i-Pathルータのフロー情報を用いたDoS攻撃検知法

Slides:

Advertisements

Similar presentations

N チャンネル通信のための経路制御小川真人木下研究室. Ｎチャンネル通信Ｎ本の経路を用いて、ファイルを分散させて通信を行う方式である。分散されたファイルが、すべて違う経路を通り相手に届くことが理想である。

Advertisements

IP over DVB-RCS の設計と実装研究背景 DVB-RCS 衛星回線を用いて受信局から送信局への狭帯域な戻り回線を提供 Forward Link Return Link HUB Terminal.

Step.5 パケットダンプ Wiresharkでパケットをキャプチャする PC 1 PC 2 PC 3 PC 4 ネットワーク

Timeout と再送往復時間予知が困難他のトラフィックに依存適応再送アルゴリズムデータの採取.

前回の授業への質問質問：プロトコルアナライザで測定できる範囲はどこまでか？

Webプロキシサーバにおける動的資源管理方式の提案と実装

クラウドにおけるネストした仮想化を用いた安全な帯域外リモート管理

前回の課題 IPv6アドレス IP ARP ICMP NAT インターネット層 2003年12月4日情報ネットワーク論新村太郎.

セッション追跡によるプロトコルアノーマリの検知と対処

仮想ブロードキャストリンクを利用した片方向通信路の透過的経路制御藤枝俊輔（慶應義塾大学）

IPv6 エニーキャストルーティングプロトコル PIA-SM の設計および実装

ネットワーク層.

一対多通信におけるネットワーク障害物対応方法選択プロトコルの設計

詳解TCP/IP TCPタイムアウトと再転送れにうむ.

TCP (Transmission Control Protocol)

早稲田大学大学院理工学研究科情報科学専攻後藤滋樹研究室１年渡辺裕太

NEC-早大技術交流会 OpenFlowスイッチによる広域通信の効率的集約法

XenによるゲストOSの解析に基づくパケットフィルタリング

インターネットメールサーバ DNSサーバ WWWサーバファイアウォール/プロキシサーバクライアント.

i-Pathルータのフロー情報を用いたDoS攻撃検知法

輪講：詳解TCP/IP ACE B3 suzuk.

IPマルチキャスト通信とXcast 早稲田大学後藤研究室 Xcast班.

トランスポート層.

コンテンツ配信エンコード (符号化) CBR (Constant Bit Rate) VBR (Variable Bit Rate)

認証と負荷分散を考慮したストリーミングシステムに関する研究

伝送特性に応じた適応型映像・音声配信機構の構築

サーバ負荷分散におけるOpenFlowを用いた省電力法

平成２１年度「新世代ネットワークサービス基盤構築技術に関する研究開発〜ネットワーク『見える化』の実現にむけて〜」の開発成果について

IPv6 ネットワークにおけるエニーキャスト通信実現のためのプロトコル設計と実装

無線環境におけるマルチホーム Mobile IPv6の通信品質分析

ＴＣＰ／ＵＤＰプロセス間の通信のためのプロトコルＴＣＰ：信頼性高、処理時間大ＵＤＰ：信頼性低、処理時間小 ftp SMTP HTTP

インターネットの基礎知識その３～TCP・UDP層編～

7. セキュリティネットワーク（ファイアウォール）

2009年度卒業論文発表 CDNコンテンツサーバの動的負荷分散

Ibaraki Univ. Dept of Electrical & Electronic Eng.

IP ルーティングの図示情報科学科松澤　智史.

ネットワーク技術II 第9.1課 TCP/IPプロトコルスイート

インターネットにおける真にプライベートなネットワークの構築

超高速ネットワークの弱点光は速い光は遅い 300km / 1msec （真空中） 180km / 1msec （光ファイバ中）

セキュリティ（２） 05A2013 大川内　斉.

マルチホーミングを利用した Proxy Mobile IPv6のハンドオーバー

各種ルータに対応する P2P通信環境に関する研究

Ibaraki Univ. Dept of Electrical & Electronic Eng.

