本論文では,iTraceを改良した手法,ICMP Traceback with Periodical Transmission (iTrace-PT)を提案した.iTrace-PTは,一度iTraceパケットを送ったあて先には,ハッシュクリア するまで再送しないことで,iTrace パケットの生成確率を上げながらネットワークに与える 負荷を低く抑えることが出来る.また,攻撃元の特定を通信の持続時間に基づいて行うこと で,攻撃者の通信が正当ユーザの通信にまぎれていたとしても,攻撃者だけの特定が可能で ある.そして,iTraceパケットをリフレクタで反射させることで,対応ルータの数が少ない 場合でも反射型のDoS攻撃に対応できる.
iTrace-PTは,被害者が自身の行っているサービスやリソースを考慮し,各種パラメータ
を設定することにより,それぞれの被害者に適した攻撃元の特定が行える.
シミュレーションにより,iTrace-PTは,生成確率を上げてもネットワークに与える負荷 を低く抑えられることを示した.また,同じルータ配下に,複数の正当ユーザが到着する事 態が発生しないような状況では,攻撃者の通信が正当ユーザにまぎれるほど低い通信レート であっても,攻撃者のみの特定が可能であることを示した.しかし,同じルータ配下に,複 数の正当ユーザが到着する事態が発生する状況では,被害者の望んだ攻撃元の特定ができ ず,誤検出が多く出てしまうことがあることが示された.このような事態が発生する環境で は,閾値を高く設定することで,誤検出なく攻撃元の特定ができることを示した.そして,
対応ルータの数が少ない場合でも,DRDoS攻撃の攻撃元特定に有効に機能することを示し,
SINETにおいてはルータの対応率が0.4以上であれば,攻撃元を特定できることを示した.
公開鍵認証に加え,iTraceパケットの生成時刻に注目することで,偽装iTraceパケットか ら正しい経路情報だけを取り出すことが可能であることを示した.
今後の課題としては,iTrace-PTを前章で示したような実装例で実装し,実際のネットワー クで有効に機能するか検証する必要がある.
48
謝辞
本研究を進めるにあたって,終始御指導して頂いた,中山雅哉准教授に心から感謝致しま す.また,研究に関する貴重な御指摘をして頂いた,若原恭教授,中村文隆先生,関谷勇司 先生に深く感謝致します.
また,研究に関する議論をし,貴重な御意見を下さった若原・中山研究室の皆様に厚く御 礼申し上げます.
49
参考文献
[1] V. Paxson, ”An Analysis of Using Reflectors for Distributed Denial-of-Service Attacks”, Computer Communication Review 31(3), July 2001.
[2] Symantec Corporation, ”Symantec Internet Security Threat Report”, p.24, September 2006. http://www.symantec.com/region/jp/istr/
[3] D. Song, A. Perrig, ”Advanced and Authenticated Marking Schemes for IP Traceback”, Proc. IEEE INFOCOM, 2001.
[4] A.C. Snoeren et al, ”Hash-Based IP Traceback”, ACM SIGCOMM 2001, August 2001.
[5] S.M. Bellovin, ”ICMP Traceback Messages”, Internet draft: draft-vellovin-itrace-00.txt, March 2000.
[6] B. Wang, H. Schulzrinne, ”An IP Traceback Mechanism for Reflective DoS Attacks”, IEEE Canadian Conference on Electrical and Computer Engineering (CCECE), pp.
901-904, May 2004.
[7] N. Nishio, N. Harashima, H. Tokuda, ”Reflective Probabilistic Packet Marking Scheme for IP Traceback”, IPSJ Journal, vol.44, no.8, pp.1848-1860, August 2003.
[8] A. Kuzmanovic, E. Knightly, ”Low-Rate TCP-Targeted Denial of Service Attacks (The Shrew vs. the Mice and Elephants)”, Proc. ACM SIGCOMM 2003, August 2003.
[9] S. Gibson, ”Distributed Reflection Denial of Service”, 2002.
http://www.grc.com/dos/drdos.htm
[10] 警察庁, ”DNSの再帰的な問い合わせを悪用したDDoS 攻撃手法の検証について”, July 2006.
[11] 警察庁技術対策課, ”DoS/DDoS対策について (検証) , March 2004.
[12] P. Ferguson, D. Seine, ”Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing”, RFC2827, May 2000.
[13] H.C.J. Lee, V.L.L. Thing, Y. Xu, M. Ma, ”ICMP Traceback with Cumulative Path, An Efficient Solution for IP Traceback”, Proc. 5th International Conference on Information and Communications Security (ICICS ’03), pp.124-135, October 2003.
50