Presentation is loading. Please wait.

Presentation is loading. Please wait.

A18 スパムサーバの調査 ~ボットを見抜けるか?~

Published by传窕 汤 Modified 約 5 年前

Similar presentations

Presentation on theme: "A18 スパムサーバの調査 ~ボットを見抜けるか?~"— Presentation transcript:

1 A18 スパムサーバの調査 ~ボットを見抜けるか?~
菊池研究室 遠藤武史

2 スパムメール問題 IPA発行“情報セキュリティ白書2009” 掲載の10大脅威のうち、利用者の脅威に 第3位 減らないスパムメール

3 ボットの脅威 第1位 多様化するウイルスやボットの感染経路
ウィルスやトロイの木馬を使い、一般ユーザのPCへ不正に侵入しゾンビPCとして操作する。 ゾンビPCのネットワークをボットネットと言う。 ゾンビPCの利用者は不正利用に気づきにくい。 ボットはスパムメールの送信やDDoS攻撃をするリソースとして使われる。

4 スパムメールの送信法法 スパム送信者がコンピュータからメールサーバに接続し、メールサーバがスパムを送信する。 送信サーバ 受信サーバ
中継サーバ

5 ボットによるスパム送信 スパム送信者がボットを用いて一般のPCに不正に侵入し操作する。
PC上に送信用の簡易メールサーバを構築しスパムメールを送信する。 受信サーバ

6 ボットにより送られる スパムの特徴 スパム送信に一般のPCを利用するのでOSがWindows95,98,ME,XP,Vista
送信機能しか持たないメールサーバ SMTPのメール受信はできない メールヘッダの送信者情報は改ざんされている可能性がある

7 研究目的 ボットによるスパム送信が本当に行われているのだろうか?
定義:スパムメールの転送経路にWindows95,98,ME,XPでサーバ機能を有していないホストがあればボットである。 スパムメールからボットを使ったメールを見抜くことができるか調査する。

8 メールヘッダ Return-Path: <fsrxthiltz@mail.com>
Delivered-To: Received: from mta144.mail.tnz.yahoo.co.jp (mta144.mail.tnz.yahoo.co.jp [ ]) by drossel.cs.dm.u-tokai.ac.jp (Postfix) with SMTP id D4CFD4A50043 for Mon, 3 Aug :16: (JST) Received-SPF: none ( : domain of does not designate permitted sender hosts) Authentication-Results: mta144.mail.tnz.yahoo.co.jp from=mail.com; domainkeys=neutral (no sig) Received: from (HELO ) ( ) by mta144.mail.tnz.yahoo.co.jp with SMTP; Mon, 03 Aug :11: Received: from by ; Tue, 04 Aug :17:

9 実験方法 受信したスパムメールから転送サーバのIPを抜き出す。 抜き出したIPに対して 1.PING
2.NMAPによるOS判定 3.SMTPコネクションでサーバ判定 を行う。

10 NMAPによるOS判定 ポートスキャンソフトのひとつ 相手の通信ポートの情報を手がかりに相手のOSを判定する機能を持つ。
OS判定の結果Windows95,98,ME,XPのIPはボットとみなす。 リリースバージョンによりVistaはWindowsServerと判定されてしまう

11 SMTPコネクション 調査IPの25番ポートにSMTPのコネクションを行い、メールサーバの機能があるか調べる。

12 実験内容 メール収集期間:8月2~7日 メール転送サーバのIPアドレスにPING、NMAP、SMTPコネクションを行い一般PCか調査する。

13 結果 OS判定の結果372件中 Windows Serverが10件、Windows95~XPが2件 Windows95~XP,2
Linux, 22 その他, 35 69件 8月 Windows Server,10 10月 Linux, 19 その他, 20 44件 Windows Server,5 0% 20% 40% 60% 80% 100% OS比率[%]

14 詳細 1回目にWindowsクライアントと 判定された2件の2回目の結果との比較 調査IP 調査時 PING OS SMTP
*.* 1回目 Windows95~XP Time Out 2回目 N/A *.* Windows XP SP2

15 考察 固定IPではないWindows95~XPでサーバ機能を有していない結果が2件だった。
Windows Serverと判定された結果の中にボットが存在した可能性がある。 システムに手動部分が多く、件数が増えるとタイムラグが発生するのでリアルタイム性が損なわれる可能性がある。

16 結論 2件のボットスパムを発見できた。 今回は手動実験だったが実験を自動化できればさらに増える可能性がある。

17 ご静聴ありがとうございました

18 システム概要1 ls -c -1 到着時間でソートした ファイルリスト 抽出し終わったメールを old ディレクトリに移動
手動 tmpbatch.sh ls -c -1 sh tmp.sh ファイル名 ・・・ tmp.shへ tmp.shで 抽出し終わったメールを old ディレクトリに移動 手動

