SlideShare a Scribd company logo
 
ステートフル型のトラフィック監視ツールとDNSの監視例 
水谷正慶(@m_mizutani)
自己紹介 
 水谷正慶(@m_mizutani) 
 Background 
 Specialty: Network monitoring, IDS/IPS, anti-malware 
 Snort, libpcap, malwareと付き合い続けた学生時代 
 Favorite: Online gaming (World of Warcraft, Starcraft, 
etc) 
 Current Job: Research staff, IBM Japan 
 Could, Cyber Security 
 Related to SIEM, SOC, Cloud products, etc
はじめに 
 ネットワーク監視でリッチな情報がとりたい 
 MRTGだと流量など以外の情報がおえない 
 nflowでもかなりの情報が落ちてしまう 
 フルダンプしておくのも結構つらい(と思う) 
 パケットという単語から文脈に直して読みたい 
 パケット単位ならいろいろある 
 例:Dsc: A DNS Statistics Collector 
 目的 
 ネットワークのデバッグ 
 セキュリティフォレンジクス
Devourer 
 ステートフルな情報を持つパケット監視ツール 
 Devourer【名詞】がつがつと、または貪欲に食 
べる人(Weblio http://ejje.weblio.jp/content/devourer より) 
 ステートフルな情報を保持:セッション、フ 
ロー、キャッシュ、トランザクション、etc 
 今のところDNSのトランザクションのみ監視 
 開発 
 Github: https://github.com/m-mizutani/devourer 
 C++ & libpcap, libev, msgpack (output to fluentd)
構成例 
Devourer 
(packet 
monitor) 
Port 
mirroring 
Fluentd 
Influxdb 
TCP 
Saving records 
Grafana 
Web b rowser 
Network traffic 
Administrator 
http://qiita.com/m_mizutani/items/af30b87721a70d5290fa
できること 
 DNSクエリの応答時間が取得できる 
 DNSサーバのデバッグ 
 DNSクエリがどこで遅延しているかの特定 
 クエリのタイムアウト数のカウント 
 クエリがない応答の発見 
 キャッシュポイゾニング攻撃の検知 
 (ステート関係ないけど)問い合わせ結果ログ 
 問い合わせ名、レコード種別、問い合わせ結果 
 フォレンジクス、問い合わせ名のトレース
DNSクエリの応答時間をグラフ化 
 100ms未満、1000ms未満、1000ms以上で分類 
 そこそこ1000ms以上かかっているクエリもある 
自宅ネットワークより
クエリの結果をグラフ化 
 Status毎にグラフ化 
 Success: 同一セッション+トランザクションIDで返答あり 
 Timeout: タイムアウト(現在は60秒設定) 
 Miss: 観測されていないクエリに対する応答 
http://ictf.cs.ucsb.edu/data/ictf2010/ictf2010pcap.tar.gz より
Available on Elasticsearch + Kibana 
 Fluentdのモジュールを追加して宛先を増やせばいいだけ 
 モニタリングだけではなく調査やデバッグもやりたいな 
らこちらの組み合わせのほうが便利
Performance 
 実験環境 
 i7 2.3GHz / SSDディスクより読み込み 
 DNSパケットのみの場合 
 約85,000 pps 
 通常パケットも含むトラフィックの場合 
 約923,000 pps, 約3.284Gbps 
 http://ictf.cs.ucsb.edu/data/ictf2010/ictf2010pcap.t 
ar.gz の一部で計測 
 DNSパケットは全体の約6.8%
今後できそうなこと 
 以下のような値を取れるようになる見込み 
 フロー毎のIPフラグメンテーション数 
 TCPセッションのlatency(segmentとackの組み合 
わせによる) 
 TCPセッションのpacket loss rate(ackの再送を利 
用) 
 httpのリクエストと応答の組合せ 
 httpsで使われているcipher suiteの種類
ご清聴ありがとうございました 
 ご意見歓迎です 
 そういうツールはもうあるよ! 
 そういう目的では使わないよ! 
 こういう目的だったら使えるかも!

