Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

ダークネットのはなし #ssmjp

21,751 views

Published on

2015年2月20日のssmjpで発表したスライドです.

Published in: Technology
  • Be the first to comment

ダークネットのはなし #ssmjp

  1. 1. ダークネットのはなし 2015/02/20 ssmjp sonickun 1ssmjp2015/2/20
  2. 2. 自己紹介  HN: sonickun (@y_hag)  大学4年生  研究: ネットワーク&セキュリティ  CTF: チーム”m1z0r3”  ブログ:sonickun.log http://sonickun.hatenablog.com/ 2ssmjp2015/2/20
  3. 3. 目次  ダークネットとは?  ダークネットで振り返る2014年 3ssmjp2015/2/20
  4. 4. “ダークネット”とは? http://www.canon-elec.co.jp/products/security/sitevisor/index.html 4ssmjp2015/2/20
  5. 5. ダークネットの定義 5ssmjp2015/2/20
  6. 6. ダークネットの定義 インターネット上で 到達可能かつ 未使用の IPアドレス空間 6ssmjp2015/2/20
  7. 7. ダークネットの特徴 外部からのアクセスに対して 一 切 の レ ス ポ ン ス を 返 さ な い ssmjp 7 IPアドレス空間 割り当て 済 未割り当て 双方向 片方向 ダークネット 2015/2/20
  8. 8. ダークネットのいま ssmjp 8 IPv4 アドレス空間マップ 引用:Dainotti, A., Benson, K., King, A., claffy, k. , Kallitsis, M., Glatz, E., and Dimitropoulos,X., “Estimating Internet address space usage through passive measurements” ライブネット ダークネット 経路なし 引用:Dainotti, A., Benson, K., King, A., claffy, k. , Kallitsis, M., Glatz, E., and Dimitropoulos,X., “Estimating Internet address space usage through passive measurements” In ACM SIGCOMM Computer Communication Review (CCR) (2014) 2015/2/20
  9. 9. ダークネットのいま ssmjp 9 IPv4 アドレス空間マップ 引用:Dainotti, A., Benson, K., King, A., claffy, k. , Kallitsis, M., Glatz, E., and Dimitropoulos,X., “Estimating Internet address space usage through passive measurements” In ACM SIGCOMM Computer Communication Review (CCR) (2014) ライブネット ダークネット 経路なし 全IPv4アドレスの53.7%が ダークネット or 経路なし 2015/2/20
  10. 10. ダークネットの通信 ssmjp 10 Q. 未割り当てのIPアドレスだから外部からの アクセスはほとんど来ない…? 2015/2/20
  11. 11. ダークネットの通信 Q. 未割り当てのIPアドレスだから外部からの アクセスはほとんど来ない…? ssmjp 11 答えは NO!!! 2015/2/20
  12. 12. ダークネットの通信 ダークネットには不正な行為・活動に起因するパケットが 多く到達する  攻撃者やマルウェアによるスキャン(脆弱ホストの探索)  ワームやウイルスの自己拡散  ランダムに偽造した送信元からのDDoS攻撃の跳ね返り パケット  様々なボットネットの活動  コンピュータの設定ミスによる通信  などなど… ssmjp 122015/2/20
  13. 13. ダークネットの通信 ssmjp 13 Scan Darknet 2015/2/20
  14. 14. ダークネットとセキュリティ ssmjp 14 ダークネットに届く通信のほとんどは悪性なもの… ダークネットの通信を分析することで, サイバー攻撃やマルウェア感染の俯瞰的な傾向を リアルタイムに捉えることができる! 2015/2/20
  15. 15. 例えば ssmjp 15 リフレクター攻撃のバックスキャッタ & DNSのオープンリゾルバを探索するスキャン通信が増加 DNSのリフレクター攻撃が世界的に増加 ダークネットのDNS通信が増加 2015/2/20
  16. 16. ダークネット vs ハニーポット ssmjp 16 レスポンスを返さない  広範囲に影響を与える 攻撃の把握に役立つ 攻撃者に気付かれるこ とはない 被攻撃のリスク低 運用が楽 レスポンスを返す 攻撃の振る舞いを分析 するのに役立つ 攻撃者に気付かれるこ とがある 被攻撃のリスク高 運用が大変 2015/2/20