19 システム概要2 ファイル名.tmp From: ~ To: ~ tmp.sh Received From: ~ ・・・
手動 sh sh.sh From To ReceivedIP sh.shへ Shbatch.sh

20 システム概要3 Ping sh.sh Nmap メールサーバ main.sh IP_実行時刻.log SMTP From: ~
telnet.sh メールサーバ SMTP Ping Nmap From: ~ To: ~ Received IP: ~ 実行時刻 Ping 結果 Nmap 結果 SMTP 結果 IP_実行時刻.log 終了

Download ppt "A18 スパムサーバの調査 ~ボットを見抜けるか?~"

Similar presentations

Iptables の設定と 動作確認方法 野口 哲. 1. はじめに 近年では、ウイルスなどでネットワーク 上の 近年では、ウイルスなどでネットワーク 上の 危険が非常に多くなっている。また、個人 情報 などを入手するために不正に他人のパソコ ンに 侵入する人なども増えている。本研究では、 このような被害を受けないようにするため.

Iptables の設定と 動作確認方法 野口 哲. 1. はじめに 近年では、ウイルスなどでネットワーク 上の 近年では、ウイルスなどでネットワーク 上の 危険が非常に多くなっている。また、個人 情報 などを入手するために不正に他人のパソコ ンに 侵入する人なども増えている。本研究では、 このような被害を受けないようにするため.
インターネットサーバ と メール配送の仕組み 情報実験 第 13 回 2005/01/28 Last Modified: 2005/01/28K.Michimasa Original: 2004/01/30K. Komatsu.

インターネットサーバ と メール配送の仕組み 情報実験 第 13 回 2005/01/28 Last Modified: 2005/01/28K.Michimasa Original: 2004/01/30K. Komatsu.
1 会社名: 氏名: 日付: 会社名: 氏名: 日付:. 2 内容 企業のセキュリティ対策状況 ユーザー管理の重要性 ユーザー管理製品 市場状況 Active Directory とは Active Directory 利用に最低限必要な準備 ユーザー管理のご提案内容 最初の取り組み:ユーザー情報の統合管理.

1 会社名: 氏名: 日付: 会社名: 氏名: 日付:. 2 内容 企業のセキュリティ対策状況 ユーザー管理の重要性 ユーザー管理製品 市場状況 Active Directory とは Active Directory 利用に最低限必要な準備 ユーザー管理のご提案内容 最初の取り組み:ユーザー情報の統合管理.
Samba日本語版の設定と運用のノウハウ 応用編

Samba日本語版の設定と運用のノウハウ 応用編
Global Ring Technologies

Global Ring Technologies
第1回.

第1回.
下藤 弘丞 SecureWeblogの構築.

下藤 弘丞 SecureWeblogの構築.
SSHのセキュリティ技術 SSH2 IPSec PKI TLS/ SSL

SSHのセキュリティ技術 SSH2 IPSec PKI TLS/ SSL
SOHOシステムの構築と運用 東北NTユーザ会新潟勉強会資料.

SOHOシステムの構築と運用 東北NTユーザ会新潟勉強会資料.
目次 メール配送の仕組み メールの構造 メール利用の際の注意 メールに関するセキュリティ.

目次 メール配送の仕組み メールの構造 メール利用の際の注意 メールに関するセキュリティ.
スキルチェック Unix編.

スキルチェック Unix編.
受動的攻撃について Eiji James Yoshida penetration technique research site

受動的攻撃について Eiji James Yoshida penetration technique research site
Ibaraki Univ. Dept of Electrical & Electronic Eng.

Ibaraki Univ. Dept of Electrical & Electronic Eng.
Ibaraki Univ. Dept of Electrical & Electronic Eng.

Ibaraki Univ. Dept of Electrical & Electronic Eng.
安全・安心なネット生活を送るためのネットワークセキュリティ

安全・安心なネット生活を送るためのネットワークセキュリティ
ISDASインターネット分散観測: ワームの平均寿命はいくらか?

ISDASインターネット分散観測: ワームの平均寿命はいくらか?
Zeusの動作解析 S08a1053 橋本 寛史.

Zeusの動作解析 S08a1053 橋本 寛史.
ネット時代のセキュリティ2(脅威の例) 2SK 情報機器工学.

ネット時代のセキュリティ2(脅威の例) 2SK 情報機器工学.
キャンパスクラウドによる 実験環境の構築 情報ネットワーク特論 講義資料.

キャンパスクラウドによる 実験環境の構築 情報ネットワーク特論 講義資料.
Step.4 基本IPネットワーク PC 1 PC 2 PC 3 PC

Step.4 基本IPネットワーク PC 1 PC 2 PC 3 PC

Similar presentations

Ads by Google