Presentation is loading. Please wait.

Presentation is loading. Please wait.

NetAgent P2P検知技術 NetAgent.

Similar presentations


Presentation on theme: "NetAgent P2P検知技術 NetAgent."— Presentation transcript:

1 NetAgent P2P検知技術 NetAgent

2 日本のP2Pの現状 WinMXとWinnyによるファイル共有ネットワーク 主なコンテンツ アダルト画像動画 テレビの録画内容やDVDのコピー
商用アプリケーション 漏洩した名簿データ ゲームのROMイメージ NetAgent

3 問題の深刻度 ダウンロードした (違法ではない) 使用した (違法) 共有(公開)した (違法) 商用ソフトウェアの使用など
ダウンロードした (違法ではない) 使用した      (違法) 商用ソフトウェアの使用など 共有(公開)した  (違法) Winnyではダウンロードするだけでも、ファイル断片もしくは全てを共有してしまう。 NetAgent

4 WinMX WinMX Peer 、OpenNapおよびプロトコルベースのファイル共有プログラム NetAgent

5 WinMXの通信方法 ディフォルトポート プロトコルの特徴 検索 UDP 6257 ダウンロード TCP 6699
暗号化されないので検知が容易 ディフォルトポートが固定なのでQoSを掛けやすい プロトコルが公開されているので、解析が容易 NetAgent

6 WinMXの速度を規制しているプロバイダ
・ J-COM ・ ZAQ ・ Yahoo!BB ・ ODN ・ OCN ・ SO-NET ・ hi-ho プロバイダーによる速度制限への対処法 より引用 NetAgent

7 WinMX検知方法 Snortによる検知 速度制限対策クライアント用ルール
alert tcp $HOME_NET any -> $EXTERNAL_NET 6699 (msg:"WinMX Download file"; content:"\" M"; offset:20; classtype:policy-violation ; rev:1;) alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"WinMX Download file"; content:"\" M"; offset:20; classtype:policy-violation ; rev:1;) PacketBlackHole IDS ルール NetAgent

8 ダウンロードしたファイルの表示 PacketBlackHole grep:Shift-Jis/NetAgent NetAgent

9 Winny Winnyは高速性と匿名性の両立を目指したファイル共有ソフト。匿名BBS機能も有す。 NetAgent

10 Winnyの通信方法 ディフォルトポート 検索リンク TCPポート ダウンロード Port0 通信内容 相手先にTCPをすることにより実現
インストール時にランダムで決定される 一時ポート間で通信が行われるため、ポートレベルではFTP passive転送と区別つかない。 通信内容 暗号化されているので、単純な検知が不可能 検索リンク TCPポート 相手先にTCPをすることにより実現 ダウンロード Port0 NetAgent

11 Winny検知方法 一時ポートと一時ポートでの接続 特定サイズの暗号化通信の連続 1対多の接続 NetAgent

12 検知の実際 通信統計で接続している数とサイズを調べる 受け側のWinnyポートに数回接続する NetAgent

13 接続テスト Winnyの待ち受けポートにNULL接続 クラスタキーワードなどを含んで返答する NetAgent
クラスタキーワードが同じなら同じサイズ 毎回異なる結果を返す。(時刻情報など毎回異なる情報が添加されているため) クラスタキーワードなどを含んで返答する NetAgent

14 接続テストの内容 判明している受信文字列 上流検索リンクに送信する内容 UP限界速度 クラスタキーワード UP限界速度 クラスタキーワード
NetAgent

15 初期ノード 初期ノードは解析可能 NetAgent
@03a2104a01465a9ac2533dc85da4cc5d169260ec10 :19245 :27015 :2552 :10765 :28498 :25833 :6074 :32667 :7747 :11677 :6298 :27116 :1360 :5358 :32718 :12315 規定:7805 :7851 :17652 :3069 :9135 :32658 :3298 :12368 :24403 :29145 :4662 :31063 :8366 y2k.zive.net:11903 81jthbwgpd.dyndns.org:16198 :18251 :8109 :23223 :8765 :11419 :25144 :23613 :9071 :3241 :7743 :3466 NetAgent

16 共有しているファイル名を判別する firewallにより、共有相手のアドレスを絞ることによって、PORT0から相手先の共有ファイル名の一部を見ることが可能。 NetAgent

17 ネットエージェント株式会社 東京都墨田区錦糸3-5-8 SOAビル7F TEL 03-5619-1243 FAX 03-5619-1244
NetAgent


Download ppt "NetAgent P2P検知技術 NetAgent."

Similar presentations


Ads by Google