More Related Content

What's hot

実践イカパケット解析α
実践イカパケット解析α実践イカパケット解析α
実践イカパケット解析α
Yuki Mizuno
 
Gpuクラスタクラウドによる暗号解析
Gpuクラスタクラウドによる暗号解析Gpuクラスタクラウドによる暗号解析
Gpuクラスタクラウドによる暗号解析
Jun Morimoto
 
セキュリティを学ぼう~Ctfを添えて~
セキュリティを学ぼう~Ctfを添えて~セキュリティを学ぼう~Ctfを添えて~
セキュリティを学ぼう~Ctfを添えて~
Takumi Ishibashi
 
続・わかりやすいパターン認識_3章
続・わかりやすいパターン認識_3章続・わかりやすいパターン認識_3章
続・わかりやすいパターン認識_3章
weda654
 
クラウドを支えるこれからの暗号技術
クラウドを支えるこれからの暗号技術クラウドを支えるこれからの暗号技術
クラウドを支えるこれからの暗号技術
MITSUNARI Shigeo
 
Multipeer connectivity_エスキュービズム勉強会0523
Multipeer connectivity_エスキュービズム勉強会0523Multipeer connectivity_エスキュービズム勉強会0523
Multipeer connectivity_エスキュービズム勉強会0523
エンジニア勉強会 エスキュービズム
 
IDベース暗号の概観と今後の展望(次世代セキュア情報基盤ワークショップ )
IDベース暗号の概観と今後の展望(次世代セキュア情報基盤ワークショップ )IDベース暗号の概観と今後の展望(次世代セキュア情報基盤ワークショップ )
IDベース暗号の概観と今後の展望(次世代セキュア情報基盤ワークショップ )
Akira Kanaoka
 
第三回IoT関連技術勉強会 データ通信編
第三回IoT関連技術勉強会 データ通信編第三回IoT関連技術勉強会 データ通信編
第三回IoT関連技術勉強会 データ通信編
tzm_freedom
 
20190710 ysmatsud
20190710 ysmatsud20190710 ysmatsud
20190710 ysmatsud
ysma tsud
 
Juliaで前処理
Juliaで前処理Juliaで前処理
Juliaで前処理
weda654
 
OSやアプリを問わず装着するだけで重要データを防御するセキュリティバリアデバイス by 戸田 賢二
OSやアプリを問わず装着するだけで重要データを防御するセキュリティバリアデバイス by 戸田 賢二OSやアプリを問わず装着するだけで重要データを防御するセキュリティバリアデバイス by 戸田 賢二
OSやアプリを問わず装着するだけで重要データを防御するセキュリティバリアデバイス by 戸田 賢二
CODE BLUE
 
タコスで機械学習 Python編
タコスで機械学習 Python編タコスで機械学習 Python編
タコスで機械学習 Python編
Hiroto Yamatsuka
 
パスワードが漏れるまで
パスワードが漏れるまでパスワードが漏れるまで
パスワードが漏れるまで
Serverworks Co.,Ltd.
 
[DL輪読会]Abstractive Summarization of Reddit Posts with Multi-level Memory Netw...
[DL輪読会]Abstractive Summarization of Reddit Posts with Multi-level Memory Netw...[DL輪読会]Abstractive Summarization of Reddit Posts with Multi-level Memory Netw...
[DL輪読会]Abstractive Summarization of Reddit Posts with Multi-level Memory Netw...
Deep Learning JP
 

What's hot (15)

実践イカパケット解析α
実践イカパケット解析α実践イカパケット解析α
実践イカパケット解析α
 
Gpuクラスタクラウドによる暗号解析
Gpuクラスタクラウドによる暗号解析Gpuクラスタクラウドによる暗号解析
Gpuクラスタクラウドによる暗号解析
 
セキュリティを学ぼう~Ctfを添えて~
セキュリティを学ぼう~Ctfを添えて~セキュリティを学ぼう~Ctfを添えて~
セキュリティを学ぼう~Ctfを添えて~
 
続・わかりやすいパターン認識_3章
続・わかりやすいパターン認識_3章続・わかりやすいパターン認識_3章
続・わかりやすいパターン認識_3章
 
Ids ips
Ids ipsIds ips
Ids ips
 
クラウドを支えるこれからの暗号技術
クラウドを支えるこれからの暗号技術クラウドを支えるこれからの暗号技術
クラウドを支えるこれからの暗号技術
 
Multipeer connectivity_エスキュービズム勉強会0523
Multipeer connectivity_エスキュービズム勉強会0523Multipeer connectivity_エスキュービズム勉強会0523
Multipeer connectivity_エスキュービズム勉強会0523
 
