DNSクエリーパターンを用いたOSの推定

Slides:



Advertisements
Similar presentations
N チャンネル通信のための 経路制御 小川 真人 木下研究室. Nチャンネル通信 N本の経路を用いて、ファイルを分散させて通信を行う方式である。 分散されたファイルが、すべて違う経路を通り相手に届くことが理想である。
Advertisements

早稲田大学大学院 理工学研究科情報科学専攻 後藤研究室 修士 焦 江霞
Step.5 パケットダンプ Wiresharkでパケットをキャプチャする PC 1 PC 2 PC 3 PC 4 ネットワーク
はじめての DNS 村上健、古家健次(宇宙物理)、井谷優花(地球および惑星大気科学).
第1回.
CCC DATAset における マルウェアの変遷
Ibaraki Univ. Dept of Electrical & Electronic Eng.
TCP (Transmission Control Protocol)
早稲田大学大学院 理工学研究科情報科学専攻 後藤滋樹研究室 1年 渡辺裕太
「コンピュータと情報システム」 07章 インターネットとセキュリティ
30分でわかるTCP/IPの基礎 ~インターネットの標準プロトコル~ 所属: 法政大学 情報科学研究科 馬研究室 氏名: 川島友美
NEC-早大技術交流会 OpenFlowスイッチによる広域通信の効率的集約法
情報処理1 1.インターネット利用の基礎.
日本国内のドメイン名はJPRSが管理 (株)日本レジストリサービス (2002年4月1日より)
WindowsNTによるLAN構築 ポリテクセンター秋田 情報・通信系.
最低限 Unix (Linux) III ネットワークの仕組み
インターネット メールサーバ DNSサーバ WWWサーバ ファイアウォール/プロキシサーバ クライアント.
i-Pathルータのフロー情報を用いたDoS攻撃検知法
DNS 特論 今回はアプリケーションプロトコルの中で特にDNSを扱います
OSのシグネチャを用いた 悪意のある通信の検出法
トランスポート層.
PlanetLab における 効率的な近隣サーバ選択法
ま と め と 補 足 ネットワークシステムⅠ 第15回.
講義日程予定 第 1 回 「ガイダンス」 第 2 回 「ユビキタスシティ検討ワーキング中間とりまとめ」
第2章 第1節 情報通信の仕組み 1 ネットワークの仕組み 2 通信プロトコル 3 認証と情報の保護
2012年度 春学期 情報基礎 第5回 ネットワーク入門.
IPv6アドレスによる RFIDシステム利用方式
大規模アドホックネットワークにおける 階層的な名前解決法
通信トラヒックの相関構造を利用した通信品質の劣化検出
サーバ負荷分散におけるOpenFlowを用いた省電力法
総合講義B:インターネット社会の安全性 第6回 ネットワークの基盤技術
Ibaraki Univ. Dept of Electrical & Electronic Eng.
セキュリティ(5) 05A2013 大川内 斉.
Linux リテラシ 2006 第4回 ネットワーク CIS RAT.
IPv6 ネットワークにおける エニーキャスト通信実現のための プロトコル設計と実装
大阪大学 大学院情報科学研究科 博士前期課程2年 宮原研究室 土居 聡
ネットワークアプリケーションと セキュリティ
DNS に関する質問 授業の後に寄せられた質問に答えます
DNSトラフィックに着目したボット検出手法の検討
i-Pathルータのフロー情報を用いたDoS攻撃検知法
分散IDSの実行環境の分離 による安全性の向上
早稲田大学大学院 理工学研究科情報科学専攻 後藤研究室 修士1年 荒井 祐一
2009年度卒業論文発表 CDNコンテンツサーバの動的負荷分散
DNS 特論 今回はアプリケーションプロトコルの中で特にDNSを扱います
IP ルーティングの図示 情報科学科 松澤 智史.
ネットワークの基礎知識 電子制御設計製図Ⅰ   2014年5月2日 Ⅲ限目.
DNS 特論 今回はアプリケーションプロトコルの中で特にDNSを扱います
TCP/IP入門          櫻井美帆          蟻川朋未          服部力三.
マルチホーミングを利用した Proxy Mobile IPv6の ハンドオーバー
RTCPパケットの測定による マルチキャスト通信の品質評価
スキルチェック Network編.
インターネット             サーバーの種類 チーム 俺 春.
TCP制御フラグの解析による ネットワーク負荷の推測
片方向通信路を含む ネットワークアーキテクチャに於ける 動的な仮想リンク制御機構の設計と実装
DNS に関する質問 授業の後に寄せられた質問に答えます
最低限インターネット ネットワークにつなぎましょ!
福岡工業大学 情報工学部 情報工学科 種田研究室 于 聡
情報実験 第五回 最低限 internet ~ネットワークの仕組みを知ろう~
1999年度 卒業論文 UDPパケットの最適な送信間隔の検討 早稲田大学理工学部情報学科 G96P026-4 小川裕二.
小規模組織に適した IPv6ネットワークの設計と構築
計算機群における 「動的なインターネット接続性」の共有に関する研究
ウィルスの感染先探索活動を可視化するツール“PacketViewer”の開発
異種セグメント端末による 分散型仮想LAN構築機構の設計と実装
DNS 特論 今回はアプリケーションプロトコルの中で特にDNSを扱います
MAUI Project 2009 インターネットにおける近接性
情報ネットワーク 岡村耕二.
IPアドレス 平成14年7月9日 峯 肇史 牧之内研究室「UNIX とネットワーク基礎勉強会」Webページ
TCP/IPの通信手順 (tcpdump)
プロトコル番号 長野 英彦.
Presentation transcript:

DNSクエリーパターンを用いたOSの推定 早稲田大学 理工学部 コンピュータ・ネットワーク工学科 後藤研究室B4 1G06R055-7 川口 敬 2010/02/01 卒業論文発表

