透過型確率的パケットマーキング装置の提案と開発チーム名:筑波大学 暗号・情報セキュリティ研究室とOB        金岡 晃(筑波大学)     岡田雅之(OB:勤務先:JPNIC)        日暮一太(筑波大学)        後藤成聡(...
最初にまとめ                                 •      経路途中のルータが、IPv4ヘッダの       確率的                                        Identifi...
アピールポイントとても軽量な透過型PPMブリッジの実現•   Linuxを搭載した1Uサーバをブリッジとし    て採用•   (予算がないので)研究室で使ってなかっ    た古いサーバを使いました     • IBM xSeries 306m...
確率的パケットマーキング(PPM)方式の概略(Savageらの手法)   基本的な手法                          例目的は                     攻撃者       中継ルータ群            ...
確率的パケットマーキング(PPM)方式の概略(Savageらの手法)   宛先ホストで  受け取るデータ                  経路情報の                             復元    ○   A+B   d=...
【提案】透過型確率的パケットマーキング装置既存ルータのソフトウェア/ハードウェア入れ                2つの実現形態替えを必要とせず既存ルータをPPM対応させる                         透過型PPMリピータ...
透過型PPMブリッジの実装                              既存ライブラリ等を                                              利用せず                    ...
透過型PPMブリッジの性能評価パケット     透過型         パケット受信器    PPMブリッジ        送信器                                     スループット       評価はいずれも...
透過型PPMブリッジの性能評価(+α)10Gbpsカードでの性能評価                     9,238,122,764 bps = 8.6Gbps          10,000,000,000           9,000...
本日のマーキングスループット一番トポロジの根っこの部分の透過型ブリッジにおけるスループット                                    881Mbps                                  ...
本日のトポロジ                7+1台の             透過型PPMブリッジ      パケット       受信器                        Data Flow                 5...
経路情報再構成スクリプト       2012/6/13   ORC 最終審査会   12
経路情報再構成可視化ツール       2012/6/13   ORC 最終審査会   13
透過型PPMブリッジの本質と応用シーン          • PPM研究自体は「DoS対策」  透過型     • PPMそのものの本質は「直近で流れていたパPPMブリッジ     ケットの経路を明らかにする」             • 経路...
おまけ:@SRCHACK.ORGさま チーム@SRCHACK.ORGの方が     6/7の2次審査で  我々の実装に興味を持ち… カーネルパッチをこちらから  提供さしあげたところ…  なんと、透過型PPMが動く   WHR-HP-AG300...
これは、  われわれを@SRCHACK.ORGさんへと    導く暗示だったのか!!!?            Tシャツ謹呈の図2012/6/13        ORC 最終審査会   16
まとめ 透過型確率的パケットマーキング(PPM)              本会場にて  装置の提案  • 透過型PPMブリッジ  • 透過型PPMリピータ                       実機による               ...
Upcoming SlideShare
Loading in …5
×

透過型確率的パケットマーキング装置の提案と開発(オープンルータコンペティション発表資料)

735 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
735
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
1
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

透過型確率的パケットマーキング装置の提案と開発(オープンルータコンペティション発表資料)