IDベース暗号の概観と今後の展望(次世代セキュア情報基盤ワークショップ )
IDベース暗号の概観と今後の展望(次世代セキュア情報基盤ワークショップ )IDベース暗号の概観と今後の展望(次世代セキュア情報基盤ワークショップ )
IDベース暗号の概観と今後の展望(次世代セキュア情報基盤ワークショップ )
 
第三回IoT関連技術勉強会 データ通信編
第三回IoT関連技術勉強会 データ通信編第三回IoT関連技術勉強会 データ通信編
第三回IoT関連技術勉強会 データ通信編
 
20190710 ysmatsud
20190710 ysmatsud20190710 ysmatsud
20190710 ysmatsud
 
Juliaで前処理
Juliaで前処理Juliaで前処理
Juliaで前処理
 
OSやアプリを問わず装着するだけで重要データを防御するセキュリティバリアデバイス by 戸田 賢二
OSやアプリを問わず装着するだけで重要データを防御するセキュリティバリアデバイス by 戸田 賢二OSやアプリを問わず装着するだけで重要データを防御するセキュリティバリアデバイス by 戸田 賢二
OSやアプリを問わず装着するだけで重要データを防御するセキュリティバリアデバイス by 戸田 賢二
 
タコスで機械学習 Python編
タコスで機械学習 Python編タコスで機械学習 Python編
タコスで機械学習 Python編
 
パスワードが漏れるまで
パスワードが漏れるまでパスワードが漏れるまで
パスワードが漏れるまで
 
[DL輪読会]Abstractive Summarization of Reddit Posts with Multi-level Memory Netw...
[DL輪読会]Abstractive Summarization of Reddit Posts with Multi-level Memory Netw...[DL輪読会]Abstractive Summarization of Reddit Posts with Multi-level Memory Netw...
[DL輪読会]Abstractive Summarization of Reddit Posts with Multi-level Memory Netw...
 

Viewers also liked

目視パケット解析入門
目視パケット解析入門目視パケット解析入門
目視パケット解析入門
彰 村地
 
how to decrypt SSL/TLS without PrivateKey of servers
how to decrypt SSL/TLS without PrivateKey of servershow to decrypt SSL/TLS without PrivateKey of servers
how to decrypt SSL/TLS without PrivateKey of servers
@ otsuka752
 
DNS問い合わせ結果の可視化
DNS問い合わせ結果の可視化DNS問い合わせ結果の可視化
DNS問い合わせ結果の可視化
Mizutani Masayoshi
 
クラウドハニーポットを運用しよう!
クラウドハニーポットを運用しよう!クラウドハニーポットを運用しよう!
クラウドハニーポットを運用しよう!
Mizutani Masayoshi
 
libpgenでパケット操作
libpgenでパケット操作libpgenでパケット操作
libpgenでパケット操作
slankdev
 
High Performance Networking with DPDK & Multi/Many Core
High Performance Networking with DPDK & Multi/Many CoreHigh Performance Networking with DPDK & Multi/Many Core
High Performance Networking with DPDK & Multi/Many Core
slankdev
 
Windows 8 でパケットキャプチャ
Windows 8 でパケットキャプチャWindows 8 でパケットキャプチャ
Windows 8 でパケットキャプチャ
彰 村地
 
MvSM: 7) Co tam dávat - tvorba obsahu pro sociální média
MvSM: 7) Co tam dávat - tvorba obsahu pro sociální médiaMvSM: 7) Co tam dávat - tvorba obsahu pro sociální média
MvSM: 7) Co tam dávat - tvorba obsahu pro sociální média
Matez Jindra
 
SEO Esettanulmány: optimalizált tartalommarketing
SEO Esettanulmány: optimalizált tartalommarketingSEO Esettanulmány: optimalizált tartalommarketing
SEO Esettanulmány: optimalizált tartalommarketing
Gabor Papp
 
National hero
National heroNational hero
National hero
Natalia Orlyk
 
Enquête Doctipharma : Les français et la vente de médicaments sur internet
Enquête Doctipharma : Les français et la vente de médicaments sur internet Enquête Doctipharma : Les français et la vente de médicaments sur internet
Enquête Doctipharma : Les français et la vente de médicaments sur internet
Doctipharma
 
