ダークネットのはなし #ssmjp

ダークネットのはなし

2015/02/20 ssmjp

sonickun

1 ssmjp 2015/2/20

自己紹介

HN: sonickun (@y_hag)

大学4年生

研究: ネットワーク＆セキュリティ

CTF: チーム”m1z0r3”

ブログ：sonickun.log

http://sonickun.hatenablog.com/

2 ssmjp 2015/2/20

目次

ダークネットとは？

ダークネットで振り返る2014年

3 ssmjp 2015/2/20

“ダークネット”とは？

http://www.canon-elec.co.jp/products/security/sitevisor/index.html 4 ssmjp 2015/2/20

ダークネットの定義

5 ssmjp 2015/2/20

ダークネットの定義

インターネット上で

到達可能かつ

未使用の

IPアドレス空間

6 ssmjp 2015/2/20

ダークネットの特徴

外部からのアクセスに対して

一切のレスポンスを返さない

ssmjp 7

IPアドレス空間

割り当て

済

未割り当て

双方向

片方向

ダークネット

2015/2/20

ダークネットのいま

ssmjp 8

IPv4 アドレス空間マップ

引用：Dainotti, A., Benson, K., King, A., claffy, k. , Kallitsis, M., Glatz, E., and Dimitropoulos,X.,

“Estimating Internet address space usage through passive measurements”

ライブネット

ダークネット

経路なし



In ACM SIGCOMM Computer Communication Review (CCR) (2014) 2015/2/20

ダークネットのいま

ssmjp 9

IPv4 アドレス空間マップ



In ACM SIGCOMM Computer Communication Review (CCR) (2014)

ライブネット

ダークネット

経路なし

全IPv4アドレスの53.7％が

ダークネット or 経路なし

2015/2/20

ダークネットの通信

ssmjp 10

Q.

未割り当てのIPアドレスだから外部からの

アクセスはほとんど来ない…？

2015/2/20


Q.

未割り当てのIPアドレスだから外部からの

アクセスはほとんど来ない…？

ssmjp 11

答えは NO!!!

2015/2/20


ダークネットには不正な行為・活動に起因するパケットが

多く到達する

攻撃者やマルウェアによるスキャン(脆弱ホストの探索)

ワームやウイルスの自己拡散

ランダムに偽造した送信元からのDDoS攻撃の跳ね返りパケット

様々なボットネットの活動

コンピュータの設定ミスによる通信

などなど…

ssmjp 12 2015/2/20


ssmjp 13

Scan

Darknet

2015/2/20

ダークネットとセキュリティ

ssmjp 14

ダークネットに届く通信のほとんどは悪性なもの…

ダークネットの通信を分析することで，

サイバー攻撃やマルウェア感染の俯瞰的な傾向を

リアルタイムに捉えることができる！

2015/2/20

例えば

ssmjp 15

リフレクター攻撃のバックスキャッタ＆

DNSのオープンリゾルバを探索するスキャン通信が増加

DNSのリフレクター攻撃が世界的に増加

ダークネットのDNS通信が増加

2015/2/20

ダークネット vs ハニーポット

ssmjp 16

レスポンスを返さない

広範囲に影響を与える攻撃の把握に役立つ

攻撃者に気付かれることはない

被攻撃のリスク低

運用が楽

レスポンスを返す

攻撃の振る舞いを分析するのに役立つ

攻撃者に気付かれることがある

被攻撃のリスク高

運用が大変

2015/2/20

センサとしてのダークネット

ssmjp 17

ダークネット観測に基づく不正ホスト検知システム

“DAEDALUS”

引用：

鈴木未央, 井上大介, 大規模ダークネット観測に基づくアラートシステム DAEDALUS

http://www.nict.go.jp/publication/shuppan/kihou-journal/kihou-vol57no3_4/kihou-vol57no3-4_0205.pdf

2015/2/20

小休憩…

ssmjp 18

Any Question… ?

2015/2/20

ssmjp 19


2015/2/20

データについて

ssmjp 20

NICTER Darknet Dataset 2014

• 情報通信研究機構により提供された通信(pcap)データ

• 4096個(/20)の連続したダークネット

• 収集期間は2014/01/01/~2014/12/31

NICTER Darknet Dataset 2014 / NONSTOP:

http://www.iwsec.org/mws/2014/files/NICTER_Darknet_Dataset_2014.pdf

2015/2/20

2014年

ssmjp 21

＜総パケット数＞

＜総IPアドレス数＞

442,643,010

8,596,864

2015/2/20

2014年

ssmjp 22

＜総パケット数＞

＜総IPアドレス数＞

442,643,010

8,596,864

1日につき1IP

に対して

約296パケット

1日につき1IP

に対して

約6ホスト

2015/2/20

宛先ポート

ssmjp 23

ポート番号サービスパケット数

23/TCP TELNET 56,649,873

22/TCP SSH 32,927,433

1433/TCP MSSQL 15,562,753

80/TCP HTTP 13,882,553

3389/TCP RDP 12,745,960

8080/TCP HTTP alt. 11,625,204

5000/TCP UPnP 10,259,346

443/TCP HTTPS 7,184,185

53/UDP DNS 6,053,237

445/TCP SMB 5,263,257

2015/2/20

ダークネットにおける主な宛先ポート


ssmjp 24

NTP 123/UDP

HTTPS 443/TCP

TELNET 23/TCP

DNS 53/UDP

2015/2/20


ssmjp 25

NTP 123/UDP

HTTPS 443/TCP

TELNET 23/TCP

DNS 53/UDP

2015/2/20

NTP

NTP (Network Time Protocol)