  17. 17. センサとしてのダークネット ssmjp 17 ダークネット観測に基づく不正ホスト検知システム “DAEDALUS” 引用: 鈴木未央, 井上大介, 大規模ダークネット観測に基づくアラートシステム DAEDALUS http://www.nict.go.jp/publication/shuppan/kihou-journal/kihou-vol57no3_4/kihou-vol57no3-4_0205.pdf 2015/2/20
  18. 18. 小休憩… ssmjp 18 Any Question… ? 2015/2/20
  19. 19. ssmjp 19 ダークネットで振り返る2014年 2015/2/20
  20. 20. データについて ssmjp 20 NICTER Darknet Dataset 2014 • 情報通信研究機構により提供された通信(pcap)データ • 4096個(/20)の連続したダークネット • 収集期間は2014/01/01/~2014/12/31 NICTER Darknet Dataset 2014 / NONSTOP: http://www.iwsec.org/mws/2014/files/NICTER_Darknet_Dataset_2014.pdf 2015/2/20
  21. 21. 2014年 ssmjp 21 <総パケット数> <総IPアドレス数> 442,643,010 8,596,864 2015/2/20
  22. 22. 2014年 ssmjp 22 <総パケット数> <総IPアドレス数> 442,643,010 8,596,864 1日につき1IP に対して 約296パケット 1日につき1IP に対して 約6ホスト 2015/2/20
  23. 23. 宛先ポート ssmjp 23 ポート番号 サービス パケット数 23/TCP TELNET 56,649,873 22/TCP SSH 32,927,433 1433/TCP MSSQL 15,562,753 80/TCP HTTP 13,882,553 3389/TCP RDP 12,745,960 8080/TCP HTTP alt. 11,625,204 5000/TCP UPnP 10,259,346 443/TCP HTTPS 7,184,185 53/UDP DNS 6,053,237 445/TCP SMB 5,263,257 2015/2/20 ダークネットにおける主な宛先ポート
  24. 24. ダークネットで振り返る2014年 ssmjp 24 NTP 123/UDP HTTPS 443/TCP TELNET 23/TCP DNS 53/UDP 2015/2/20
  25. 25. ダークネットで振り返る2014年 ssmjp 25 NTP 123/UDP HTTPS 443/TCP TELNET 23/TCP DNS 53/UDP 2015/2/20
  26. 26. NTP  NTP (Network Time Protocol)  NTP amp 攻撃 が世界的に増加  2014年2月11日、Evernoteを標的とした攻撃がDDoS攻撃の世 界記録(400Gbps)を樹立 http://www.pcmag.com/article2/0,2817,2453157,00.asp  2014年9月18日、16歳高校生がゲーム会社のサーバを攻撃し、 電子計算機損壊等業務妨害の疑いで書類送検 http://www.asahi.com/articles/ASG9L365YG9LUTIL007.html ssmjp 262015/2/20
  27. 27. ダークネットのNTP通信 ssmjp 27 2014年2013年 パケット数 ホスト数 2015/2/20
  28. 28. ダークネットのNTP通信 ssmjp 28 2014年2013年 パケット数 ホスト数 • 2014年からアクセスが増加 • 増幅率が大きな”mode7”コ ントロールメッセージが ターゲット 2015/2/20
  29. 29. ダークネットで振り返る2014年 ssmjp 29 NTP 123/UDP HTTPS 443/TCP TELNET 23/TCP DNS 53/UDP 2015/2/20
  30. 30. DNS  DNS amp 攻撃  2014年8月2日 読売新聞一面  「ルーター攻撃ネット障害」  バッファロー製ルーターがオープ ンリゾルバになっていた  OCN(約815万世帯)で40分に渡り ネットワーク障害 ssmjp 30 参考: http://internet.watch.impress.co.jp/ docs/news/20140804_660902.html 2015/2/20
  31. 31. ダークネットのDNS通信 ssmjp 31 53/UDPポートに通信を行った一日ごとのホスト数(1月~8月) 2015/2/20
  32. 32. ダークネットのDNS通信 ssmjp 32 送信元ホストの国の内訳 2015/2/20
  33. 33. ダークネットのDNS通信 ssmjp 33 送信元ホストの国の内訳 中国 ・Baiduからの スキャン通信 ・送信先IPアド レスを分担 アメリカ ・ISPのホスト からのスキャン 2015/2/20