Subsidio i.1 demanda actual
Subsidio i.1 demanda actualSubsidio i.1 demanda actual
Subsidio i.1 demanda actual
Upaep Online
 
Facebook og søk for BRAK
Facebook og søk for BRAKFacebook og søk for BRAK
Facebook og søk for BRAK
Espen Grimmert
 
Ta mnimeiaeinaigiromas167
Ta mnimeiaeinaigiromas167Ta mnimeiaeinaigiromas167
Ta mnimeiaeinaigiromas167
Tassos Karampinis
 
Мобилната реклама - Ефективност през таргетиране
Мобилната реклама - Ефективност през таргетиранеМобилната реклама - Ефективност през таргетиране
Мобилната реклама - Ефективност през таргетиране
Digital Agency Interactive Share
 
Videómarketing szállodáknak
Videómarketing szállodáknakVideómarketing szállodáknak
Videómarketing szállodáknak
Tamás A.
 
Homoeopathic Home Prescribing Class 18th October 2014
Homoeopathic Home Prescribing Class 18th October 2014Homoeopathic Home Prescribing Class 18th October 2014
Homoeopathic Home Prescribing Class 18th October 2014
Owen Homoeopathics
 
Tudatos márkaépítés
Tudatos márkaépítésTudatos márkaépítés
Tudatos márkaépítés
Gabor Papp
 

Viewers also liked (20)

目視パケット解析入門
目視パケット解析入門目視パケット解析入門
目視パケット解析入門
 
how to decrypt SSL/TLS without PrivateKey of servers
how to decrypt SSL/TLS without PrivateKey of servershow to decrypt SSL/TLS without PrivateKey of servers
how to decrypt SSL/TLS without PrivateKey of servers
 
DNS問い合わせ結果の可視化
DNS問い合わせ結果の可視化DNS問い合わせ結果の可視化
DNS問い合わせ結果の可視化
 
クラウドハニーポットを運用しよう!
クラウドハニーポットを運用しよう!クラウドハニーポットを運用しよう!
クラウドハニーポットを運用しよう!
 
プロダクトデザインとしてのライティング
プロダクトデザインとしてのライティングプロダクトデザインとしてのライティング
プロダクトデザインとしてのライティング
 
libpgenでパケット操作
libpgenでパケット操作libpgenでパケット操作
libpgenでパケット操作
 
High Performance Networking with DPDK & Multi/Many Core
High Performance Networking with DPDK & Multi/Many CoreHigh Performance Networking with DPDK & Multi/Many Core
High Performance Networking with DPDK & Multi/Many Core
 
Windows 8 でパケットキャプチャ
Windows 8 でパケットキャプチャWindows 8 でパケットキャプチャ
Windows 8 でパケットキャプチャ
 
MvSM: 7) Co tam dávat - tvorba obsahu pro sociální média
MvSM: 7) Co tam dávat - tvorba obsahu pro sociální médiaMvSM: 7) Co tam dávat - tvorba obsahu pro sociální média
MvSM: 7) Co tam dávat - tvorba obsahu pro sociální média
 
SEO Esettanulmány: optimalizált tartalommarketing
SEO Esettanulmány: optimalizált tartalommarketingSEO Esettanulmány: optimalizált tartalommarketing
SEO Esettanulmány: optimalizált tartalommarketing
 
National hero
National heroNational hero
National hero
 
Enquête Doctipharma : Les français et la vente de médicaments sur internet
Enquête Doctipharma : Les français et la vente de médicaments sur internet Enquête Doctipharma : Les français et la vente de médicaments sur internet
Enquête Doctipharma : Les français et la vente de médicaments sur internet
 
Subsidio i.1 demanda actual
Subsidio i.1 demanda actualSubsidio i.1 demanda actual
Subsidio i.1 demanda actual
 
Facebook og søk for BRAK
Facebook og søk for BRAKFacebook og søk for BRAK
Facebook og søk for BRAK
 
Ta mnimeiaeinaigiromas167
Ta mnimeiaeinaigiromas167Ta mnimeiaeinaigiromas167
Ta mnimeiaeinaigiromas167
 
Мобилната реклама - Ефективност през таргетиране
Мобилната реклама - Ефективност през таргетиранеМобилната реклама - Ефективност през таргетиране
Мобилната реклама - Ефективност през таргетиране
 
