筒見拓也
†野々垣嘉晃
†田辺瑠偉
†牧田大佑
†吉岡克成
†松本勉
†近年,DNS リフレクション攻撃に代表される分散型サービス不能攻撃,通称 DRDoS 攻撃(Distributed Reflection Denial-of-Service attack)が脅威となっている.DRDoS 攻撃は,インターネット上における様々な種類のサービスを悪 用するため,攻撃の傾向を分析するためには単一のサービスでなく,複数のサービスを用いて攻撃を観測することが 重要である.本稿では,DRDoS 攻撃に悪用される恐れのある複数種類のネットワークサービスを模擬するハニーポッ トを用意し,DRDoS 攻撃を観測する手法を提案する.
Observing Distributed Reflection Denial-of-Service Attacks
by Several Kinds of Honeypots
TSUTSUMI TAKUYA
†NONOGAKI YOSHIAKI
†TANABE RUI
†MAKITA DAISUKE
†YOSHIOKA KATSUNARI
†MATSUMOTO TSUTOMU
†In recent years, Distributed Reflection Denial-of-Service (DRDoS) attacks such as DNS Reflection attack have become a serious issue. DRDoS attacks abuse various types of services as reflectors, so it is important to observe the attack with multiple kinds of services to grasp the trend of attacks. In this paper, we propose a method to observe DRDoS attacks with several kinds of honeypots which emulate different types of network services.
1.はじめに
近年,インターネットの普及に伴い,Web サーバや DNS サーバなど,外部に有用なサービスを提供するサーバが増 えている.しかし,これらのサービスは誰でも利用できる 利便性を有している反面,セキュリティ設定を正しく行わ ないと攻撃者に悪用される可能性がある.事実,こうした サーバを悪用した DRDoS 攻撃と呼ばれる分散型サービス 不能(DDoS)攻撃が増加しており,問題となっている.DRDoS(Distributed Reflection DoS)攻撃とは,インター ネット上の不特定多数のサーバに,送信元 IP アドレスを攻 撃対象のものに偽装したパケットを送り,サーバからの応 答 を 攻 撃 対 象に 集 中 させ るこ と で 行 う DoS(Denial of Service)攻撃の一つである. 任意のホストからのクエリを受け付けるオープンリゾ ルバと呼ばれる DNS サーバを悪用した DRDoS 攻撃は, DNS リフレクション攻撃(DNS アンプ攻撃)と呼ばれてお り,近年その問題が深刻になっている.2013 年 3 月には DNS リフレクション攻撃によって過去最大規模の DDoS 攻 撃が発生し,スパム対策組織である Spamhaus[4]が標的と され,最大で 300Gbps にも及ぶ通信が,関係するネットワ ーク上において発生した[5].また,最近では Network Time Protocol (NTP)サーバを悪用した DRDoS 攻撃が報告され ており,2014 年 2 月上旬には,欧州にて最大 400Gbps にも 及ぶ通信が関係するネットワーク上において発生したと報 じられている[6].また文献[2]では,CHARGEN(a), SNMP 等 † 横浜国立大学, 240-8501 神奈川県横浜市保土ケ谷区常盤台 79-7, Yokohama National University, 79-7 Tokiwadai, Hodogaya-ku,
Yokohama-shi, Kanagawa, 240-8501 Japan.
のインターネットプロトコルが実際に DRDoS 攻撃に用い られていることが記述されている.このように,DRDoS 攻撃による被害は多様化,深刻化する一方であり,早急な 対策が必要であると考えられる. DRDoS 攻撃への対策として,文献[1]では DNS リフレク ション攻撃について,DNS ハニーポットと呼ばれる囮サー ビスを用いて,実際に発生する通信内容を観測し,その傾 向や特徴を明らかにする観測手法が提案されている.文献 [2]では,主に UDP で通信を行う 14 種類のサービスに関し て DRDoS 攻撃に悪用される可能性を検証し,またこれら のプロトコルを用いた DRDoS 攻撃が実際に行われるかを, 囮サービスを設置して調査している.文献[3]では TCP を用 いた DRDoS 攻撃について報告されている.これらの文献 では HTTP,DNS 等,単一のサービスに着目した DRDoS 攻撃の分析は行われているが,各種サービスを悪用する DRDoS 攻撃の関連性は不明である. 本研究では,DRDoS 攻撃に悪用される恐れのある,複数 種類のネットワークサービスを模擬する囮システム(ハニ ーポット)を用意し,複数地点において DRDoS 攻撃を観 測する手法を提案する.本手法で攻撃を観測した結果,DNS, CHARGEN, NTP, Web 等のサービスの悪用の様子や,これ ら複数種類のサービスを用いて同一の対象を攻撃する事例 が観測できた. 本稿の構成は次の通りとなっている.2 章では,DRDoS 攻撃について説明する.3 章では,DRDoS 攻撃に関する先 行研究に関して説明する.4 章では,本研究の提案手法に (a) CHARGEN とは,任意の文字列データを,通信が切断されるまで送信し 続けるサービスである[8].
