DNSクエリーパターンを用いたOSの推定 早稲田大学 理工学部 コンピュータ・ネットワーク工学科 後藤研究室B4 1G06R055-7 川口 敬 2010/02/01 卒業論文発表
研究の背景 ホストがもつ脆弱性はOSの種類に依存 受信したパケットの特徴を分析してホストのOSの種類を判定する passive fingerprinting OSを推定するための分析対象は主にTCP TFTPなどUDPを用いた通信も存在し、名前解決にDNSを利用することも多い 分析対象にTCPを適用できない 2010/02/01 卒業論文発表
研究の目的 UDPによりOSを推定するための手法の開発 本研究では、 UDPの情報でOSの分類が可能であることを示す IPv4とIPv6の混在環境だからこそ発生するDNSパケットの特徴を利用 早稲田大学内のOSの分布を推定 UDPの情報でOSの分類が可能であることを示す 2010/02/01 卒業論文発表
DNSとは ホスト名とIPアドレスを対応づけて管理しておくための分散データベースシステム A レコード AAAA レコード ホストのIPv4アドレスを管理 AAAA レコード ホストのIPv6アドレスを管理 2010/02/01 卒業論文発表
トラフィックの計測 早稲田大学の学内ネットワークとインターネットの境界にあたる場所でパケットキャプチャ Internet ポートは53番に限定する Internet Waseda University Waseda Network Router Router Capturing Machine 2010/02/01 卒業論文発表
DNSクエリーの特徴 AAAAレコードの問い合わせは 比較的多い 図1. レコード別のクエリー数の割合 2010/02/01 卒業論文発表
DNSとIPv6 AAAAレコードの問い合わせが比較的多いのに対しIPv6アドレスの利用はごくわずか 表1. IPv4とIPv6の使用割合 2010/02/01 卒業論文発表
DNSクエリーパターン IPv4アドレスを利用したDNSクエリーにおいて考えられるクエリーパターン IPv6無効 IPv6有効 A-only Aレコード、AAAAレコードの順で問い合わせる A-AAAA AAAAレコード、Aレコードの順で問い合わせる AAAA-A 2010/02/01 卒業論文発表
DNSクエリーの分析 早稲田大学から外部へ送信されるクエリーを分析 測定期間は2009/11/17~2009/11/19の3日間 IPv4アドレスを用いた通信に着目 分析1 各パターンの出現数の割合 分析2 両方のレコードを問い合わせる場合、2つのレコードを問い合わせる間の時間差に特徴が見られるかどうか 時間差に対するパターン出現数を分析 2010/02/01 卒業論文発表
分析1 (パターンごとの出現数) の結果 Aレコードのみを問い合わせるクエリーが大部分 図2. クエリーパターンの出現割合 2010/02/01 卒業論文発表
分析2 (時間差の検証) の結果 A-AAAA 0~1 [ ミリ秒 ]で 出現数が増加 図3. A-AAAAパターンにおける時間差の測定結果 2010/02/01 卒業論文発表
分析2 (時間差の検証) の結果 AAAA-A 8~10 [ ミリ秒 ]で出現数が再び増加 2010/02/01 卒業論文発表
OSごとの検証実験 DNSクエリーの分析により得られた特徴はOS依存であると考えられる 実験の概要 IPv6に関する設定がデフォルトの状態で100サイトにアクセスする その際に流れるDNSパケットをキャプチャし、同様の分析を行う クエリーパターンの分析 時間差とパターン出現数の関係 2010/02/01 卒業論文発表
実験に用いたOSとアプリケーション 表2. 実験に用いたOSとアプリケーション 2010/02/01 卒業論文発表
各OSごとに得られた結果 (クエリーパターン) 2010/02/01 卒業論文発表
各OSごとに得られた結果 (時間差の検証) 図5. Windows vista 図6. Windows 7 各OSともに0~1 [ ミリ秒 ] で出現数がピークとなった 2010/02/01 卒業論文発表 図7. Mac OS X
各OSごとに得られた結果 (時間差の検証) 8~10 [ ミリ秒 ] でピーク 図8. Fedora 10 図9. Ubuntu 9.10 2010/02/01 卒業論文発表
OS分布の推定結果 表4. OS分布の推定結果 2010/02/01 卒業論文発表
まとめと今後の課題 まとめ 今後の課題 DNSのクエリーパターンや時間差の分析からOSの分類が可能 UDPの通信に対するOS推定の指標になりうることを示した 今後の課題 ホストをユニークに識別できる環境での分析 より多くのOSを用いた実験 さらに別の指標が存在するか検討 2010/02/01 卒業論文発表
ご清聴ありがとうございました 2010/02/01 卒業論文発表
早稲田の入り口を流れるクエリー数 図10. 流れる方向別のクエリー数 2010/02/01 卒業論文発表
AAAAレコードの問い合わせに対する回答 2010/02/01 卒業論文発表
IPv6とは 128bitという広大なアドレス空間をもったプロトコル アドレスの枯渇問題に対応できる 2010/02/01 卒業論文発表
図4におけるピーク時の出現数 表5. 出現数がピークとなる際の値の比較 2010/02/01 卒業論文発表
A-onlyパターン 2010/02/01 卒業論文発表
A-AAAAパターン 2010/02/01 卒業論文発表
AAAA-Aパターン 2010/02/01 卒業論文発表
補足資料 レコードについて Aレコード AAAAレコード (クワッドA) ホストのIPv4アドレス ホストのIPv6アドレス A6レコード 128bitのIPアドレスを適当な個所で分割し、下位64bitのインターフェイスIDだけのリソースレコードとネットワークプレフィックスだけのリソースレコードを別々に管理する方式 PTRレコード IPアドレス対するホスト名 MXレコード ドメインのメールサーバ名 CNAME ホストのエイリアス(別名) 2010/02/01 卒業論文発表
メッセージ形式 2010/02/01 卒業論文発表