Videómarketing szállodáknak
Videómarketing szállodáknakVideómarketing szállodáknak
Videómarketing szállodáknak
 
Homoeopathic Home Prescribing Class 18th October 2014
Homoeopathic Home Prescribing Class 18th October 2014Homoeopathic Home Prescribing Class 18th October 2014
Homoeopathic Home Prescribing Class 18th October 2014
 
Tudatos márkaépítés
Tudatos márkaépítésTudatos márkaépítés
Tudatos márkaépítés
 
YoonSeo Link
YoonSeo LinkYoonSeo Link
YoonSeo Link
 

Similar to ステートフル型のトラフィック監視ツールとDNSの監視例

これからはじめるIoTデバイス mbed入門編
これからはじめるIoTデバイス mbed入門編これからはじめるIoTデバイス mbed入門編
これからはじめるIoTデバイス mbed入門編
Naoto Tanaka
 
Shell shock事件が明らかにするあなたの組織における情報セキュリティ力
Shell shock事件が明らかにするあなたの組織における情報セキュリティ力Shell shock事件が明らかにするあなたの組織における情報セキュリティ力
Shell shock事件が明らかにするあなたの組織における情報セキュリティ力
Masafumi Oe
 
AWSでオーバーレイネットワーク ハイパフォーマンスマルチキャストの実現
AWSでオーバーレイネットワーク ハイパフォーマンスマルチキャストの実現AWSでオーバーレイネットワーク ハイパフォーマンスマルチキャストの実現
AWSでオーバーレイネットワーク ハイパフォーマンスマルチキャストの実現
Shinji Ito
 
Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今
Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今
Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今
Tomohisa Ishikawa, CISSP, CSSLP, CISA, CISM, CFE
 
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデルシスコシステムズ合同会社
 
IoTを支える(かもしれない)技術
IoTを支える(かもしれない)技術IoTを支える(かもしれない)技術
IoTを支える(かもしれない)技術
Masayuki Uchida
 
実用的な大規模ネットワークのディフェンス:あるいは「Eierlegende Wollmichsau」の保護 by Travis Carelock - CO...
実用的な大規模ネットワークのディフェンス:あるいは「Eierlegende Wollmichsau」の保護 by Travis Carelock - CO...実用的な大規模ネットワークのディフェンス:あるいは「Eierlegende Wollmichsau」の保護 by Travis Carelock - CO...
実用的な大規模ネットワークのディフェンス:あるいは「Eierlegende Wollmichsau」の保護 by Travis Carelock - CO...
CODE BLUE
 
THK_ITS #5 2010.11.13
THK_ITS #5 2010.11.13THK_ITS #5 2010.11.13
THK_ITS #5 2010.11.13Yukio NAGAO
 
Hacking Robotics
Hacking RoboticsHacking Robotics
Hacking Robotics
Kensei Demura
 
Jubatusが目指すインテリジェンス基盤
Jubatusが目指すインテリジェンス基盤Jubatusが目指すインテリジェンス基盤
Jubatusが目指すインテリジェンス基盤
Shohei Hido
 
G-study 第6回 LT4:セキュリティパッチを放置すると・・・
G-study 第6回 LT4:セキュリティパッチを放置すると・・・G-study 第6回 LT4:セキュリティパッチを放置すると・・・
G-study 第6回 LT4:セキュリティパッチを放置すると・・・
atk1234
 
20160717 csc sec_bd
20160717 csc sec_bd20160717 csc sec_bd
20160717 csc sec_bd
寛人 種市
 
Signature & Model Hybrid Platform
Signature & Model Hybrid PlatformSignature & Model Hybrid Platform
Signature & Model Hybrid Platform
YOJI WATANABE
 
Jazug信州 クラウドとデータ解析
Jazug信州  クラウドとデータ解析Jazug信州  クラウドとデータ解析
Jazug信州 クラウドとデータ解析
Tsubasa Yoshino
 
20191001 mienaichikara -invisible one-
20191001 mienaichikara -invisible one-20191001 mienaichikara -invisible one-
20191001 mienaichikara -invisible one-
Typhon 666
 
Web applicationpenetrationtest その2
Web applicationpenetrationtest その2Web applicationpenetrationtest その2
Web applicationpenetrationtest その2
Tetsuya Hasegawa
 