ついて説明する.5 章では,検証実験とその結果について 述べる.そして最後に,6 章でまとめと今後の課題とする.
2. DRDoS 攻撃
DRDoS 攻撃とは,TCP/IP プロトコルの基本的な通信手 順やアプリケーションの仕様において生成される様々な応 答パケットを利用して,複数のサーバマシンから同時連携 して攻撃を行う分散型 DoS 攻撃である. 攻撃者は,攻撃発信源のマシン群から,インターネット 上の不特定多数のサーバに対して送信元 IP アドレスを攻 撃対象に偽装した要求パケットを送信する.要求パケット を受け取ったサーバ(リフレクタ)は,偽装された IP アド レスからパケットを受け取ったと誤認し,その IP アドレス に応答パケットを送信する.ここで,リフレクタが受信し た要求パケットに対して,より多くの応答パケットを返し たり,要求パケットのサイズより大きな応答パケットを返 したりすることで通信が増幅され,攻撃対象に大量の通信 が届く.また,DRDoS 攻撃では,実際の送信元の IP アド レスが詐称されているため,攻撃対象側では攻撃発信源の マシン群が特定できない. 以下では,具体例として,TCP を用いた DRDoS 攻撃と DNS リフレクション攻撃,NTP サーバを用いた DRDoS 攻 撃について説明する. 2.1 TCP を用いた DRDoS 攻撃 TCP では,クライアントがサーバに SYN パケットを送 信すると,サーバからクライアントに対して SYN/ACK パ ケットを応答し,最後にクライアントからサーバに対し ACK パケットを送信する,という一連の手順を踏むことで 接続が確立する.そのため,TCP を用いた外部からの通信 を受け付けるサーバに対し,送信元 IP アドレスを攻撃対象 のものに偽装した SYN パケットを送信すると,攻撃対象に SYN/ACK パケットを応答するが,攻撃対象のホストから は SYN パケットを送信していないため,ACK パケットを 送信しない.すると,サーバは攻撃対象に SYN/ACK パケ ットの再送を行い,結果として SYN/ACK パケット数は SYN パケット数の数倍にまで増幅される. 図 1.DRDoS 攻撃 2.2 DNS リフレクション攻撃 DNS はインターネット上でドメイン名と IP アドレス等 の情報を対応付ける役割を果たしている.DNS の通信は, 要求とそれに対する応答からなり,その仕様上,要求より も応答のデータサイズが大きくなる性質を持つ.そのため, 外部からの名前解決を受け付ける DNS サーバ(オープンリ ゾルバ)に対し,送信元 IP アドレスを攻撃対象のものに偽 装した DNS 要求を送信することで,攻撃対象に対しデータ サイズの大きな応答が発生する.DNS サーバの要求に対し て応答が増幅(Amplify)する性質から DNS アンプ攻撃と も呼ばれる.DNS の通信は,主に UDP で行われるため, 要求パケットの送信元 IP アドレスを攻撃対象のものに偽 装することが容易である. 2.3 NTP サーバを用いた DRDoS 攻撃 NTP Project[7]が提供する ntpd において,過去に通信した NTP サーバに関する情報を最大 600 件分送信する monlist 機能が実装されている.monlist 機能による要求は,送信し たデータに対する応答データのサイズが最大で 206 倍まで に増幅する性質を持つ[6].そのため,外部からの moblist 要求を受け付ける NTP サーバに対し送信元 IP アドレスを 攻撃対象のものに偽装した要求パケットを送ることで,攻 撃対象に対しデータサイズの大きな応答が発生する.DNS と同様に,NTP の通信も主に UDP を用いて行われるため, 要求パケットの送信元 IP アドレスを攻撃対象のものに偽 装することが容易である.3. 先行研究
文献[1]では,DNS リフレクション攻撃を観測するための DNS ハニーポットが提案されており,DNS リフレクション 攻撃と推測される通信を多数観測した結果から,DNS リフ レクション攻撃の傾向や特徴について明らかにしている. 文献[2]では,リフレクタを通じてパケットの増幅が可能で, かつ IP アドレスの偽装をすることが可能である,UDP で 通信を行う 14 種類のサービスについて応答パケットの増 幅率の検証を行うなど,DRDoS 攻撃に悪用するにあたって どれ位の影響が見込まれるのかを検証している.また,囮 サービスを設置し,これらのプロトコルに関して実際に DRDoS 攻撃が発生するかの検証を行っている.文献[3]で は,チェコで大規模な DDoS 攻撃が発生していたニュース が 2013 年の 3 月に報じられており,同国のマサリク大学の コンピュータサイエンス研究所にて設置していたハニーポ ットが DDoS 攻撃に加担していたことをきっかけに,その 内容を解析したところ,2.1.節で触れた TCP を悪用した DRDoS 攻撃であることを確認している.4. 提案手法:複数種類のハニーポットによる
