Mizutani Masayoshi, profile picture
Uploaded byMizutani Masayoshi
PPTX, PDF2,495 views

ステートフル型のトラフィック監視ツールとDNSの監視例

第22回「ネットワーク パケットを読む会(仮)」にて発表した資料です

Embed presentation

Downloaded 18 times
 ステートフル型のトラフィック監視ツールとDNSの監視例 水谷正慶(@m_mizutani)
自己紹介  水谷正慶(@m_mizutani)  Background  Specialty: Network monitoring, IDS/IPS, anti-malware  Snort, libpcap, malwareと付き合い続けた学生時代  Favorite: Online gaming (World of Warcraft, Starcraft, etc)  Current Job: Research staff, IBM Japan  Could, Cyber Security  Related to SIEM, SOC, Cloud products, etc
はじめに  ネットワーク監視でリッチな情報がとりたい  MRTGだと流量など以外の情報がおえない  nflowでもかなりの情報が落ちてしまう  フルダンプしておくのも結構つらい(と思う)  パケットという単語から文脈に直して読みたい  パケット単位ならいろいろある  例:Dsc: A DNS Statistics Collector  目的  ネットワークのデバッグ  セキュリティフォレンジクス
Devourer  ステートフルな情報を持つパケット監視ツール  Devourer【名詞】がつがつと、または貪欲に食 べる人(Weblio http://ejje.weblio.jp/content/devourer より)  ステートフルな情報を保持:セッション、フ ロー、キャッシュ、トランザクション、etc  今のところDNSのトランザクションのみ監視  開発  Github: https://github.com/m-mizutani/devourer  C++ & libpcap, libev, msgpack (output to fluentd)
構成例 Devourer (packet monitor) Port mirroring Fluentd Influxdb TCP Saving records Grafana Web b rowser Network traffic Administrator http://qiita.com/m_mizutani/items/af30b87721a70d5290fa
できること  DNSクエリの応答時間が取得できる  DNSサーバのデバッグ  DNSクエリがどこで遅延しているかの特定  クエリのタイムアウト数のカウント  クエリがない応答の発見  キャッシュポイゾニング攻撃の検知  (ステート関係ないけど)問い合わせ結果ログ  問い合わせ名、レコード種別、問い合わせ結果  フォレンジクス、問い合わせ名のトレース
DNSクエリの応答時間をグラフ化  100ms未満、1000ms未満、1000ms以上で分類  そこそこ1000ms以上かかっているクエリもある 自宅ネットワークより
クエリの結果をグラフ化  Status毎にグラフ化  Success: 同一セッション+トランザクションIDで返答あり  Timeout: タイムアウト(現在は60秒設定)  Miss: 観測されていないクエリに対する応答 http://ictf.cs.ucsb.edu/data/ictf2010/ictf2010pcap.tar.gz より
Available on Elasticsearch + Kibana  Fluentdのモジュールを追加して宛先を増やせばいいだけ  モニタリングだけではなく調査やデバッグもやりたいな らこちらの組み合わせのほうが便利
Performance  実験環境  i7 2.3GHz / SSDディスクより読み込み  DNSパケットのみの場合  約85,000 pps  通常パケットも含むトラフィックの場合  約923,000 pps, 約3.284Gbps  http://ictf.cs.ucsb.edu/data/ictf2010/ictf2010pcap.t ar.gz の一部で計測  DNSパケットは全体の約6.8%
今後できそうなこと  以下のような値を取れるようになる見込み  フロー毎のIPフラグメンテーション数  TCPセッションのlatency(segmentとackの組み合 わせによる)  TCPセッションのpacket loss rate(ackの再送を利 用)  httpのリクエストと応答の組合せ  httpsで使われているcipher suiteの種類
ご清聴ありがとうございました  ご意見歓迎です  そういうツールはもうあるよ!  そういう目的では使わないよ!  こういう目的だったら使えるかも!