セキュリティ管理 入門セミナ
セキュリティ管理 入門セミナセキュリティ管理 入門セミナ
セキュリティ管理 入門セミナ
Masaaki Nabeshima
 
2013年度enPiT特設講義-iisec-2013-11-09-セキュアシステムのインターネットと SNS上での構築とその課題
2013年度enPiT特設講義-iisec-2013-11-09-セキュアシステムのインターネットとSNS上での構築とその課題2013年度enPiT特設講義-iisec-2013-11-09-セキュアシステムのインターネットとSNS上での構築とその課題
2013年度enPiT特設講義-iisec-2013-11-09-セキュアシステムのインターネットと SNS上での構築とその課題Ruo Ando
 
Pythonでパケット解析
Pythonでパケット解析Pythonでパケット解析
Pythonでパケット解析
euphoricwavism
 

Similar to ステートフル型のトラフィック監視ツールとDNSの監視例 (20)

これからはじめるIoTデバイス mbed入門編
これからはじめるIoTデバイス mbed入門編これからはじめるIoTデバイス mbed入門編
これからはじめるIoTデバイス mbed入門編
 
Shell shock事件が明らかにするあなたの組織における情報セキュリティ力
Shell shock事件が明らかにするあなたの組織における情報セキュリティ力Shell shock事件が明らかにするあなたの組織における情報セキュリティ力
Shell shock事件が明らかにするあなたの組織における情報セキュリティ力
 
AWSでオーバーレイネットワーク ハイパフォーマンスマルチキャストの実現
AWSでオーバーレイネットワーク ハイパフォーマンスマルチキャストの実現AWSでオーバーレイネットワーク ハイパフォーマンスマルチキャストの実現
AWSでオーバーレイネットワーク ハイパフォーマンスマルチキャストの実現
 
Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今
Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今
Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今
 
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
 
IoTを支える(かもしれない)技術
IoTを支える(かもしれない)技術IoTを支える(かもしれない)技術
IoTを支える(かもしれない)技術
 
実用的な大規模ネットワークのディフェンス:あるいは「Eierlegende Wollmichsau」の保護 by Travis Carelock - CO...
実用的な大規模ネットワークのディフェンス:あるいは「Eierlegende Wollmichsau」の保護 by Travis Carelock - CO...実用的な大規模ネットワークのディフェンス:あるいは「Eierlegende Wollmichsau」の保護 by Travis Carelock - CO...
実用的な大規模ネットワークのディフェンス:あるいは「Eierlegende Wollmichsau」の保護 by Travis Carelock - CO...
 
THK_ITS #5 2010.11.13
THK_ITS #5 2010.11.13THK_ITS #5 2010.11.13
THK_ITS #5 2010.11.13
 
Hacking Robotics
Hacking RoboticsHacking Robotics
Hacking Robotics
 
Jubatusが目指すインテリジェンス基盤
Jubatusが目指すインテリジェンス基盤Jubatusが目指すインテリジェンス基盤
Jubatusが目指すインテリジェンス基盤
 
G-study 第6回 LT4:セキュリティパッチを放置すると・・・
G-study 第6回 LT4:セキュリティパッチを放置すると・・・G-study 第6回 LT4:セキュリティパッチを放置すると・・・
G-study 第6回 LT4:セキュリティパッチを放置すると・・・
 
20160717 csc sec_bd
20160717 csc sec_bd20160717 csc sec_bd
20160717 csc sec_bd
 
Signature & Model Hybrid Platform
Signature & Model Hybrid PlatformSignature & Model Hybrid Platform
Signature & Model Hybrid Platform
 
Azureでデータ解析
Azureでデータ解析Azureでデータ解析
Azureでデータ解析
 
Jazug信州 クラウドとデータ解析
Jazug信州  クラウドとデータ解析Jazug信州  クラウドとデータ解析
Jazug信州 クラウドとデータ解析
 
20191001 mienaichikara -invisible one-
20191001 mienaichikara -invisible one-20191001 mienaichikara -invisible one-
20191001 mienaichikara -invisible one-
 
Web applicationpenetrationtest その2
Web applicationpenetrationtest その2Web applicationpenetrationtest その2
Web applicationpenetrationtest その2
 