DRDoS 攻撃観測
DRDoS 攻撃は特定の攻撃対象サービスの負荷を高める 情報処理学会研究報告IPSJ SIG Technical Report
Vol.2014-CSEC-65 No.16 Vol.2014-IOT-25 No.16 2014/5/23
のではなく,大量の通信により攻撃対象のネットワーク帯 域を圧迫してサービス不能状態に陥れる攻撃であることか ら,2 章に述べたような様々なサービスを同時並列的に悪 用することで攻撃の効果を高めることが可能である. そこで本研究では,DRDoS 攻撃に悪用される恐れのある ネットワークサービスを模擬するハニーポットを複数種類 用意し,各観測地点において発生した DRDoS 攻撃を観測 する手法を提案する.様々な種類のハニーポットを用いて 複数の地点で観測を行い,各ハニーポットで得られた通信 内容の突合分析を行うことにより,DRDoS 攻撃の傾向およ び特徴を明らかにする. 図 2 に提案手法の概念図を示す.各観測地点におけるハ ニーポット上では,DRDoS 攻撃に悪用される恐れのあるサ ービスが動作しており,これを発見した攻撃者がリフレク タとしてハニーポットを用いる様子を観測する.各観測地 点において,受信したパケットの情報を分析し,分析部で は,観測地点にて収集した情報を分析する. . 図 2.提案手法 ※以下,図表の凡例における各種ハニーポットに対する略記は次の通りである. WEB:Web ハニーポット DNS:DNS ハニーポット CHAR:CHARGEN ハニーポット NTP:NTP ハニーポット
5. 検証実験
本章では,提案手法の有効性を示すための検証実験,及 び実験結果について述べる. 5.1 実験環境 実証実験のための観測機構の概要を表 1 に示す.観測地 点は 5 つ,観測に用いたハニーポットは 7 つ(Web ハニー ポット 2 つ,DNS ハニーポット 2 つ,CHARGEN ハニーポ ット 1 つ,NTP ハニーポット 2 つ)である. 各観測ホストの通信を tcpdump[9]でキャプチャし,得ら れた pcap ファイルを分析する.Web ハニーポット 1 は glastopf[10],Web ハニーポット 2 では dionaea[11]を用いて いる.dionaea は Web サービス以外にも対応しているが, 今回は Web サービスへの通信のみを分析対象とする.Web ハニーポットでは HTTP(80/tcp)に関する通信を観測する. DNS ハニーポットは参考文献[1]で提案されているハニー ポットを用い,DNS(53/udp)に関する通信を観測する. CHARGEN ハニーポットでは,CHARGEN(19/udp)に関 する通信を観測する.NTP ハニーポットは monlist 機能が 有効になっている ntpd サーバを用いて,NTP(123/udp)の 通信を観測する. TCP を用いるサービスは様々なものがあるが,本観測環 境はその中でも特にサービスとしての利用頻度が高い Web サービスである HTTP のみを対象とした.それ以外の TCP サービスについては今後の課題とする.これらのハニーポ ットは応答の頻度に制限が加えられており,実際の攻撃に 加担しないようにしている. 5.2 実験結果 表 2 に示す分析対象期間中に観測された累計受信パケッ ト数,1 分当りの平均受信パケット数,通信先ホスト数を 表 3 に示す.なお,表 3 において Web ハニーポットの観測 結果は SYN パケット数のカウントとなっている.UDP を 用いる DNS,CHARGEN,NTP サービスに対する通信が多 く観測されていることがわかる. 5.2.1 単位時間当りの受信パケット数の推移1 時間単位での受信パケット数[pph: packet per hour]の推 移を図 3,図 4,および図 5 に示す.Web ハニーポットに ついては SYN パケットのカウントのみとなっている.また, 図 3 において Web ハニーポット 2 のグラフは 1 IP アドレス 当りの平均値となっている.Web ハニーポット 2 では Web ハニーポット 1 に比べて平均で 10 倍程度のパケットが観測 されているが,これは Web ハニーポット 2 が分析対象期間 の約 2 年半前から固定 IP アドレスにより継続的に運用され ていたことが影響している可能性がある.