More Related Content

PPTX
NW_#secccamp
byRyo Furuoto
 
PDF
Wireshark だけに頼らない! パケット解析ツールの紹介
bymorihisa
 
PPTX
Fast forensics(公開用)
byf kasasagi
 
PPTX
IoT診断入門
by黒 林檎
 
PDF
IoTSecJP
by黒 林檎
 
PPTX
続・IoT診断
by黒 林檎
 
PPTX
高田研冬合宿(竹内昌憲)
by昌憲 竹内
 
PPT
デジタルフォレンジック入門
byUEHARA, Tetsutaro
 
NW_#secccamp
byRyo Furuoto
 
Wireshark だけに頼らない! パケット解析ツールの紹介
bymorihisa
 
Fast forensics(公開用)
byf kasasagi
 
IoT診断入門
by黒 林檎
 
IoTSecJP
by黒 林檎
 
続・IoT診断
by黒 林檎
 
高田研冬合宿(竹内昌憲)
by昌憲 竹内
 
デジタルフォレンジック入門
byUEHARA, Tetsutaro
 

What's hot

PDF
実践イカパケット解析α
byYuki Mizuno
 
PPT
Gpuクラスタクラウドによる暗号解析
byJun Morimoto
 
PPTX
セキュリティを学ぼう~Ctfを添えて~
byTakumi Ishibashi
 
PDF
続・わかりやすいパターン認識_3章
byweda654
 
PDF
Ids ips
byShigekazu Takei
 
PDF
クラウドを支えるこれからの暗号技術
byMITSUNARI Shigeo
 
PPT
Multipeer connectivity_エスキュービズム勉強会0523
byエンジニア勉強会 エスキュービズム
 
PDF
IDベース暗号の概観と今後の展望(次世代セキュア情報基盤ワークショップ )
byAkira Kanaoka
 
PDF
第三回IoT関連技術勉強会 データ通信編
bytzm_freedom
 
PPTX
20190710 ysmatsud
byysma tsud
 
PDF
Juliaで前処理
byweda654
 
PDF
OSやアプリを問わず装着するだけで重要データを防御するセキュリティバリアデバイス by 戸田 賢二
byCODE BLUE
 
PDF
タコスで機械学習 Python編
byHiroto Yamatsuka
 
PPTX
パスワードが漏れるまで
byServerworks Co.,Ltd.
 
PPTX
[DL輪読会]Abstractive Summarization of Reddit Posts with Multi-level Memory Netw...
byDeep Learning JP
 
実践イカパケット解析α
byYuki Mizuno
 
Gpuクラスタクラウドによる暗号解析
byJun Morimoto
 
セキュリティを学ぼう~Ctfを添えて~
byTakumi Ishibashi
 
続・わかりやすいパターン認識_3章
byweda654
 
Ids ips
byShigekazu Takei
 
クラウドを支えるこれからの暗号技術
byMITSUNARI Shigeo
 
Multipeer connectivity_エスキュービズム勉強会0523
byエンジニア勉強会 エスキュービズム
 
IDベース暗号の概観と今後の展望(次世代セキュア情報基盤ワークショップ )
byAkira Kanaoka
 
第三回IoT関連技術勉強会 データ通信編
bytzm_freedom
 
20190710 ysmatsud
byysma tsud
 
Juliaで前処理
byweda654
 
OSやアプリを問わず装着するだけで重要データを防御するセキュリティバリアデバイス by 戸田 賢二
byCODE BLUE
 
タコスで機械学習 Python編
byHiroto Yamatsuka
 
パスワードが漏れるまで
byServerworks Co.,Ltd.
 
[DL輪読会]Abstractive Summarization of Reddit Posts with Multi-level Memory Netw...
byDeep Learning JP
 

Viewers also liked

PPTX
目視パケット解析入門
by彰 村地
 
PDF
how to decrypt SSL/TLS without PrivateKey of servers
by@ otsuka752
 
PDF
DNS問い合わせ結果の可視化
byMizutani Masayoshi
 
PPTX
クラウドハニーポットを運用しよう!
byMizutani Masayoshi
 
PDF
プロダクトデザインとしてのライティング
byProfessional University of Information and Management for Innovation (情報経営イノベーション専門職大学)
 
PDF
libpgenでパケット操作
byslankdev
 
PDF
High Performance Networking with DPDK & Multi/Many Core
byslankdev
 
PPTX
Windows 8 でパケットキャプチャ
by彰 村地
 
PDF
MvSM: 7) Co tam dávat - tvorba obsahu pro sociální média
byMatez Jindra
 
PPTX
SEO Esettanulmány: optimalizált tartalommarketing
byGabor Papp
 
PPT
National hero
byNatalia Orlyk
 
PPTX
Enquête Doctipharma : Les français et la vente de médicaments sur internet
byDoctipharma
 
PPTX
Subsidio i.1 demanda actual
byUpaep Online
 
PDF
Facebook og søk for BRAK
byEspen Grimmert
 
PDF
Ta mnimeiaeinaigiromas167
byTassos Karampinis
 
PDF
Мобилната реклама - Ефективност през таргетиране
byDigital Agency Interactive Share
 
PPTX
Videómarketing szállodáknak
byTamás A.
 