  1. 1. 透過型確率的パケットマーキング装置の提案と開発チーム名:筑波大学 暗号・情報セキュリティ研究室とOB 金岡 晃(筑波大学) 岡田雅之(OB:勤務先:JPNIC) 日暮一太(筑波大学) 後藤成聡(筑波大学)
  2. 2. 最初にまとめ • 経路途中のルータが、IPv4ヘッダの 確率的 Identificationフィールドにマーキング パケットマーキング(Probabilistic Packet Marking) • 受信側で収集したマーキング情報をもとに経路 情報を再構成 我々のアプローチ 方式の 軽量 現実適用の 効率化 Linux実装 検討 既存の稼働中ルータをPPM対応ルータに 「入れ替える」のはとてもハードルが高い ルータの代わりに透過的にマーキングする 「透過型マーキング装置」 2012/6/13 ORC 最終審査会 2
  3. 3. アピールポイントとても軽量な透過型PPMブリッジの実現• Linuxを搭載した1Uサーバをブリッジとし て採用• (予算がないので)研究室で使ってなかっ た古いサーバを使いました • IBM xSeries 306m (P4 3.0GHz, 2GB RAM)が中心マーキングから経路再構成するperlスクリプト経路再構成の具合を可視化するツール 2012/6/13 ORC 最終審査会 3
  4. 4. 確率的パケットマーキング(PPM)方式の概略(Savageらの手法) 基本的な手法 例目的は 攻撃者 中継ルータ群 被害者「攻撃者までの経路 (中継ルータ群のIPアドレス X A B C D Yとその順序)を知る」 A A B A +B d=3 確率 p B B +C B +C d=2 ・自分のIP情報を書き込む C C +D C +D d=1 ・距離情報0にセット D D d=0 確率 1-p Yが受け取る情報 ・もし距離情報が0だったら 順番にXORすることで 自分のIP情報を 中継ルータ群のIP情報を復元可能 現在のIP情報にXOR ・距離情報++ 2012/6/13 ORC 最終審査会 4
  5. 5. 確率的パケットマーキング(PPM)方式の概略(Savageらの手法) 宛先ホストで 受け取るデータ 経路情報の 復元 ○ A+B d=3 ○ C+D ○ B+C ○ A+B ○ B+C d=2 ○ + ○ + ○ + D C B ○ C+D d=1 D d=0 D C B A グラフになぞらえ ルータそのものの情報ではなく、 ノード情報ではなく 「どのルータ間を通ったか」の情報が エッジ情報をあつめることから マーキングされる “Edge Sampling” と言われる 2012/6/13 ORC 最終審査会 5
  6. 6. 【提案】透過型確率的パケットマーキング装置既存ルータのソフトウェア/ハードウェア入れ 2つの実現形態替えを必要とせず既存ルータをPPM対応させる 透過型PPMリピータ Ethernetでの中継(ヘッダ書き A B 換え)を行なわない(Ethernet レベルでも透過) A TPPM装置 B 透過型PPM ブリッジ・スイッチ 新たなルータ設置ではなく Ethernetでの中継(ヘッダ書き IPレベルで透過的に 換え)を行なう 代理でPPMを行なう装置を配置 (Ethernetレベルでは非透過) A○ B + のマークを1度で行えるためEdge Samplingに適している ネットワーク中継機器として2台以上の代理マーキングも可能 2012/6/13 ORC 最終審査会 6
  7. 7. 透過型PPMブリッジの実装 既存ライブラリ等を 利用せず フルスクラッチでLinuxカーネルにPPM機能を実装Ethernetフレームのプロトコル番号を見て、IPパケットの該当部分を上書き マーキング後のIPヘッダチェックサム再計算の効率化カーネル上でIPレイヤ処理での計算を呼び出さず、Ethernetフレーム処理部分にIPヘッダのチェックサム再計算を記載することで効率化 マーキング設定の柔軟性向上sysfsを用いることでユーザランド • リピータ/ブリッジ・スイッチ 機能切り替え • マーキングタイプ(ユーザが設定できるエリア)か (未実装) • マーキングアルゴリズムらカーネルパラメータを設定できるように変更 (Savage, Goodrich, 金岡) ARP観測による自動設定に向けた対応EthernetフレームのみにPPM対応するよう、分岐命令を用いた実装 分岐を増やすことによりARP対応が容易に可能 2012/6/13 ORC 最終審査会 7
  8. 8. 透過型PPMブリッジの性能評価パケット 透過型 パケット受信器 PPMブリッジ 送信器 スループット 評価はいずれも (Mbps) Apacheのabを使用 PPMなし 890.5715 IBM xSeries 306m 送受信器の間に PPMあり 891.6879 CPU Pentium4 531 透過型PPMブリッジが1台 (3.0GHz) 有意な差はない RAM 2GB OS Debian GNU/Linux (6.0.1) スループット (Mbps) NIC Broadcom 5721 送受信器の間に PPMなし 890.5112 透過型PPMブリッジが2台 PPMあり 891.7197 2012/6/13 ORC 最終審査会 8
  9. 9. 透過型PPMブリッジの性能評価(+α)10Gbpsカードでの性能評価 9,238,122,764 bps = 8.6Gbps 10,000,000,000 9,000,000,000 8,000,000,000 7,000,000,000 6,000,000,000スループット 5,000,000,000 (bps) 4,000,000,000 3,000,000,000 2,000,000,000 1,000,000,000 0 -300 200 700 1200 1700 パケットサイズ (byte) 2012/6/13 ORC 最終審査会 9
  10. 10. 本日のマーキングスループット一番トポロジの根っこの部分の透過型ブリッジにおけるスループット 881Mbps でました 2012/6/13 ORC 最終審査会 10
  11. 11. 本日のトポロジ 7+1台の 透過型PPMブリッジ パケット 受信器 Data Flow 5台の パケット 送信器 Trace back!! *仮想環境を利用せずすべて実機で構成 2012/6/13 ORC 最終審査会 11
  12. 12. 経路情報再構成スクリプト 2012/6/13 ORC 最終審査会 12
  13. 13. 経路情報再構成可視化ツール 2012/6/13 ORC 最終審査会 13
  14. 14. 透過型PPMブリッジの本質と応用シーン • PPM研究自体は「DoS対策」 透過型 • PPMそのものの本質は「直近で流れていたパPPMブリッジ ケットの経路を明らかにする」 • 経路情報を復元するトリガはDoS攻撃でな くて良い • トリガ自身は本システムはスコープ外 応用シーン • 仮想環境等の複雑化した組織内ネットワークでの 経路やネットワーク機器管理 • 特定ASやAS群におけるボットネットの活性化 2012/6/13 ORC 最終審査会 14
  15. 15. おまけ:@SRCHACK.ORGさま チーム@SRCHACK.ORGの方が 6/7の2次審査で 我々の実装に興味を持ち… カーネルパッチをこちらから 提供さしあげたところ… なんと、透過型PPMが動く WHR-HP-AG300Hが できあがってしまった!! 今現在、動いています!! 2012/6/13 ORC 最終審査会 15
  16. 16. これは、 われわれを@SRCHACK.ORGさんへと 導く暗示だったのか!!!? Tシャツ謹呈の図2012/6/13 ORC 最終審査会 16
  17. 17. まとめ 透過型確率的パケットマーキング(PPM) 本会場にて 装置の提案 • 透過型PPMブリッジ • 透過型PPMリピータ 実機による ネットワーク 環境 透過型PPMブリッジの開発 • Linuxカーネルを修正することで 軽量に実現 経路情報復元 周辺機能の充実化 可視化ツール • マーキングデータから ライブデモ 経路情報を復元するperlスクリプト • 経路情報の復元状況を可視化するツール 2012/6/13 ORC 最終審査会 17

×