また,CHARGEN ハニーポットの受信パケット数が 2 月 6 日辺りから急減し ているが,これは観測地点のグローバル IP アドレスが変化 したことによる影響と考えられる. ハニーポットへ届く通信には,ハニーポットの探索(スキ ャン),ハニーポット自体への攻撃,ハニーポットを悪用し た DRDoS 攻撃を含めて,様々な目的のものが考えられる が,これらの通信の目的を厳密に区別することは困難であ る.本報告では DRDoS 攻撃に着目しているため,当該攻 撃の特徴である特定ホストまたは特定ネットワーク帯域か らの大量の要求パケットに着目して以降の分析を行う.具 体的には,各ハニーポットの観測状況を 1 時間単位で集計 し,同一のホストから 10,000 [pph]以上の通信が見られた場 合を DRDoS 攻撃事例(以降,単に事例)として扱う.なお, 図 3,図 4,図 5 では,閾値の 10,000[pph]に太い実線を描 いているが,これらのグラフは各ハニーポットに届くパケ ットの総数のカウントであるため,実線を超えた期間が全 て攻撃事例という訳ではない.
表 1.観測地点とハニーポットの概要
観測地点(使用回線) ハニーポット 通信ポート 使用サービス 観測地点 1(一般 ISP-A1) WEB1 80/tcp ※2 glastopf(v3.0.9)
NTP1 123/udp ntpd(v4.2.6) 観測地点 2(一般 ISP-B) DNS1 53/udp BIND[13] (v9.8.1)
CHAR1 19/udp xinetd(v2.3.14) 観測地点 3(学内回線-A) WEB2 ※1 80/tcp ※2 dionaea(v0.1.0) 観測地点 4(一般 ISP-C) DNS2 53/udp BIND[13](v 9.8.1) 観測地点 5(一般 ISP-A2) NTP2 123/udp ntpd(v4.2.6) ※1 1つのハニーポットに対し数十個のグローバル IP アドレスが割り当てられて いる,※2 SYN パケットのみ観測 表 2.各ハニーポットにおける通信の観測期間 ハニーポット 運用開始時期 分析対象期間 WEB1 2013/12/29~ 2013/12/30 12:40~2014/02/28 23:59 ※1,5 WEB2 2011/7/1~ 2013/12/30 00:13~2014/02/28 23:59 ※2 DNS1 2012/10/7~ 2013/12/30 00:00~2014/02/28 23:59 ※3 DNS2 2013/5/20~ 2013/12/30 00:00~2014/02/28 23:59 ※4 CHAR1 2013/7/25~ 2013/12/30 00:00~2014/02/28 23:59 NTP1 2014/1/21~ 2014/01/21 22:15~2014/02/28 23:59 ※5 NTP2 2014/1/21~ 2014/01/21 22:08~2014/02/28 23:59 ※6 ※1 2014 01/08 12:06 ~ 21:07 観測を中断,※2 2014 01/03 13:53 ~ 01/04 01:29 観測を中断, ※3 2014 2/6 にグローバル IP アドレスが同日中に 3 度変化,※4 2014 01/17,01/21,2/8, 2/11 にグローバル IP アドレスが変化,※5 2014 02/11 04:17 ~ 02/21 17:19 観測を中断, ※6 2014 02/02 03:31 ~ 02/02 20:46 観測を中断 5.2.2 同一攻撃に悪用されるハニーポットの組み合わせ 分析対象期間中において,10,000[pph]以上の通信が見ら れたホストの分布と単位時間当りの受信パケット数の大き さを表すバブルチャートを図 6 に示す.バブルの色は同一 の事例で悪用されたハニーポットの種類数を示しており, 緑色が濃いほど多くの種類のハニーポットが同一期間に同 一攻撃対象に対して悪用されていたことを示す.図 6 から 2014 年 1 月に事例が集中しており,2 月上旬で一旦減少し た後,2 月後半で再び増加している様子が確認できる.ま た,4 種類のハニーポットを同時に悪用した攻撃(濃い緑色 のバブル)はおよそ 1 月上旬と下旬に偏って分布している. 複数のハニーポットを悪用した攻撃事例数を表 4 に示す. 異なる観測地点の同一種類ハニーポット(Web ハニーポッ ト 1 と Web ハニーポット 2,DNS ハニーポット 1 と DNS ハニーポット 2)を同時に悪用する事例が多く見られるが, Web と DNS,DNS と CHARGEN といった異なるサービス を同時刻に悪用する事例も確認できる. 