,L2 and L3 with case of Campus Network of Kyushu Univ. 岡村耕二 Koji OKAMURA.
Cluster EG Face To Face meeting
Term paper, report (2nd, final)
戦略的情報通信研究開発推進制度(SCOPE) 仮想センサによる インターネット広域脅威検知技術の研究開発
戦略的情報通信研究開発推進制度(SCOPE) 仮想センサによる インターネット広域脅威検知技術の研究開発
東大素セ 松本浩,田中純一, 上田郁夫,坂本宏,真下哲郎
Improving Strategic Play in Shogi by Using Move Sequence Trees
プロトコル番号 長野 英彦.
Presentation transcript:

APAN NOC会合 APAN NOCにおける キャプチャの計画 2010年10月20日 下田晃弘, 後藤滋樹 早稲田大学

APAN 10G用キャプチャサーバ キャプチャサーバ本体 スペースと電源容量の検討 10月20日に後藤研に納品予定 キャプチャサーバ本体 メーカー: Qualest (http://www.qualest.co.jp/) システム型番: Qualest RS3X35R16TBRP 3Uサーバ CPU : Xeon X5650 2.66Ghz 6core  x 1 HDD: Hitachi SATA2 2TB 7200rpm 32MB  x 16   RAID1+0 or RAID0構成 メモリ: DIMM 2GB DDR3 1333Mhz ECC  x 6   (計12GB) 電源: 650W スペースと電源容量の検討 皆様のアドバイスに感謝! ※ Seagateに変更

ネットワークカード 10G NIC Chelsio 10Gb Ethernet NIC Card Dual Port N320e-G2-CR 10Gb SFP+ 光モジュール SM10G-LR サイバネテック社の情報によると,キャプチャ用途として実績があるとのこと 光ケーブル 10GBase-LR 光ファイバー  5m  (両端LCコネクタ) ファイバは納品済み

測定ポイント ネットワークの構成ならびにリソースを考慮して APAN 側コアスイッチ MS7 (Alaxala)に 10GBase-LR で収容の予定 コアルータ T640, T1600, E600 や JGN2plus を繋ぐコアスイッチ 複数インターフェイスをミラーすることにより,多様なフローを観測できる

引用: http://www.jp.apan.net/noc/implementation/xpconf.shtml

第2部 キャプチャしたデータの分析(例) 2.1 仮想センサ 2.2 仮想ハニーポット

2.1 仮想センサ(Dark IP) Block all incoming packets 実センサ(ハードウェア) Firewall PC Anomaly packets logging No response Attacker Firewall PC Sensor Box (Dark IP) Pass through all incomming packets

仮想センサ 物理的なマシンを設置しない Normal Servers No service offered Attackers Normal Hosts Mutual Access No service offered One-way Access Attackers Unused IP space Netflow packets Virtual Sensors 物理的なマシンを設置しない

Netflow AS 1000 AS 2000 Host A Host B export Netflow v5 record Fa 1/0 IP Y.Y.Y.Y /24 port 20 IP X.X.X.X /24 port 23221 export Netflow v5 record Start Time 2006/3/10 12:31:15 SrcIP X.X.X.X DstIP Y.Y.Y.Y End Time 2006/3/10 12:31:18 SrcMask /24 DstMask Protocol 6 SrcPort 23221 DstPort 20 TOS 80 SrcAS 1000 DstAS 2000 Flags 10 SrcIF Fa 1/0 DstIF Fa 0/0 Packets 1200 KBytes 6400

フローから仮想センサを抽出 Flow Attributes virtual sensors candidates Flow-tools Virtual Sensor Detection Algorithm Flow Attributes virtual sensors Netflow Database candidates Anomaly Packets Collector Results Output Netflow Router

ヒューリスティックなアルゴリズム Virtual Sensor Candidates Virtual Sensors 状態遷移の詳細な説明は割愛 Virtual Sensor Candidates Virtual Sensors Senders List (cache) Not seen or Not communicating 3 2 1 6 4 7 5 8

(Target of flow-observation) 実証実験 Wide area network Anomaly packets A worm infected host Scanning packets Intermediate Router (Target of flow-observation) An malicious host Autonomous System

