第 6 章 トラフィックの分析
6.1 実験の概要
6.1. 実験の概要 第 6章 トラフィックの分析
表 6.1: Firewallを経由せず直接インターネットと接続しているサブネット サブネットのサイズ ネットワークの呼称
/24 RENET302:1
/25 RENET302:2
表 6.2: Firewallを経由してインターネットと接続しているサブネット サブネットのサイズ ネットワークの呼称
/25 RENET303
/25 RENET307
/27 RENET304
/27 RENET305
実験では RENET302:1,RENET303,RENET307の各サブネットより20アドレス ずつ,合計60アドレスをハニーポット全体に割り当てた.各サブネットではDHCPに よる動的IPアドレス割り当てを行っており,実験開始前の時点でDHCPプールに含ま れていたIPアドレスをハニーポットに割り当てている.このため,固定IPアドレス で提供されているサービスに対してアクセスが行われる可能性は低い.
いずれの場合も,従って通常のシステムに対する正当なアクセスのつもりで,誤っ てハニーポットに対してアクセスが行われる可能性はほとんどない.このため,本研 究においてはハニーポット宛のトラフィックを全て不正トラフィック,ハニーポットを 含まない対照ネットワークのトラフィックを通常トラフィックと定義する.
6.1.2 ネットワークの構成
ハニーポットのトラフィックと,比較対照データである研究ネットワークのトラフィッ クを収集した.図6.1に実験に用いたネットワーク環境の概要を示す.
Internet
Firewall
RENET303 (/25)
RENET304 (/27)
RENET305 (/27)
RENET307 (/25)
RENET302 (/24+/25)
(Dumnet)
(KFSensor)
図 6.1: 実験に用いたネットワークトポロジ
6.1. 実験の概要 第 6章 トラフィックの分析
6.1.3 ハニーポットと IP アドレスの割り当て
本実験では,稼働レイヤの異なるハニーポット宛のトラフィックの差異と異なるIP アドレス空間におけるトラフィックの差異を明らかにするため,表6.3の組み合わせで ハニーポットを構成した.また,図6.2の通り,ルーティングを設定した.
表 6.3: ハニーポットの構成
名称 IPアドレスブロック ハニーポット
研究・教育用ネットワーク RENET(ハニーポットなど1を除く) N/A
Dumnet/WIDE133 WIDE133 (/16) Dumnet
Dumnet/RENET RENET302:1, RENET303, RENET307の Dumnet 各サブネットより各10ホスト,30ホスト
KFSensor RENET302:1, RENET303, RENET307 KFSensor 各サブネットより各10ホスト,30ホスト
RENET302:1 (/32*10) RENET302:2 (/32*10)
(Dumnet)
(KFSensor)
RENET307 (/32*10) RENET307
(/32*10) WDE133 (/16)
RENET302:1 (/32*10) RENET302:2 (/32*10)
図 6.2: 実験に用いたIPアドレスに対するルーティングの設定
6.1.4 トラフィックの収集
実験ネットワークの上流に位置するL2スイッチにおいて,実験ネットワーク宛のパ ケットをトラフィック収集サーバにコピーするようポートミラーを設定した.トラフィッ ク収集サーバにおいては,WIDE133およびRENET宛のパケットを一括して保存し,
オフラインで宛先IPアドレスに基づいてトラフィックを分離した.
6.1.5 トラフィック収集期間
本研究では,事前に与えられたトラフィックをパラメータとして,新たなパケットの スコアリングを行う.本実験では,2005年12月27日(火)0時00分〜2005年12月27
日(火)23時59分にパラメータとして用いるトラフィックを収集した.なお,特段の断
りがない限り,全ての時刻は日本時間(JST)で表記した.
1RENETには,LinuxディストリビューションやWebブラウザのミラーサイトをしているAnonymous FTPサーバが存在するが,通常のホストとは異なった性質を持つサーバであるため,当該IPアドレス
6.1. 実験の概要 第 6章 トラフィックの分析
6.1.6 IP ヘッダの各フィールドの傾向
本節では,低対話型ハニーポット,および研究・教育用ネットワークに送信されたト ラフィックのIPヘッダの各フィールドを分析結果を示す.各ヘッダフィールドにおけ る傾向を把握することで,パケットのパケットスコアリング手法に適したパラメータ を決定する.
2005年12月に収集した各ハニーポットのトラフィックの概況を表6.4に,またパケッ トスコアリングを行う対象のトラフィックの概況を表6.5に示す.
なお,収集したトラフィックデータは,インターネットからハニーポットに送信され た受信側のみを収集しており,ハニーポットからインターネット宛に送信されるトラ フィックは含まれない.
表 6.4: 収集トラフィックの概略(2005年12月)
研究・教育用 Dumnet/ Dumnet/ KFSensor ネットワーク2 WIDE133 RENET
IPアドレス数 6313 65,534 30 30 通信先ホスト数 160,093 62,175 947 1,355 1IPアドレスあたりの通信先ホスト数 253.71 0.95 31.57 45.17 受信パケット数 22,169,190 12,568,731 213,226 64,659,985 平均スループット(pps) 51.32 145.47 2.46 748.38 1IPアドレスあたりの受信パケット数 35,133 192 7,107 2,155,332 受信トラフィック(KBytes) 8,002,699 1,081,915 13,405 8,982,633 平均スループット(byte/s) 92,624 12,522 155 103,965 1IPアドレスあたりの受信トラフィック 12,683 16 447 299,421 (KBytes)
計測時間:2005年12月27日(火)0時00分〜23時59分
表 6.5: 収集トラフィックの概略(評価対象)
研究・教育用 Dumnet/ Dumnet/ KFSensor ネットワーク2 WIDE133 RENET
IPアドレス数 6313 65,534 30 30 通信先ホスト数 190,942 127,525 750 1,133 1IPアドレスあたりの通信先ホスト数 302.60 1.95 25.00 37.77 受信パケット数 19,351,235 81,262,948 195,826 36,921,604 平均スループット(pps) 223.97 940.54 2.27 427.33 1IPアドレスあたりの受信パケット数 30,668 1,240 6,528 1,230,720 受信トラフィック(KBytes) 4,831,498 2,211,212 12,655 11,871,318 平均スループット(byte/s) 55,920 25,593 146 137,400 1IPアドレスあたりの受信トラフィック 7,657 34 422 73,707
計測時間:2005年12月29日(木)0時00分〜23時59分
2研究・教育用ネットワークのデータについては,実験環境の制約により全トラフィックを収集でき なかったため,5:1の割合でサンプリングを行った.通信先ホスト数はサンプリング後の観測値,その
33