5.2.3 累計受信パケット数上位 10 ホストの情報 累計受信パケット数が上位 10 件となったホストに関す る国情報および組織情報と,期間中に悪用された対象ハニ 表 3.各ハニーポットにおける観測情報 ハニーポット 受信パケット数 (累計/分平均) 受信量(kB) (累計/分平均) 通信先ホスト数 WEB1 ※1 1,596,083/22.37 81,101/1.13 552 WEB2 ※1,2 13,828,778/158.71 700,787/8.04 23,898 DNS1 45,442,415/517.33 2,917,199/33.21 30,188 DNS2 41,958,422/477.67 2,676,727/30.47 6,468 CHAR1 432,267,555/4921.08 12,241,911/139.4 15,160 NTP1 22,421,924/566.61 1,025,212/25.86 22,527 NTP2 13,371/0.25 993/0.02 33 ※1 Web ハニーポットについては SYN パケットのみをカウント ※2 数十の IP アドレスで観測された値の平均値を算出 図 3.Web ハニーポットの受信パケット数推移 (横軸:日時,縦軸:pph) 図 4.DNS ハニーポット,CHARGEN ハニーポットの受信 パケット数推移(横軸:日時,縦軸:pph) 図 5.NTP ハニーポットの受信パケット数推移 (横軸:日時,縦軸:pph) 情報処理学会研究報告 IPSJ SIG Technical Report
Vol.2014-CSEC-65 No.16 Vol.2014-IOT-25 No.16 2014/5/23
図 6.単一ホストからの 10,000[pph]以上の攻撃事例(横軸:日時,縦軸:IP アドレス,円の大きさ:[pph]) ーポットについて表 5 に示す.これらは,GeoIP[14]のオン ラインデモサービスから取得したデータを用いた.表 5 か ら,これらのホストの多くは,正規の Web ホスティングサ ービスと考えられるが,中には組織名や国情報が存在しな いホストも存在した. 5.2.4 4 種類のサービスを悪用した攻撃事例 4 種類のハニーポットに対し累計 10,000 [pph]以上の通信 が発生した事例について説明する.当該ホストにおける単 位時間当りの受信パケット数の推移を図 7 に示す.1 月 12 日には 2 台の DNS ハニーポットに対する 400,000 [pph] にもおよぶ通信が 2 度発生し,1 月 13 日の 1 時頃には 2 台 の Web ハニーポットと 2 台の DNS ハニーポットの計 4 台 のハニーポットに対する通信が発生している.特に 1 月 12 日の攻撃は 2 つのハニーポットのパケット観測数の増減は ほぼ一致しており,高い同期性がみられる.攻撃対象とな った IP アドレスは,DDoS 攻撃対策サービスを提供する企 業に割り当てられており,その企業が DRDoS 攻撃を受け たのではないかと推測される. 5.2.5 NTP ハニーポットの観測結果 本節では,近年問題となっている NTP サーバを用いた DRDoS 攻撃の観測事例を述べる.NTP サーバは他の NTP サーバと時刻同期を行い,クライアントに時刻情報を提供 するが,過去に同期した NTP サーバ情報のリストを返答す る monlist 機能を悪用した DRDoS 攻撃が報告されている. 以降では,NTP ハニーポット 1 が 10,000 [pph]以上のパケ ットを受信した事例を説明する.図 8 に NTP ハニーポット 1 が時刻同期を行ったホスト数の推移と単位時間当りに受 信した monlist 要求数を示す. monlist 機能を悪用する DRDoS 攻撃においては,攻撃者はリストサイズを大きくし 表 4.複数のハニーポットを悪用した攻撃事例数 対象 ハニーポットの組 事例数 通信先ホスト数 2 種類 WEB1,WEB2 62 19 WEB2,DNS1 6 6 DNS1,NTP1 1 1 DNS1,DNS2 388 161 DNS1,CHAR1 180 99 DNS2,CHAR1 67 46 WEB2,DNS2 1 1 3 種類 WEB2,DNS1,DNS2 4 4 DNS1,DNS2,CHAR1 102 65 WEB1,WEB2,DNS1 1 1 4 種類 WEB1,WEB2,DNS1,DNS2 3 2 表 5.累計受信パケット数上位 10 ホストの詳細情報 IP アドレス 国 組織 ドメイン ハニーポット 103.2.238.xx IN Syscon Infoway Pvt.Ltd. mysipl.com CHAR1,NTP1 85.13.147.xx DE Neue Medien
