ダークネットのはなし #ssmjp

ダークネットのはなし
2015/02/20 ssmjp
sonickun
1ssmjp2015/2/20

自己紹介
 HN: sonickun (@y_hag)
 大学4年生
 研究: ネットワーク＆セキュリティ
 CTF: チーム”m1z0r3”
 ブログ：sonickun.log
http://sonickun.hatenablog.com/
2ssmjp2015/2/20

目次
 ダークネットとは？
 ダークネットで振り返る2014年
3ssmjp2015/2/20

“ダークネット”とは？
http://www.canon-elec.co.jp/products/security/sitevisor/index.html
4ssmjp2015/2/20

ダークネットの定義
5ssmjp2015/2/20

ダークネットの定義
インターネット上で
到達可能かつ
未使用の
IPアドレス空間
6ssmjp2015/2/20

ダークネットの特徴
外部からのアクセスに対して
一切のレスポンスを返さない
ssmjp 7
IPアドレス空間
割り当て
済
未割り当て
双方向
片方向
ダークネット
2015/2/20

ダークネットのいま
ssmjp 8
IPv4 アドレス空間マップ
引用：Dainotti, A., Benson, K., King, A., claffy, k. , Kallitsis, M., Glatz, E., and Dimitropoulos,X.,
“Estimating Internet address space usage through passive measurements”
ライブネット
ダークネット
経路なし
In ACM SIGCOMM Computer Communication Review (CCR) (2014)
2015/2/20

ダークネットのいま
ssmjp 9
IPv4 アドレス空間マップ
In ACM SIGCOMM Computer Communication Review (CCR) (2014)
ライブネット
ダークネット
経路なし
全IPv4アドレスの53.7％が
ダークネット or 経路なし
2015/2/20

ダークネットの通信
ssmjp 10
Q.
未割り当てのIPアドレスだから外部からの
アクセスはほとんど来ない…？
2015/2/20

Q.
未割り当てのIPアドレスだから外部からの
アクセスはほとんど来ない…？
ssmjp 11
答えは NO!!!
2015/2/20

ダークネットには不正な行為・活動に起因するパケットが
多く到達する
 攻撃者やマルウェアによるスキャン(脆弱ホストの探索)
 ワームやウイルスの自己拡散
 ランダムに偽造した送信元からのDDoS攻撃の跳ね返り
パケット
 様々なボットネットの活動
 コンピュータの設定ミスによる通信
 などなど…
ssmjp 122015/2/20

ssmjp 13
Scan
Darknet
2015/2/20

ダークネットとセキュリティ
ssmjp 14
ダークネットに届く通信のほとんどは悪性なもの…
ダークネットの通信を分析することで，
サイバー攻撃やマルウェア感染の俯瞰的な傾向を
リアルタイムに捉えることができる！
2015/2/20

例えば
ssmjp 15
リフレクター攻撃のバックスキャッタ
＆
DNSのオープンリゾルバを探索するスキャン通信が増加
DNSのリフレクター攻撃が世界的に増加
ダークネットのDNS通信が増加
2015/2/20

ダークネット vs ハニーポット
ssmjp 16
レスポンスを返さない
 広範囲に影響を与える
攻撃の把握に役立つ
攻撃者に気付かれるこ
とはない
被攻撃のリスク低
運用が楽
レスポンスを返す
攻撃の振る舞いを分析
するのに役立つ
攻撃者に気付かれるこ
とがある
被攻撃のリスク高
運用が大変
2015/2/20

センサとしてのダークネット
ssmjp 17
ダークネット観測に基づく不正ホスト検知システム
“DAEDALUS”
引用：
鈴木未央, 井上大介, 大規模ダークネット観測に基づくアラートシステム DAEDALUS
http://www.nict.go.jp/publication/shuppan/kihou-journal/kihou-vol57no3_4/kihou-vol57no3-4_0205.pdf
2015/2/20

小休憩…
ssmjp 18
Any Question… ?
2015/2/20

ssmjp 19
ダークネットで振り返る2014年
2015/2/20

データについて
ssmjp 20
NICTER Darknet Dataset 2014
• 情報通信研究機構により提供された通信(pcap)データ
• 4096個(/20)の連続したダークネット
• 収集期間は2014/01/01/~2014/12/31
NICTER Darknet Dataset 2014 / NONSTOP:
http://www.iwsec.org/mws/2014/files/NICTER_Darknet_Dataset_2014.pdf
2015/2/20

2014年
ssmjp 21
＜総パケット数＞
＜総IPアドレス数＞
442,643,010
8,596,864
2015/2/20

2014年
ssmjp 22
＜総パケット数＞
＜総IPアドレス数＞
442,643,010
8,596,864
1日につき1IP
に対して
約296パケット
1日につき1IP
に対して
約6ホスト
2015/2/20

宛先ポート
ssmjp 23
ポート番号サービスパケット数
23/TCP TELNET 56,649,873
22/TCP SSH 32,927,433
1433/TCP MSSQL 15,562,753
80/TCP HTTP 13,882,553
3389/TCP RDP 12,745,960
8080/TCP HTTP alt. 11,625,204
5000/TCP UPnP 10,259,346
443/TCP HTTPS 7,184,185
53/UDP DNS 6,053,237
445/TCP SMB 5,263,257
2015/2/20
ダークネットにおける主な宛先ポート

ssmjp 24
NTP
123/UDP
HTTPS
443/TCP
TELNET
23/TCP
DNS
53/UDP
2015/2/20

ssmjp 25
NTP
123/UDP
HTTPS
443/TCP
TELNET
23/TCP
DNS
53/UDP
2015/2/20

NTP
 NTP (Network Time Protocol)
 NTP amp 攻撃が世界的に増加
 2014年2月11日、Evernoteを標的とした攻撃がDDoS攻撃の世
界記録(400Gbps)を樹立
http://www.pcmag.com/article2/0,2817,2453157,00.asp
 2014年9月18日、16歳高校生がゲーム会社のサーバを攻撃し、
電子計算機損壊等業務妨害の疑いで書類送検
http://www.asahi.com/articles/ASG9L365YG9LUTIL007.html
ssmjp 262015/2/20

