« 6.TCPコネクション要求回数の計数による攻撃者の検知 [セッション3: セキュリティ(1)] | メイン | 8.Entropy Study on A and PTR Resource Records-Based DNS Query Traffic [セッション3: セキュリティ(1)] »

2008年12月 4日

7.サブネットワークにおける不使用IPアドレスを用いたインターネット観測手法とその評価 [セッション3: セキュリティ(1)]

カテゴリ:第1回 インターネットと運用技術シンポジウム(IOTS2008)

7.サブネットワークにおける不使用IPアドレスを用いたインターネット観測手法とその評価
○桝田秀夫・竹内徹哉(京都工繊大)

・インターネット定点観測システム、攻撃のトレンドを観測するプロジェクト
・警視庁、SANS、JPCERT/CC、WCLSCAN

・インターネット上に観測ボックスを設置
・攻撃パケットのログを収集
・ログからトレンドを分析
・警報

・観測ボックスをなるべく多数設置したい
・観測ボックスに専用のIPアドレスが必要
・観測ボックスは攻撃に対してサイレントである必要がある
・IPv4アドレスは高価、枯渇も予測
・サブネット分割に着目
・サブネットに分割されてると、ネットワークアドレスやブロードキャストアドレスはホストであったとしてもおかしくない(見分けが付かない)
・よって、サブネットに分割された際のそれらのアドレスを観測アドレスとして使用する

・ルーターと観測ボックスを同居させる
・観測アドレス宛のパケットは中に流さない
・記録に電子署名を施して、ログ収集サーバに送付する
・基本的に応答を返さない(サイレント)
・ルーターに組み込む際は、パケットの分別処理が必要
・収集処理のオーバーヘッドがある

・iptablesで-j LOG,- REJECT

・評価
・転送速度への影響を観測
・結果
・模擬攻撃、dd if=/dev/urandom | socat -udp:192.168.0.32.10
・観測有り無し、全く転送速度の低下はない

・今後の課題
・ブロードバンドルータなどへの適用>???ん? あ、もうちょっとスペックの低い奴、実験はLinuxのPCサーバだからね

Q.ダークアドレスと不使用IPアドレスの関係は?
A.内容的にはちがうっぽい

Q.もっと、上流でやってみては
A.なかなかキャリアの理解が得られにくい、それよりは下流に手軽にたくさん置いて観測したい。どちらの法が効率がいいかは、今後の検討

Q.ミラーと実際のホストの設置で、取れる情報が違うか?
A.基本的に同じ
C.内部のボット検知には有利かもしれない

Q.ルーターのアドレスを使えば?
A.ルーターは外部から監視される可能性がある




投稿者 ymkx : 2008年12月 4日 14:48 |