NTP amp 攻撃が世界的に増加

2014年2月11日、Evernoteを標的とした攻撃がDDoS攻撃の世界記録(400Gbps)を樹立

http://www.pcmag.com/article2/0,2817,2453157,00.asp

2014年9月18日、16歳高校生がゲーム会社のサーバを攻撃し、電子計算機損壊等業務妨害の疑いで書類送検

http://www.asahi.com/articles/ASG9L365YG9LUTIL007.html

ssmjp 26 2015/2/20

ダークネットのNTP通信

ssmjp 27

2014年 2013年

パケット数

ホスト数

2015/2/20

ダークネットのNTP通信

ssmjp 28

2014年 2013年

パケット数

ホスト数

• 2014年からアクセスが増加

• 増幅率が大きな”mode7”コントロールメッセージがターゲット

2015/2/20


ssmjp 29

NTP 123/UDP

HTTPS 443/TCP

TELNET 23/TCP

DNS 53/UDP

2015/2/20

DNS

DNS amp 攻撃

2014年8月2日読売新聞一面

「ルーター攻撃ネット障害」

バッファロー製ルーターがオープンリゾルバになっていた

OCN(約815万世帯)で40分に渡りネットワーク障害

ssmjp 30

参考：

http://internet.watch.impress.co.jp/

docs/news/20140804_660902.html

2015/2/20

ダークネットのDNS通信

ssmjp 31

53/UDPポートに通信を行った一日ごとのホスト数(1月～8月)

2015/2/20


ssmjp 32

送信元ホストの国の内訳

2015/2/20


ssmjp 33

送信元ホストの国の内訳

中国

・Baiduからのスキャン通信

・送信先IPアドレスを分担

アメリカ

・ISPのホストからのスキャン

2015/2/20


ssmjp 34

ドメインパケット数備考

dnsscan.shadowserver.org 774,248 Shadowserver

www.jrdga.info 521,542

www.google.com 447,000 Google

VERSION.BIND 433,005 BINDのバージョン問合わせ

www.google.it 378,381 Google

wwww.jrdga.info 374,297

com 296,744

isc.org 188,528 ISC (Internet Systems Consortium)

webpanel.sk 106,165

wradish.com 99,178

主な問い合わせドメイン

2015/2/20


ssmjp 35

NTP 123/UDP

HTTPS 443/TCP

TELNET 23/TCP

DNS 53/UDP

2015/2/20

HTTPS

HeartBleed

OpenSSLの重大な脆弱性

2014年4月7日発表

CVE-2014-0160 http://jvndb.jvn.jp/ja/contents

/2014/JVNDB-2014-001920.html

ssmjp 36 2015/2/20

ダークネットのHTTPS通信

ssmjp 37

4月(HeartBleedが発表された月)の一時間ごとのホスト数

2015/2/20

ダークネットのHTTPS通信

ssmjp 38

4月(HeartBleedが発表された月)の一時間ごとのホスト数

• 1日毎に周期的にアクセスが増加

• ミシガン大学によるサーベイ目的のスキャン通信[※]

• Zmapを使用

[※] Durumeric, Z., Bailey, M., and Halderman, J. A., “An Internet-Wide View of

Internet-Wide Scanning”, in 23rd USENIX Security Symposium. (2014)

2015/2/20


ssmjp 39

NTP 123/UDP

HTTPS 443/TCP

TELNET 23/TCP

DNS 53/UDP

2015/2/20

TELNET

ルータやWebカメラ等の組み込みシステムが攻撃の標的となる

2014年7月下旬頃から宛先ポート23/TCP に対するアクセスが増加

• ネットワーク接続機器を踏み台にしたスキャン行為が行われている可能性

• 警察庁の報告(http://scan.netsecurity.ne.jp/article/2014/08/29/34745.html)

ssmjp 40 2015/2/20

ダークネットのTELNET通信

ssmjp 41

23/TCPに通信を行った一日ごとのパケット数(4月～8月)

Packets

2015/2/20

p0f

ssmjp 42

p0f (Passive OS Fingerprint)

―パケットのヘッダ情報を元に送信元のOSを推定する

OSの判別に用いるシグネチャの例

•Window Size •IPパケットサイズ

•初期TTL

•ack flag

•DF flag

•MSS

•Window Scaling

•Time Stamp値

•Selective ACK の可否

•NOP (No Operation)の数と並び

•EOL (End of Option List)の利用

•その他のTCPオプション

•0であるべきフィールドのチェック

p0f v3 (version 3.08b)：http://lcamtuf.coredump.cx/p0f3/

2015/2/20


ssmjp 43

送信元ホストのOSの内訳

Packets

2015/2/20


ssmjp 44

送信元ホストのOSの内訳

• Linux 2.4系がほとんど • 組み込みシステムの多

くはLinuxで動作する

Packets

2015/2/20

まとめ

ダークネットとは到達可能かつ未使用のIPアドレス空間のこと

ダークネットのトラフィックを分析することでサイバー攻撃の大局的な傾向を把握することができる

2014年に起こった世界的なセキュリティインシデントの多くはダークネットにおいても観測されている

ssmjp 45 2015/2/20

謝辞

発表の場を与えてくださったssmjpの皆様に感謝いたします

ダークネットのデータセットを提供していただいた情報通信研究機構ネットワークセキュリティ研究所サイバーセキュリティ研究室の皆様に感謝いたします

ssmjp 46 2015/2/20

参考

ダークネットの基礎知識 – sonickun.log

http://sonickun.hatenablog.com/entry/2014/06/11/233859

ssmjp 47 2015/2/20

Thank you.

ssmjp 48 2015/2/20

Technology

ダークネットのはなし #ssmjp