研究の背景 ホストがもつ脆弱性はOSの種類に依存 受信したパケットの特徴を分析してホストのOSの種類を判定する passive fingerprinting OSを推定するための分析対象は主にTCP TFTPなどUDPを用いた通信も存在し、名前解決にDNSを利用することも多い 分析対象にTCPを適用できない 2010/02/01 卒業論文発表

研究の目的 UDPによりOSを推定するための手法の開発 本研究では、 UDPの情報でOSの分類が可能であることを示す IPv4とIPv6の混在環境だからこそ発生するDNSパケットの特徴を利用 早稲田大学内のOSの分布を推定 UDPの情報でOSの分類が可能であることを示す 2010/02/01 卒業論文発表

DNSとは ホスト名とIPアドレスを対応づけて管理しておくための分散データベースシステム A レコード AAAA レコード ホストのIPv4アドレスを管理 AAAA レコード ホストのIPv6アドレスを管理 2010/02/01 卒業論文発表

トラフィックの計測 早稲田大学の学内ネットワークとインターネットの境界にあたる場所でパケットキャプチャ Internet ポートは53番に限定する Internet Waseda University Waseda Network Router Router Capturing Machine 2010/02/01 卒業論文発表

DNSクエリーの特徴 AAAAレコードの問い合わせは 比較的多い 図1. レコード別のクエリー数の割合 2010/02/01 卒業論文発表

DNSとIPv6 AAAAレコードの問い合わせが比較的多いのに対しIPv6アドレスの利用はごくわずか 表1. IPv4とIPv6の使用割合 2010/02/01 卒業論文発表

DNSクエリーパターン IPv4アドレスを利用したDNSクエリーにおいて考えられるクエリーパターン IPv6無効 IPv6有効 A-only Aレコード、AAAAレコードの順で問い合わせる A-AAAA AAAAレコード、Aレコードの順で問い合わせる AAAA-A 2010/02/01 卒業論文発表

DNSクエリーの分析 早稲田大学から外部へ送信されるクエリーを分析 測定期間は2009/11/17~2009/11/19の3日間 IPv4アドレスを用いた通信に着目 分析1 各パターンの出現数の割合 分析2 両方のレコードを問い合わせる場合、2つのレコードを問い合わせる間の時間差に特徴が見られるかどうか 時間差に対するパターン出現数を分析 2010/02/01 卒業論文発表

分析1 (パターンごとの出現数) の結果 Aレコードのみを問い合わせるクエリーが大部分 図2. クエリーパターンの出現割合 2010/02/01 卒業論文発表

分析2 (時間差の検証) の結果 A-AAAA 0~1 [ ミリ秒 ]で 出現数が増加 図3. A-AAAAパターンにおける時間差の測定結果 2010/02/01 卒業論文発表

分析2 (時間差の検証) の結果 AAAA-A 8~10 [ ミリ秒 ]で出現数が再び増加 2010/02/01 卒業論文発表

OSごとの検証実験 DNSクエリーの分析により得られた特徴はOS依存であると考えられる 実験の概要 IPv6に関する設定がデフォルトの状態で100サイトにアクセスする その際に流れるDNSパケットをキャプチャし、同様の分析を行う クエリーパターンの分析 時間差とパターン出現数の関係 2010/02/01 卒業論文発表

実験に用いたOSとアプリケーション 表2. 実験に用いたOSとアプリケーション 2010/02/01 卒業論文発表

各OSごとに得られた結果 (クエリーパターン) 2010/02/01 卒業論文発表

各OSごとに得られた結果 (時間差の検証) 図5. Windows vista 図6. Windows 7 各OSともに0~1 [ ミリ秒 ] で出現数がピークとなった 2010/02/01 卒業論文発表 図7. Mac OS X

各OSごとに得られた結果 (時間差の検証) 8~10 [ ミリ秒 ] でピーク 図8. Fedora 10 図9. Ubuntu 9.10 2010/02/01 卒業論文発表

OS分布の推定結果 表4. OS分布の推定結果 2010/02/01 卒業論文発表

まとめと今後の課題 まとめ 今後の課題 DNSのクエリーパターンや時間差の分析からOSの分類が可能 UDPの通信に対するOS推定の指標になりうることを示した 今後の課題 ホストをユニークに識別できる環境での分析 より多くのOSを用いた実験 さらに別の指標が存在するか検討 2010/02/01 卒業論文発表

ご清聴ありがとうございました 2010/02/01 卒業論文発表

早稲田の入り口を流れるクエリー数 図10. 流れる方向別のクエリー数 2010/02/01 卒業論文発表

AAAAレコードの問い合わせに対する回答 2010/02/01 卒業論文発表

IPv6とは 128bitという広大なアドレス空間をもったプロトコル アドレスの枯渇問題に対応できる 2010/02/01 卒業論文発表

図4におけるピーク時の出現数 表5. 出現数がピークとなる際の値の比較 2010/02/01 卒業論文発表

A-onlyパターン 2010/02/01 卒業論文発表

A-AAAAパターン 2010/02/01 卒業論文発表

AAAA-Aパターン 2010/02/01 卒業論文発表

補足資料 レコードについて Aレコード AAAAレコード (クワッドA) ホストのIPv4アドレス ホストのIPv6アドレス A6レコード 128bitのIPアドレスを適当な個所で分割し、下位64bitのインターフェイスIDだけのリソースレコードとネットワークプレフィックスだけのリソースレコードを別々に管理する方式 PTRレコード IPアドレス対するホスト名 MXレコード ドメインのメールサーバ名 CNAME ホストのエイリアス(別名) 2010/02/01 卒業論文発表

メッセージ形式 2010/02/01 卒業論文発表