実センサと仮想センサ Port 135/tcp

2.1 まとめ 仮想センサ(Virtual Dark IP)はフロー情報から仮想センサを抽出する提案 2.1 まとめ 仮想センサ(Virtual Dark IP)はフロー情報から仮想センサを抽出する提案 物理的な実センサの代りに使える 仮想センサは、多数のセンサを実現することができる

2.2 仮想ハニーポット Passive: 実センサ、仮想センサ X ? Active: Honeypots 2.2 仮想ハニーポット Passive: 実センサ、仮想センサ Stealth observation  to detect indiscriminative attacks Network telescopes (CAIDA, 2004) Active: Honeypots Honeypots: definitions and value of honeypots (2002) X ? Purpose Detect anomaly packet  DDoS, scanning… logging server Purpose Inspect detail of attacks - targeted vulnerability - malware/worm species honeypot

仮想ハニーポット(DarkPots) Vacancy Checker Forwarder Analyzer Vacancy checker Gateway Router (ACLs deployed) Enterprise / Campus Network The Internet Vacancy checker Forwarder Analyzers emulated response list of unused-IPs DarkPots System mirroring

処理の手順: DarkPots × × #4 forwarding to analyzer # 5 responding #3 filter with unused-IP address list Forwarder #2 mirroring blocked by firewall destination is inactive #1 attacks × × Gateway The Internet Enterprise / Campus Network

3種類の Analyzer A: Passive Sensor receive only for logging B: Reflector syn A: Passive Sensor receive only for logging B: Reflector respond to SYN flagged packet but other packets will not be sent. creates TCP half connection C: Honeypot Installed Npenthes software as one of the case-study of honeypots. Passive Sensor Reflector Honeypot honeypot service iptables syn/ack reflector logging honeypot response syn/ack response no response syn syn

Unused-IP address allocation Assign unused-IP address to each analyzer. Random selection without duplication. 2560 IPs assigned for each analyzers. passive reflector honeypot A: Passive Sensors B: Reflector C: Honeypots campus network : A.B.C.D/16 x-axis :3rd octets of IPv4 y-axis :4th octets of IPv4

3つのAnalyserで観測されたIPアドレス The number of source IP address (unique hosts) on passive sensors is slightly larger than others. passive reflector honeypot ほぼ同数

C.D.F analysis on # of received packets per attacker 60% of attackers sent less than 3 packets in passive mode (A) 90% of attackers sent out more than 4–8 packets in the active (B) and interactive modes (C). Passive Reflector HoneyPot

TCPフラグの分析 BにおけるFIN/PSH/ACKが特徴的 passive reflector honeypot too many duplicated packets

Mode Cにおける観測 top 7 heavy-hitters ある時間帯に活動、多くの国に分布している

The second experiment: ランダムアドレスと連続アドレスの比較 Two honeypot analyzers in parallel random address block continuous address block Assign 2,560 IP addresses each Purpose : inspecting the effect of allocation patterns random continuous x-axis :4th octets of IPv4 y-axis :3rd octets of IPv4

連続アドレスは攻撃されやすい 分散アドレスは脅威の観測に適している Continuous Random The upper plot shows the number of attacks on each of malware species, and the lower table, represent the total number of attacks with unique malware hashes and species. Both upper and lower figures use the same source from Nepenthes logs. We notice that the count of attacks in continuous allocation, is larger than that of random allocation. In contrast the number of species on random allocation, is larger than than of the continuous allocation. We expect this is due to the scanning pattern of botnets. Because, other study reported that some botnets implement a scan algorithm which targets neighbor subnets on a priority basis. Therefore the analyzer with continuous address space, should subject to the target of the same botnets. # 亜種: subspecies マルウェアの名前はAvastによる attack count Continuous Random

2.2 まとめ 稼働しているネットワークに影響が少ない 未使用のIPアドレスを活用して測定に用いる 大規模なネットワークに適用可能 2.2 まとめ 稼働しているネットワークに影響が少ない ミラーポートを利用してデータを収集 未使用のIPアドレスを活用して測定に用いる パケット収集とファイアウオール情報の照合 大規模なネットワークに適用可能 数種類の分析手法を同時に走行可能 既存手法と新手法との比較が容易 観測対象とするIPアドレスを自由に選択 Akihiro Shimoda, BEST student paper award, SAINT 2010.