セキュリティ管理 入門セミナ
セキュリティ管理 入門セミナセキュリティ管理 入門セミナ
セキュリティ管理 入門セミナ
 
2013年度enPiT特設講義-iisec-2013-11-09-セキュアシステムのインターネットと SNS上での構築とその課題
2013年度enPiT特設講義-iisec-2013-11-09-セキュアシステムのインターネットとSNS上での構築とその課題2013年度enPiT特設講義-iisec-2013-11-09-セキュアシステムのインターネットとSNS上での構築とその課題
2013年度enPiT特設講義-iisec-2013-11-09-セキュアシステムのインターネットと SNS上での構築とその課題
 
Pythonでパケット解析
Pythonでパケット解析Pythonでパケット解析
Pythonでパケット解析
 

ステートフル型のトラフィック監視ツールとDNSの監視例

  • 2. 自己紹介  水谷正慶(@m_mizutani)  Background  Specialty: Network monitoring, IDS/IPS, anti-malware  Snort, libpcap, malwareと付き合い続けた学生時代  Favorite: Online gaming (World of Warcraft, Starcraft, etc)  Current Job: Research staff, IBM Japan  Could, Cyber Security  Related to SIEM, SOC, Cloud products, etc
  • 3. はじめに  ネットワーク監視でリッチな情報がとりたい  MRTGだと流量など以外の情報がおえない  nflowでもかなりの情報が落ちてしまう  フルダンプしておくのも結構つらい(と思う)  パケットという単語から文脈に直して読みたい  パケット単位ならいろいろある  例:Dsc: A DNS Statistics Collector  目的  ネットワークのデバッグ  セキュリティフォレンジクス
  • 4. Devourer  ステートフルな情報を持つパケット監視ツール  Devourer【名詞】がつがつと、または貪欲に食 べる人(Weblio http://ejje.weblio.jp/content/devourer より)  ステートフルな情報を保持:セッション、フ ロー、キャッシュ、トランザクション、etc  今のところDNSのトランザクションのみ監視  開発  Github: https://github.com/m-mizutani/devourer  C++ & libpcap, libev, msgpack (output to fluentd)
  • 5. 構成例 Devourer (packet monitor) Port mirroring Fluentd Influxdb TCP Saving records Grafana Web b rowser Network traffic Administrator http://qiita.com/m_mizutani/items/af30b87721a70d5290fa
  • 6. できること  DNSクエリの応答時間が取得できる  DNSサーバのデバッグ  DNSクエリがどこで遅延しているかの特定  クエリのタイムアウト数のカウント  クエリがない応答の発見  キャッシュポイゾニング攻撃の検知  (ステート関係ないけど)問い合わせ結果ログ  問い合わせ名、レコード種別、問い合わせ結果  フォレンジクス、問い合わせ名のトレース
  • 7. DNSクエリの応答時間をグラフ化  100ms未満、1000ms未満、1000ms以上で分類  そこそこ1000ms以上かかっているクエリもある 自宅ネットワークより
  • 8. クエリの結果をグラフ化  Status毎にグラフ化  Success: 同一セッション+トランザクションIDで返答あり  Timeout: タイムアウト(現在は60秒設定)  Miss: 観測されていないクエリに対する応答 http://ictf.cs.ucsb.edu/data/ictf2010/ictf2010pcap.tar.gz より
  • 9. Available on Elasticsearch + Kibana  Fluentdのモジュールを追加して宛先を増やせばいいだけ  モニタリングだけではなく調査やデバッグもやりたいな らこちらの組み合わせのほうが便利
  • 10. Performance  実験環境  i7 2.3GHz / SSDディスクより読み込み  DNSパケットのみの場合  約85,000 pps  通常パケットも含むトラフィックの場合  約923,000 pps, 約3.284Gbps  http://ictf.cs.ucsb.edu/data/ictf2010/ictf2010pcap.t ar.gz の一部で計測  DNSパケットは全体の約6.8%
  • 11. 今後できそうなこと  以下のような値を取れるようになる見込み  フロー毎のIPフラグメンテーション数  TCPセッションのlatency(segmentとackの組み合 わせによる)  TCPセッションのpacket loss rate(ackの再送を利 用)  httpのリクエストと応答の組合せ  httpsで使われているcipher suiteの種類
  • 12. ご清聴ありがとうございました  ご意見歓迎です  そういうツールはもうあるよ!  そういう目的では使わないよ!  こういう目的だったら使えるかも!