Download presentation
Presentation is loading. Please wait.
1
DNSクエリーパターンを用いたOSの推定
早稲田大学 理工学部 コンピュータ・ネットワーク工学科 後藤研究室B4 1G06R055-7 川口 敬 2010/02/01 卒業論文発表
2
研究の背景 ホストがもつ脆弱性はOSの種類に依存 受信したパケットの特徴を分析してホストのOSの種類を判定する
passive fingerprinting OSを推定するための分析対象は主にTCP TFTPなどUDPを用いた通信も存在し、名前解決にDNSを利用することも多い 分析対象にTCPを適用できない 2010/02/01 卒業論文発表
3
研究の目的 UDPによりOSを推定するための手法の開発 本研究では、 UDPの情報でOSの分類が可能であることを示す
IPv4とIPv6の混在環境だからこそ発生するDNSパケットの特徴を利用 早稲田大学内のOSの分布を推定 UDPの情報でOSの分類が可能であることを示す 2010/02/01 卒業論文発表
4
DNSとは ホスト名とIPアドレスを対応づけて管理しておくための分散データベースシステム A レコード AAAA レコード
ホストのIPv4アドレスを管理 AAAA レコード ホストのIPv6アドレスを管理 2010/02/01 卒業論文発表
5
トラフィックの計測 早稲田大学の学内ネットワークとインターネットの境界にあたる場所でパケットキャプチャ Internet
ポートは53番に限定する Internet Waseda University Waseda Network Router Router Capturing Machine 2010/02/01 卒業論文発表
6
DNSクエリーの特徴 AAAAレコードの問い合わせは 比較的多い 図1. レコード別のクエリー数の割合 2010/02/01 卒業論文発表
7
DNSとIPv6 AAAAレコードの問い合わせが比較的多いのに対しIPv6アドレスの利用はごくわずか
表1. IPv4とIPv6の使用割合 2010/02/01 卒業論文発表
8
DNSクエリーパターン IPv4アドレスを利用したDNSクエリーにおいて考えられるクエリーパターン IPv6無効 IPv6有効 A-only
Aレコード、AAAAレコードの順で問い合わせる A-AAAA AAAAレコード、Aレコードの順で問い合わせる AAAA-A 2010/02/01 卒業論文発表
9
DNSクエリーの分析 早稲田大学から外部へ送信されるクエリーを分析 測定期間は2009/11/17~2009/11/19の3日間
IPv4アドレスを用いた通信に着目 分析1 各パターンの出現数の割合 分析2 両方のレコードを問い合わせる場合、2つのレコードを問い合わせる間の時間差に特徴が見られるかどうか 時間差に対するパターン出現数を分析 2010/02/01 卒業論文発表
10
分析1 (パターンごとの出現数) の結果 Aレコードのみを問い合わせるクエリーが大部分 図2. クエリーパターンの出現割合
2010/02/01 卒業論文発表
11
分析2 (時間差の検証) の結果 A-AAAA 0~1 [ ミリ秒 ]で 出現数が増加 図3. A-AAAAパターンにおける時間差の測定結果
2010/02/01 卒業論文発表
12
分析2 (時間差の検証) の結果 AAAA-A 8~10 [ ミリ秒 ]で出現数が再び増加
2010/02/01 卒業論文発表
13
OSごとの検証実験 DNSクエリーの分析により得られた特徴はOS依存であると考えられる 実験の概要
IPv6に関する設定がデフォルトの状態で100サイトにアクセスする その際に流れるDNSパケットをキャプチャし、同様の分析を行う クエリーパターンの分析 時間差とパターン出現数の関係 2010/02/01 卒業論文発表
14
実験に用いたOSとアプリケーション 表2. 実験に用いたOSとアプリケーション 2010/02/01 卒業論文発表
15
各OSごとに得られた結果 (クエリーパターン)
2010/02/01 卒業論文発表
16
各OSごとに得られた結果 (時間差の検証)
図5. Windows vista 図6. Windows 7 各OSともに0~1 [ ミリ秒 ] で出現数がピークとなった 2010/02/01 卒業論文発表 図7. Mac OS X
17
各OSごとに得られた結果 (時間差の検証)
8~10 [ ミリ秒 ] でピーク 図8. Fedora 10 図9. Ubuntu 9.10 2010/02/01 卒業論文発表
18
OS分布の推定結果 表4. OS分布の推定結果 2010/02/01 卒業論文発表
19
まとめと今後の課題 まとめ 今後の課題 DNSのクエリーパターンや時間差の分析からOSの分類が可能
UDPの通信に対するOS推定の指標になりうることを示した 今後の課題 ホストをユニークに識別できる環境での分析 より多くのOSを用いた実験 さらに別の指標が存在するか検討 2010/02/01 卒業論文発表
20
ご清聴ありがとうございました 2010/02/01 卒業論文発表
21
早稲田の入り口を流れるクエリー数 図10. 流れる方向別のクエリー数 2010/02/01 卒業論文発表
22
AAAAレコードの問い合わせに対する回答
2010/02/01 卒業論文発表
23
IPv6とは 128bitという広大なアドレス空間をもったプロトコル アドレスの枯渇問題に対応できる
2010/02/01 卒業論文発表
24
図4におけるピーク時の出現数 表5. 出現数がピークとなる際の値の比較 2010/02/01 卒業論文発表
25
A-onlyパターン 2010/02/01 卒業論文発表
26
A-AAAAパターン 2010/02/01 卒業論文発表
27
AAAA-Aパターン 2010/02/01 卒業論文発表
28
補足資料 レコードについて Aレコード AAAAレコード (クワッドA) ホストのIPv4アドレス ホストのIPv6アドレス A6レコード
128bitのIPアドレスを適当な個所で分割し、下位64bitのインターフェイスIDだけのリソースレコードとネットワークプレフィックスだけのリソースレコードを別々に管理する方式 PTRレコード IPアドレス対するホスト名 MXレコード ドメインのメールサーバ名 CNAME ホストのエイリアス(別名) 2010/02/01 卒業論文発表
29
メッセージ形式 2010/02/01 卒業論文発表
Similar presentations
© 2024 slidesplayer.net Inc.
All rights reserved.