  34. 34. ダークネットのDNS通信 ssmjp 34 ドメイン パケット数 備考 dnsscan.shadowserver.org 774,248 Shadowserver www.jrdga.info 521,542 www.google.com 447,000 Google VERSION.BIND 433,005 BINDのバージョン問合わせ www.google.it 378,381 Google wwww.jrdga.info 374,297 com 296,744 isc.org 188,528 ISC (Internet Systems Consortium) webpanel.sk 106,165 wradish.com 99,178 主な問い合わせドメイン 2015/2/20
  35. 35. ダークネットで振り返る2014年 ssmjp 35 NTP 123/UDP HTTPS 443/TCP TELNET 23/TCP DNS 53/UDP 2015/2/20
  36. 36. HTTPS  HeartBleed  OpenSSLの重大な脆弱性  2014年4月7日 発表  CVE-2014-0160 http://jvndb.jvn.jp/ja/contents /2014/JVNDB-2014-001920.html ssmjp 362015/2/20
  37. 37. ダークネットのHTTPS通信 ssmjp 37 4月(HeartBleedが発表された月)の一時間ごとのホスト数 2015/2/20
  38. 38. ダークネットのHTTPS通信 ssmjp 38 4月(HeartBleedが発表された月)の一時間ごとのホスト数 • 1日毎に周期的にア クセスが増加 • ミシガン大学による サーベイ目的のス キャン通信[※] • Zmapを使用 [※] Durumeric, Z., Bailey, M., and Halderman, J. A., “An Internet-Wide View of Internet-Wide Scanning”, in 23rd USENIX Security Symposium. (2014) 2015/2/20
  39. 39. ダークネットで振り返る2014年 ssmjp 39 NTP 123/UDP HTTPS 443/TCP TELNET 23/TCP DNS 53/UDP 2015/2/20
  40. 40. TELNET  ルータやWebカメラ等の組み込みシステムが攻撃の標的 となる  2014年7月下旬頃から宛先ポート23/TCP に対するアク セスが増加 • ネットワーク接続機器を踏み台にしたスキャン行為が行われて いる可能性 • 警察庁の報告(http://scan.netsecurity.ne.jp/article/2014/08/29/34745.html) ssmjp 402015/2/20
  41. 41. ダークネットのTELNET通信 ssmjp 41 23/TCPに通信を行った一日ごとのパケット数(4月~8月) Packets 2015/2/20
  42. 42. p0f ssmjp 42 p0f (Passive OS Fingerprint) ―パケットのヘッダ情報を元に送信元のOSを推定する OSの判別に用いるシグネチャの例 •Window Size •IPパケットサイズ •初期TTL •ack flag •DF flag •MSS •Window Scaling •Time Stamp値 •Selective ACK の可否 •NOP (No Operation)の数と並び •EOL (End of Option List)の利用 •その他のTCPオプション •0であるべきフィールドのチェック p0f v3 (version 3.08b):http://lcamtuf.coredump.cx/p0f3/ 2015/2/20
  43. 43. ダークネットのTELNET通信 ssmjp 43 送信元ホストのOSの内訳 Packets 2015/2/20
  44. 44. ダークネットのTELNET通信 ssmjp 44 送信元ホストのOSの内訳 • Linux 2.4系がほとんど • 組み込みシステムの多 くはLinuxで動作する Packets 2015/2/20
  45. 45. まとめ  ダークネットとは到達可能かつ未使用のIPアドレス空間 のこと  ダークネットのトラフィックを分析することでサイバー 攻撃の大局的な傾向を把握することができる  2014年に起こった世界的なセキュリティインシデント の多くはダークネットにおいても観測されている ssmjp 452015/2/20
  46. 46. 謝辞  発表の場を与えてくださったssmjpの皆様に感謝いたし ます  ダークネットのデータセットを提供していただいた情報 通信研究機構ネットワークセキュリティ研究所サイバー セキュリティ研究室の皆様に感謝いたします ssmjp 462015/2/20
  47. 47. 参考  ダークネットの基礎知識 – sonickun.log http://sonickun.hatenablog.com/entry/2014/06/11/233859 ssmjp 472015/2/20
  48. 48. Thank you. ssmjp 482015/2/20

×