UDPマルチキャストチャット　　　空川幸司.

演習第6回情報通信技術論インターネット工学

Step.1 LinuxとIPコマンド ifconfig [-a] [インタフェース名] arp [-n]

戦略的情報通信研究開発推進制度（SCOPE) 仮想センサによるインターネット広域脅威検知技術の研究開発

2003年6月17日早稲田大学大学院理工学研究科情報科学専攻修士2年水野宏樹

DNSクエリーパターンを用いたOSの推定

TCP制御フラグの解析によるネットワーク負荷の推測

片方向通信路を含むネットワークアーキテクチャに於ける動的な仮想リンク制御機構の設計と実装

最低限インターネットネットワークにつなぎましょ!

戦略的情報通信研究開発推進制度（SCOPE) 仮想センサによるインターネット広域脅威検知技術の研究開発

ＩＣＭＰを用いた侵入検知システムの負荷軽減

仮想環境を用いた侵入検知システムの安全な構成法

福岡工業大学情報工学部情報工学科種田研究室于聡

トラフィックプロファイラAGURIの設計と実装

平成２１年度「新世代ネットワークサービス基盤構築技術に関する研究開発〜ネットワーク『見える化』の実現にむけて〜」の開発成果について

OSI7層に関係する機器、仕様、機能など物理層データリンク層ネットワーク層トランスポート層セッション層プレゼンテーション層

GbEにおける TCP/IP の研究について

計算機群における「動的なインターネット接続性」の共有に関する研究

戦略的情報通信研究開発推進制度（SCOPE) 仮想センサによるインターネット広域脅威検知技術の研究開発

４．３　IPとルーティングテーブル国際産業情報学科　２年大竹　雅子.

岡村耕二情報ネットワーク岡村耕二情報ネットワーク.

異種セグメント端末による分散型仮想LAN構築機構の設計と実装

特定ユーザーのみが利用可能な仮想プライベート・ネットワーク

MAUI Project 2009 インターネットにおける近接性

牧野ゼミ 2年産業情報学科韓憲浩（カンケンコウ）

TCP/IPの通信手順（tcpdump）

プロトコル番号長野英彦.

Presentation transcript:

i-Pathルータのフロー情報を用いたDoS攻撃検知法情報処理学会創立 50周年記念（第 72回）全国大会セッション名：情報爆発時代における分散処理と運用技術講演番号：2ZP-4　会場：ZP会場　3月9日（火）15:30~17:30 i-Pathルータのフロー情報を用いたDoS攻撃検知法野上晋平　下田晃弘　後藤滋樹早稲田大学　基幹理工学研究科　情報理工学専攻

研究背景ネットワークの可視化従来のインターネットエンドノードからネットワーク内部の情報が直接得られないネットワークの多様化エンドノードからネットワーク内部の情報が　直接得られないネットワークの多様化情報開示を求める声の高まりネットワークの可視化

ネットワークの多様化ネットワークの利用形態が多様化ネットワークアプリケーションの最適化、障害時の原因究明などで困難に直面ブロードバンドモバイル P2P ネットワークアプリケーションの最適化、　障害時の原因究明などで困難に直面

情報開示を求める声ネットワーク中立性の観点から情報開示を求める声が高まっている米連邦通信委員会(FCC) 情報開示の重要性を指摘「ISP は正当な理由があればサービスの規制を行えるが、その場合はネットワークの管理情報を開示しなければならない」

研究概要ルータを通過するフロー情報を用いて DoS攻撃を検知複数のルータを使用してDoS攻撃の送信元を識別する本研究ではこれまで注目されてないルータが持つ情報を活用するルータを通過するフロー情報を用いて　DoS攻撃を検知複数のルータを使用してDoS攻撃の　　　送信元を識別する ※フロー：宛先と送信元のIPアドレス、ポート番号が　　　　　　同一のパケット

i-Pathルータ小林克志（産業技術総合研究所）が開発ネットワーク内部の可視化が目的取得できる情報の例 FreeBSDのカーネルをSIRENSに入れ替え実装ネットワーク内部の可視化が目的エンドノードが通信経路の情報を取得できる取得できる情報の例ネットワーク帯域、輻輳状態、遅延、パケットロス