ダークネットのNTP通信
ssmjp 27
2014年2013年
パケット数
ホスト数
2015/2/20

ダークネットのNTP通信
ssmjp 28
2014年2013年
パケット数
ホスト数
• 2014年からアクセスが増加
• 増幅率が大きな”mode7”コ
ントロールメッセージが
ターゲット
2015/2/20

ssmjp 29
NTP
123/UDP
HTTPS
443/TCP
TELNET
23/TCP
DNS
53/UDP
2015/2/20

DNS
 DNS amp 攻撃
 2014年8月2日読売新聞一面
 「ルーター攻撃ネット障害」
 バッファロー製ルーターがオープ
ンリゾルバになっていた
 OCN(約815万世帯)で40分に渡り
ネットワーク障害
ssmjp 30
参考：
http://internet.watch.impress.co.jp/
docs/news/20140804_660902.html
2015/2/20

ダークネットのDNS通信
ssmjp 31
53/UDPポートに通信を行った一日ごとのホスト数(1月～8月)
2015/2/20

ssmjp 32
送信元ホストの国の内訳
2015/2/20

ssmjp 33
送信元ホストの国の内訳
中国
・Baiduからの
スキャン通信
・送信先IPアド
レスを分担
アメリカ
・ISPのホスト
からのスキャン
2015/2/20

ssmjp 34
ドメインパケット数備考
dnsscan.shadowserver.org 774,248 Shadowserver
www.jrdga.info 521,542
www.google.com 447,000 Google
VERSION.BIND 433,005 BINDのバージョン問合わせ
www.google.it 378,381 Google
wwww.jrdga.info 374,297
com 296,744
isc.org 188,528 ISC (Internet Systems Consortium)
webpanel.sk 106,165
wradish.com 99,178
主な問い合わせドメイン
2015/2/20

ssmjp 35
NTP
123/UDP
HTTPS
443/TCP
TELNET
23/TCP
DNS
53/UDP
2015/2/20

HTTPS
 HeartBleed
 OpenSSLの重大な脆弱性
 2014年4月7日発表
 CVE-2014-0160
http://jvndb.jvn.jp/ja/contents
/2014/JVNDB-2014-001920.html
ssmjp 362015/2/20

ダークネットのHTTPS通信
ssmjp 37
4月(HeartBleedが発表された月)の一時間ごとのホスト数
2015/2/20

ダークネットのHTTPS通信
ssmjp 38
4月(HeartBleedが発表された月)の一時間ごとのホスト数
• 1日毎に周期的にア
クセスが増加
• ミシガン大学による
サーベイ目的のス
キャン通信[※]
• Zmapを使用
[※] Durumeric, Z., Bailey, M., and Halderman, J. A., “An Internet-Wide View of
Internet-Wide Scanning”, in 23rd USENIX Security Symposium. (2014)
2015/2/20

ssmjp 39
NTP
123/UDP
HTTPS
443/TCP
TELNET
23/TCP
DNS
53/UDP
2015/2/20

TELNET
 ルータやWebカメラ等の組み込みシステムが攻撃の標的
となる
 2014年7月下旬頃から宛先ポート23/TCP に対するアク
セスが増加
• ネットワーク接続機器を踏み台にしたスキャン行為が行われて
いる可能性
• 警察庁の報告(http://scan.netsecurity.ne.jp/article/2014/08/29/34745.html)
ssmjp 402015/2/20

ダークネットのTELNET通信
ssmjp 41
23/TCPに通信を行った一日ごとのパケット数(4月～8月)
Packets
2015/2/20

p0f
ssmjp 42
p0f (Passive OS Fingerprint)
―パケットのヘッダ情報を元に送信元のOSを推定する
OSの判別に用いるシグネチャの例
•Window Size
•IPパケットサイズ
•初期TTL
•ack flag
•DF flag
•MSS
•Window Scaling
•Time Stamp値
•Selective ACK の可否
•NOP (No Operation)の数と並び
•EOL (End of Option List)の利用
•その他のTCPオプション
•0であるべきフィールドのチェック
p0f v3 (version 3.08b)：http://lcamtuf.coredump.cx/p0f3/
2015/2/20

ssmjp 43
送信元ホストのOSの内訳
Packets
2015/2/20

ssmjp 44
送信元ホストのOSの内訳
• Linux 2.4系がほとんど
• 組み込みシステムの多
くはLinuxで動作する
Packets
2015/2/20

まとめ
 ダークネットとは到達可能かつ未使用のIPアドレス空間
のこと
 ダークネットのトラフィックを分析することでサイバー
攻撃の大局的な傾向を把握することができる
 2014年に起こった世界的なセキュリティインシデント
の多くはダークネットにおいても観測されている
ssmjp 452015/2/20

謝辞
 発表の場を与えてくださったssmjpの皆様に感謝いたし
ます
 ダークネットのデータセットを提供していただいた情報
通信研究機構ネットワークセキュリティ研究所サイバー
セキュリティ研究室の皆様に感謝いたします
ssmjp 462015/2/20

参考
 ダークネットの基礎知識 – sonickun.log
http://sonickun.hatenablog.com/entry/2014/06/11/233859
ssmjp 472015/2/20

ダークネットのはなし #ssmjp

More Related Content

What's hot

Viewers also liked

ダークネットのはなし #ssmjp