• 検索結果がありません。

IP パケットのホップ数の傾向

第 6 章 トラフィックの分析

6.2 各トラフィックにおける IP ヘッダの値の傾向

6.2.4 IP パケットのホップ数の傾向

TTLは,TCP/IPスタックの初期TTLに基づいた値をとるが,OSによって初期TTL の値が異なるため,数値尺度として数の大小を比較するのに適さない.そこで,パケッ ト受信時のTTLの値と一般的なOSの初期TTLとの差分を求めることで,送信元ホ ストからのホップ数を推定できる[30].本実験においては,ntop[31]のアルゴリズムに 基づき,推定ホップ数を算出した.

表 6.8: 推定ホップ数の算出表 TTL 推定ホップ数

0 0

18 TTL- 1 932 32 - TTL 3364 64 - TTL 65128 128 - TTL 129255 255 - TTL

2005年12月に観測された各トラフィックにおける推定ホップ数あたりのパケット数 の割合を図6.9,図6.10,図6.11,図6.12 示す.

これらのグラフからは,ハニーポットと通信したホストの推定ホップ数の分布と研 究・教育用ネットワークの推定ホップ数の分布に違いが見られる.

この理由として,研究・教育用ネットワークは日本国内など,ホップ数の少ないホ ストとの通信が多いのに対し,ハニーポットでは研究ネットワークよりも国外などの ホップ数の多いホストとの通信が多いことが推察される.

6.2. 各トラフィックにおけるIPヘッダの値の傾向 第 6章 トラフィックの分析

0 2 4 6 8 10 12 14 16 18

0 5 10 15 20 25 30 35 40

Number of Packets (%)

Estimated Number of Hop Count

RENET

図 6.9: RENETの推定ホップ数の割合

0 2 4 6 8 10 12 14 16 18 20

0 5 10 15 20 25 30 35 40

Number of Packets (%)

Estimated Number of Hop Count

Dumnet/WIDE133

図6.10: Dumnet/WIDE133の推定ホップ数の割合

0 10 20 30 40 50 60

0 5 10 15 20 25 30 35 40

Number of Packets (%)

Estimated Number of Hop Count

Dumnet/RENET

図 6.11: Dumnet/RENETの推定ホップ数の割合

0 10 20 30 40 50 60 70 80 90

0 5 10 15 20 25 30 35 40

Number of Packets (%)

Estimated Number of Hop Count

KFSensor

図 6.12: KFSensorの推定ホップ数の割合

6.2. 各トラフィックにおけるIPヘッダの値の傾向 第 6章 トラフィックの分析

6.2.5 IP パケットのデータグラム長の分布

データグラム長は,IPv4ヘッダを含むパケット長を表現する16bitのヘッダフィー ルドである.

2005年12月に観測された各トラフィックにおけるデータグラム長あたりのパケット 数の割合を図6.13,図6.14,図6.15,図6.16 に示す.

0 5 10 15 20 25 30

0 200 400 600 800 1000 1200 1400

Number of Packets (%)

Packet Datagram Length

RENET

図 6.13: RENETのデータグラム長の分布

0 5 10 15 20 25 30 35 40 45 50

0 200 400 600 800 1000 1200 1400

Number of Packets (%)

Packet Datagram Length

Dumnet/WIDE133

図 6.14: Dumnet/WIDE133のデータグラム長の 分布

0 10 20 30 40 50 60

0 200 400 600 800 1000 1200 1400

Number of Packets (%)

Packet Datagram Length

Dumnet/RENET

図 6.15: Dumnet/RENETのデータグラム長の分

0 5 10 15 20 25 30

0 200 400 600 800 1000 1200 1400

Number of Packets (%)

Packet Datagram Length

KFSensor

図 6.16: KFSensorのデータグラム長の分布

研究・教育ネットワークとハニーポットでは,パケット長の分布に違いがある.研 究・教育ネットワークでは,48バイト付近のパケット長に分布しているのに加え,1454 バイト付近にも分布が見られる.一方,各ハニーポットにおいては,ほとんどが48バ イト付近のパケット長に分布しており,KFSensorを除けば1454バイト付近には分布 が見られない.これは,ハニーポット宛てのパケットには,パケット長の短いスキャン やサービスプローブ行為が多く含まれる影響と考えられる.

6.2. 各トラフィックにおけるIPヘッダの値の傾向 第 6章 トラフィックの分析

今ダウンロードする "Research of Malicious ..."

Outline

関連したドキュメント