PDF
Homoeopathic Home Prescribing Class 18th October 2014
byOwen Homoeopathics
 
PPTX
Tudatos márkaépítés
byGabor Papp
 
PDF
YoonSeo Link
byyoonseolink
 
目視パケット解析入門
by彰 村地
 
how to decrypt SSL/TLS without PrivateKey of servers
by@ otsuka752
 
DNS問い合わせ結果の可視化
byMizutani Masayoshi
 
クラウドハニーポットを運用しよう!
byMizutani Masayoshi
 
プロダクトデザインとしてのライティング
byProfessional University of Information and Management for Innovation (情報経営イノベーション専門職大学)
 
libpgenでパケット操作
byslankdev
 
High Performance Networking with DPDK & Multi/Many Core
byslankdev
 
Windows 8 でパケットキャプチャ
by彰 村地
 
MvSM: 7) Co tam dávat - tvorba obsahu pro sociální média
byMatez Jindra
 
SEO Esettanulmány: optimalizált tartalommarketing
byGabor Papp
 
National hero
byNatalia Orlyk
 
Enquête Doctipharma : Les français et la vente de médicaments sur internet
byDoctipharma
 
Subsidio i.1 demanda actual
byUpaep Online
 
Facebook og søk for BRAK
byEspen Grimmert
 
Ta mnimeiaeinaigiromas167
byTassos Karampinis
 
Мобилната реклама - Ефективност през таргетиране
byDigital Agency Interactive Share
 
Videómarketing szállodáknak
byTamás A.
 
Homoeopathic Home Prescribing Class 18th October 2014
byOwen Homoeopathics
 
Tudatos márkaépítés
byGabor Papp
 
YoonSeo Link
byyoonseolink
 

ステートフル型のトラフィック監視ツールとDNSの監視例

  • 1.
  • 2.
    自己紹介  水谷正慶(@m_mizutani)  Background  Specialty: Network monitoring, IDS/IPS, anti-malware  Snort, libpcap, malwareと付き合い続けた学生時代  Favorite: Online gaming (World of Warcraft, Starcraft, etc)  Current Job: Research staff, IBM Japan  Could, Cyber Security  Related to SIEM, SOC, Cloud products, etc
  • 3.
    はじめに  ネットワーク監視でリッチな情報がとりたい  MRTGだと流量など以外の情報がおえない  nflowでもかなりの情報が落ちてしまう  フルダンプしておくのも結構つらい(と思う)  パケットという単語から文脈に直して読みたい  パケット単位ならいろいろある  例:Dsc: A DNS Statistics Collector  目的  ネットワークのデバッグ  セキュリティフォレンジクス
  • 4.
    Devourer  ステートフルな情報を持つパケット監視ツール  Devourer【名詞】がつがつと、または貪欲に食 べる人(Weblio http://ejje.weblio.jp/content/devourer より)  ステートフルな情報を保持:セッション、フ ロー、キャッシュ、トランザクション、etc  今のところDNSのトランザクションのみ監視  開発  Github: https://github.com/m-mizutani/devourer  C++ & libpcap, libev, msgpack (output to fluentd)
  • 5.
    構成例 Devourer (packet monitor) Port mirroring Fluentd Influxdb TCP Saving records Grafana Web b rowser Network traffic Administrator http://qiita.com/m_mizutani/items/af30b87721a70d5290fa
  • 6.
    できること  DNSクエリの応答時間が取得できる  DNSサーバのデバッグ  DNSクエリがどこで遅延しているかの特定  クエリのタイムアウト数のカウント  クエリがない応答の発見  キャッシュポイゾニング攻撃の検知  (ステート関係ないけど)問い合わせ結果ログ  問い合わせ名、レコード種別、問い合わせ結果  フォレンジクス、問い合わせ名のトレース
  • 7.
    DNSクエリの応答時間をグラフ化  100ms未満、1000ms未満、1000ms以上で分類  そこそこ1000ms以上かかっているクエリもある 自宅ネットワークより
  • 8.
    クエリの結果をグラフ化  Status毎にグラフ化  Success: 同一セッション+トランザクションIDで返答あり  Timeout: タイムアウト(現在は60秒設定)  Miss: 観測されていないクエリに対する応答 http://ictf.cs.ucsb.edu/data/ictf2010/ictf2010pcap.tar.gz より
  • 9.
    Available on Elasticsearch+ Kibana  Fluentdのモジュールを追加して宛先を増やせばいいだけ  モニタリングだけではなく調査やデバッグもやりたいな らこちらの組み合わせのほうが便利
  • 10.
    Performance  実験環境  i7 2.3GHz / SSDディスクより読み込み  DNSパケットのみの場合  約85,000 pps  通常パケットも含むトラフィックの場合  約923,000 pps, 約3.284Gbps  http://ictf.cs.ucsb.edu/data/ictf2010/ictf2010pcap.t ar.gz の一部で計測  DNSパケットは全体の約6.8%
  • 11.
    今後できそうなこと  以下のような値を取れるようになる見込み  フロー毎のIPフラグメンテーション数  TCPセッションのlatency(segmentとackの組み合 わせによる)  TCPセッションのpacket loss rate(ackの再送を利 用)  httpのリクエストと応答の組合せ  httpsで使われているcipher suiteの種類
  • 12.
    ご清聴ありがとうございました  ご意見歓迎です  そういうツールはもうあるよ!  そういう目的では使わないよ!  こういう目的だったら使えるかも!