可視化の例 32% 1G 17% 500M 68% 10G 43% 3G 34% 2G 33% 1G 59% 2G 2% 100M 48% 可用帯域 [%] ネットワーク帯域 [bps] 32% 1G 17% 500M 68% 10G 43% 3G 34% 2G 33% 1G 59% 2G 2% 100M 48% 35% 700M 41%

SHIMヘッダ IPヘッダとTCP/UDPヘッダの間にルータの持つ情報を書き込むSHIMヘッダを挿入イーサネットヘッダ IP ヘッダ TCP/ UDP データイーサネットトレイライーサネットヘッダ IP ヘッダ TCP/ UDP データイーサネットトレイラ SHIMヘッダ IPヘッダとTCP/UDPヘッダの間にSHIMヘッダを挿入

DoS攻撃サービス不能（Denial of Service）攻撃 DoS攻撃の種類大量のパケットを送りつけ、サーバの資源やネットワーク帯域を占有してサービスを妨害する攻撃の送信元の識別が困難 DoS攻撃の種類 SYN Flood（TCP）, Connection Flood（TCP）, ・・・ UDP Flood, ICMP Flood, ・・・

従来のDoS攻撃の検知？？ DoS攻撃の経路情報が得られない

実証実験 nf_conntrackでフロー情報を取得 MIB（SNMP）に情報を書き込む i-Pathルータが実現する機能を確認する i-Pathルータの機能をLinuxで実装 nf_conntrackでフロー情報を取得 MIB（SNMP）に情報を書き込むルータを観測して得られたフロー情報をもとにDoS攻撃を検知（検知プログラム）定常状態から外れた場合に検知複数のルータからDoS攻撃の経路を識別ルータでの処理

実証実験 DoS攻撃通常のトラフィック各ルータで同時にDoS攻撃の検知を行う

SYN Flood攻撃 SYN Flood攻撃とは検知法 TCP 接続のスリーウェイハンドシェイクにおいて、接続要求（SYNパケット）を大量に送りつける攻撃送信元アドレスの偽装が容易検知法内部状態がSYN_RECVのフロー数で判定 SYNフラグとACKフラグが立っている

実験結果（SYN Flood）フロー数

実験結果（SYN Flood） $ ./detector output01.csv 02:50:04: Router3: SYN Flood Router4: SYN Flood 02:50:05: 02:50:06: 02:50:07:

Connection Flood攻撃 Connection Flood攻撃とは検知法 TCP による接続を大量に確立させる攻撃内部状態がESTABLISHEDのフロー数で判定 TCPコネクションが確立している

実験結果（Connection Flood）フロー数

実験結果（Connection Flood） $ ./detector output02.csv 20:45:59: Router3: Connection Flood Router4: Connection Flood 20:46:04: 20:46:07: 20:46:08: Router4: Invalid Data

UDP Flood攻撃 UDP Flood攻撃とは検知法 UDP パケットを大量に送りつける攻撃送信元アドレスの偽装が容易

実験結果（UDP Flood）フロー数

実験結果（UDP Flood） $ ./detector output03.csv 21:23:46: Router3: UDP Flood Router4: UDP Flood 21:23:50: 21:23:51: 21:23:52:

ICMP Flood攻撃 ICMP Flood攻撃とは検知法 ICMP パケットを大量に送りつける攻撃送信元アドレスの偽装が容易

実験結果（ICMP Flood）フロー数

実験結果（ICMP Flood） $ ./detector output04.csv 21:49:15: Router3: ICMP Flood Router4: ICMP Flood 21:49:16: 21:49:17: 21:49:18:

まとめネットワーク可視化の重要性が高まる中で、ルータが持つ情報に着目した実証実験でルータのフロー情報を用いてDoS攻撃の検知を行った

ご清聴ありがとうございました

i-Pathプロジェクト情報通信研究機構の委託を受け、産業技術総合研究所、早稲田大学後藤滋樹研究室の共同研究 FreeBSDのカーネルをSIRENSに　　　　　　　入れ替え実装 i-Path Project: http://i-path.goto.info.waseda.ac.jp/trac/i-Path/

実験環境 Polling 観測用ホスト

i-PathルータとSNMP i-Pathルータ SNMP End-to-End原理にもとづいて、エンドノードへの情報提供を目的とするルータで情報が開示されれば、どのホストでも等しく情報が得られる SNMP Managerにより、ホストの集中管理を行う外部のホストのアクセスは制限される情報の取得に加えて、一部の設定も行える

End-to-End原理パケットの再送やQoS などの複雑な機能は可能な限りエンドノードで行うべきだという考えインターネットの基本的な設計原理 TCPにおける再送制御などがこれにあたる

nf_conntrack フローを追跡して情報を保持する（Linuxの持つConnection Tracking機能）通信中のフローについての情報プロトコルコネクションの状態、数送信元と宛先のIPアドレス・ポート番号パケット数、トラフィック量

例：nf_conntrackの情報 ipv4 2 tcp 6 299 ESTABLISHED src=192.168.1.2 dst=192.168.2.2 sport=34711 dport=5001 　 packets=9736 bytes=14373496 src=192.168.2.2 dst=192.168.1.2 sport=5001 dport=34711 　 packets=3687 bytes=192812 [ASSURED] mark=0 secmark=0 use=2 内部状態コネクションの確立状態

nf_conntrack 補足 The meaning of the states are: * NONE: initial state * SYN_SENT: SYN-only packet seen * SYN_RECV: SYN-ACK packet seen * ESTABLISHED: ACK packet seen * FIN_WAIT: FIN packet seen * CLOSE_WAIT: ACK seen (after FIN) * LAST_ACK: FIN seen (after FIN) * TIME_WAIT: last ACK seen * CLOSE: closed connection (RST)

nf_conntrack 補足それぞれのタイムアウト時間 [TCP_CONNTRACK_SYN_SENT] = 2 MINS [TCP_CONNTRACK_SYN_RECV] = 60 SECS [TCP_CONNTRACK_ESTABLISHED] = 5 DAYS [TCP_CONNTRACK_FIN_WAIT] = 2 MINS [TCP_CONNTRACK_CLOSE_WAIT] = 60 SECS [TCP_CONNTRACK_LAST_ACK] = 30 SECS [TCP_CONNTRACK_TIME_WAIT] = 2 MINS [TCP_CONNTRACK_CLOSE] = 10 SECS [TCP_CONNTRACK_SYN_SENT2] = 2 MINS

今後の課題実運用のトラフィックに近い環境で評価を行い説得力を高める今回使用しなかったパラメータを使用して　　検知の精度を高める

DoS攻撃の種類 SYN Flood攻撃 Connection Flood攻撃 UDP Flood攻撃 ICMP Flood攻撃 TCP で接続の最初に行われるスリーウェイハンドシェイクにおいて、攻撃者が接続要求（SYNパケット）を大量に送りつける攻撃 Connection Flood攻撃 TCP による接続を大量に確立させる攻撃 UDP Flood攻撃 UDP パケットを大量に送りつける攻撃 ICMP Flood攻撃 ICMP echo request パケットを大量に送りつける攻撃送信元アドレスの偽装が可能

DoS攻撃の検知法 SYN Flood攻撃 Connection Flood攻撃 UDP Flood攻撃 ICMP Flood攻撃 SYNフラグとACKフラグが立っている SYN Flood攻撃内部状態がSYN_RECVのフロー数で判定 Connection Flood攻撃内部状態がESTABLISHEDのフロー数で判定 UDP Flood攻撃 UDPのフロー数で判定 ICMP Flood攻撃 ICMPのフロー数で判定 TCPコネクションが確立している