Upload
sonickun
View
14.819
Download
0
Embed Size (px)
Citation preview
自己紹介
HN: sonickun (@y_hag)
大学4年生
研究: ネットワーク&セキュリティ
CTF: チーム”m1z0r3”
ブログ:sonickun.log
http://sonickun.hatenablog.com/
2 ssmjp 2015/2/20
ダークネットのいま
ssmjp 8
IPv4 アドレス空間マップ
引用:Dainotti, A., Benson, K., King, A., claffy, k. , Kallitsis, M., Glatz, E., and Dimitropoulos,X.,
“Estimating Internet address space usage through passive measurements”
ライブネット
ダークネット
経路なし
引用:Dainotti, A., Benson, K., King, A., claffy, k. , Kallitsis, M., Glatz, E., and Dimitropoulos,X.,
“Estimating Internet address space usage through passive measurements”
In ACM SIGCOMM Computer Communication Review (CCR) (2014) 2015/2/20
ダークネットのいま
ssmjp 9
IPv4 アドレス空間マップ
引用:Dainotti, A., Benson, K., King, A., claffy, k. , Kallitsis, M., Glatz, E., and Dimitropoulos,X.,
“Estimating Internet address space usage through passive measurements”
In ACM SIGCOMM Computer Communication Review (CCR) (2014)
ライブネット
ダークネット
経路なし
全IPv4アドレスの53.7%が
ダークネット or 経路なし
2015/2/20
ダークネットの通信
ダークネットには不正な行為・活動に起因するパケットが
多く到達する
攻撃者やマルウェアによるスキャン(脆弱ホストの探索)
ワームやウイルスの自己拡散
ランダムに偽造した送信元からのDDoS攻撃の跳ね返りパケット
様々なボットネットの活動
コンピュータの設定ミスによる通信
などなど…
ssmjp 12 2015/2/20
ダークネットとセキュリティ
ssmjp 14
ダークネットに届く通信のほとんどは悪性なもの…
ダークネットの通信を分析することで,
サイバー攻撃やマルウェア感染の俯瞰的な傾向を
リアルタイムに捉えることができる!
2015/2/20
例えば
ssmjp 15
リフレクター攻撃のバックスキャッタ &
DNSのオープンリゾルバを探索するスキャン通信が増加
DNSのリフレクター攻撃が世界的に増加
ダークネットのDNS通信が増加
2015/2/20
ダークネット vs ハニーポット
ssmjp 16
レスポンスを返さない
広範囲に影響を与える 攻撃の把握に役立つ
攻撃者に気付かれることはない
被攻撃のリスク低
運用が楽
レスポンスを返す
攻撃の振る舞いを分析するのに役立つ
攻撃者に気付かれることがある
被攻撃のリスク高
運用が大変
2015/2/20
センサとしてのダークネット
ssmjp 17
ダークネット観測に基づく不正ホスト検知システム
“DAEDALUS”
引用:
鈴木未央, 井上大介, 大規模ダークネット観測に基づくアラートシステム DAEDALUS
http://www.nict.go.jp/publication/shuppan/kihou-journal/kihou-vol57no3_4/kihou-vol57no3-4_0205.pdf
2015/2/20
データについて
ssmjp 20
NICTER Darknet Dataset 2014
• 情報通信研究機構により提供された通信(pcap)データ
• 4096個(/20)の連続したダークネット
• 収集期間は2014/01/01/~2014/12/31
NICTER Darknet Dataset 2014 / NONSTOP:
http://www.iwsec.org/mws/2014/files/NICTER_Darknet_Dataset_2014.pdf
2015/2/20
2014年
ssmjp 22
<総パケット数>
<総IPアドレス数>
442,643,010
8,596,864
1日につき1IP
に対して
約296パケット
1日につき1IP
に対して
約6ホスト
2015/2/20
宛先ポート
ssmjp 23
ポート番号 サービス パケット数
23/TCP TELNET 56,649,873
22/TCP SSH 32,927,433
1433/TCP MSSQL 15,562,753
80/TCP HTTP 13,882,553
3389/TCP RDP 12,745,960
8080/TCP HTTP alt. 11,625,204
5000/TCP UPnP 10,259,346
443/TCP HTTPS 7,184,185
53/UDP DNS 6,053,237
445/TCP SMB 5,263,257
2015/2/20
ダークネットにおける主な宛先ポート
NTP
NTP (Network Time Protocol)
NTP amp 攻撃 が世界的に増加
2014年2月11日、Evernoteを標的とした攻撃がDDoS攻撃の世界記録(400Gbps)を樹立
http://www.pcmag.com/article2/0,2817,2453157,00.asp
2014年9月18日、16歳高校生がゲーム会社のサーバを攻撃し、電子計算機損壊等業務妨害の疑いで書類送検
http://www.asahi.com/articles/ASG9L365YG9LUTIL007.html
ssmjp 26 2015/2/20
ダークネットのNTP通信
ssmjp 28
2014年 2013年
パケット数
ホスト数
• 2014年からアクセスが増加
• 増幅率が大きな”mode7”コントロールメッセージがターゲット
2015/2/20
DNS
DNS amp 攻撃
2014年8月2日 読売新聞一面
「ルーター攻撃ネット障害」
バッファロー製ルーターがオープンリゾルバになっていた
OCN(約815万世帯)で40分に渡りネットワーク障害
ssmjp 30
参考:
http://internet.watch.impress.co.jp/
docs/news/20140804_660902.html
2015/2/20
ダークネットのDNS通信
ssmjp 34
ドメイン パケット数 備考
dnsscan.shadowserver.org 774,248 Shadowserver
www.jrdga.info 521,542
www.google.com 447,000 Google
VERSION.BIND 433,005 BINDのバージョン問合わせ
www.google.it 378,381 Google
wwww.jrdga.info 374,297
com 296,744
isc.org 188,528 ISC (Internet Systems Consortium)
webpanel.sk 106,165
wradish.com 99,178
主な問い合わせドメイン
2015/2/20
HTTPS
HeartBleed
OpenSSLの重大な脆弱性
2014年4月7日 発表
CVE-2014-0160 http://jvndb.jvn.jp/ja/contents
/2014/JVNDB-2014-001920.html
ssmjp 36 2015/2/20
ダークネットのHTTPS通信
ssmjp 38
4月(HeartBleedが発表された月)の一時間ごとのホスト数
• 1日毎に周期的にアクセスが増加
• ミシガン大学によるサーベイ目的のスキャン通信[※]
• Zmapを使用
[※] Durumeric, Z., Bailey, M., and Halderman, J. A., “An Internet-Wide View of
Internet-Wide Scanning”, in 23rd USENIX Security Symposium. (2014)
2015/2/20
TELNET
ルータやWebカメラ等の組み込みシステムが攻撃の標的となる
2014年7月下旬頃から宛先ポート23/TCP に対するアクセスが増加
• ネットワーク接続機器を踏み台にしたスキャン行為が行われている可能性
• 警察庁の報告(http://scan.netsecurity.ne.jp/article/2014/08/29/34745.html)
ssmjp 40 2015/2/20
p0f
ssmjp 42
p0f (Passive OS Fingerprint)
―パケットのヘッダ情報を元に送信元のOSを推定する
OSの判別に用いるシグネチャの例
•Window Size •IPパケットサイズ
•初期TTL
•ack flag
•DF flag
•MSS
•Window Scaling
•Time Stamp値
•Selective ACK の可否
•NOP (No Operation)の数と並び
•EOL (End of Option List)の利用
•その他のTCPオプション
•0であるべきフィールドのチェック
p0f v3 (version 3.08b):http://lcamtuf.coredump.cx/p0f3/
2015/2/20
まとめ
ダークネットとは到達可能かつ未使用のIPアドレス空間のこと
ダークネットのトラフィックを分析することでサイバー攻撃の大局的な傾向を把握することができる
2014年に起こった世界的なセキュリティインシデントの多くはダークネットにおいても観測されている
ssmjp 45 2015/2/20
謝辞
発表の場を与えてくださったssmjpの皆様に感謝いたします
ダークネットのデータセットを提供していただいた情報通信研究機構ネットワークセキュリティ研究所サイバーセキュリティ研究室の皆様に感謝いたします
ssmjp 46 2015/2/20
参考
ダークネットの基礎知識 – sonickun.log
http://sonickun.hatenablog.com/entry/2014/06/11/233859
ssmjp 47 2015/2/20