Muennich GmbH
kasserver.com CHAR1
94.23.97.xx FR Iowa Network Services - DNS1,DNS2 198.144.120.xx BR Esecurity S.A. - Web2,DNS1 37.59.61.xx FR OVH SAS kimsufi.com DNS 103.2.237.xx IN Syscon Infoway Pvt. Ltd. mysipl.com CHAR1,NTP1 103.234.19.xx - - - CHAR1 46.28.205.xx CN Solar Communications GMBH solarcom.ch DNS1,DNS2, CHAR1 186.2.167.xx BR Dancom Ltd - Web1,Web2, DNS1,DNS2 209.7.69.xx US Glenbard HSD #87 k12.il.us CHAR1
図 7.特定ホストへの攻撃事例(横軸:日時,左縦軸: DNS[pph],右縦軸:WEB[pph]) 図 8.NTP ハニーポット 1 の観測情報(横軸:日時,左縦 軸:monlist 要求[pph],右縦軸:時刻同期ホスト数) て増幅率を高めるため,送信元 IP アドレスを詐称した同期 リクエストを多数送信することが予想されるが,図 8 に示 す通り,本事例においては,ハニーポットに設定されたホ ス ト と だ け 時 刻 同 期 を 行 っ て い た . 10,000[pph] 以 上 の monlist 要求パケットが多く観測されたのは 2 つの期間 (2/11 前後・2/27 前後)であり,これらの期間の増幅率(応 答パケット群の合計サイズ/monlist 要求パケットサイズ) はそれぞれ 120 倍,65 倍であった. 5.2.6 Web ハニーポットと Web サーバとの観測結果の比較 今回の観測実験では,UDP を用いたサービスに加えて Web サービスを用いた DRDoS 攻撃事例が観測された.Web サービスは,増幅率は低いもののインターネット上に多数 存在しており,脅威となる可能性がある.そこで,本学に て実運用中の Web サーバにおいて DRDoS 攻撃事例が発見 されるかを確認した.Web サーバの通信環境および分析対 象期間を表 6 に示す.この期間において特定ホストから大 量の SYN パケットが届く事例は確認されなかった. 表 6.Web サーバの情報 分析対象期間 通信ポート 使用サービス 2014/01/17 14:36 ~ 2014/02/28 23:59 80/tcp ※ apache[12](v2.2.3) ※ 1 つの Web サーバに対し 2 つのグローバル IP アドレスが割り当てられている ※ SYN パケットのみをカウント
6. まとめと今後の課題
本研究では,複数地点で複数種類のハニーポットを運用 して DRDoS 攻撃を観測する手法を提案し,各ハニーポッ トにおける受信パケット数の推移から,単一のサービスで はなく様々なサービスを悪用して特定の攻撃対象を攻撃し ていると思われる通信事例が多数確認できた. 参考文献[1]では,パケット数の推移だけでなく,各ハニ ーポットにおける通信先ホストの TTL や送信元ポート番 号,ID ヘッダの分布などといった様々な統計的指標を組み 合わせ,DNS リフレクション攻撃の傾向や特徴を明らかに しており,複数種類のハニーポットによる観測内容に対し ても同様の分析を行いたい. 謝辞 本研究の一部は,総務省情報通信分野における研 究開発委託/国際連携によるサイバー攻撃の予知技術の研 究開発/サイバー攻撃情報とマルウェア実体の突合分析技 術/類似判定に関する研究開発により行われた.参考文献
1) 牧田大佑, 吉岡克成, 松本勉,“DNS ハニーポットによる不正活 動観測,”情報処理学会研究会報告コンピュータセキュリティ (CSEC), Vol. 2013-CSEC-62, No.54, pp. 1-8, 2013.2) Christian Rossow, "Amplification Hell: Revisiting Network Protocols for DDoS Abuse," 2014 Network and Distributed System Security Symposium, NDSS 2014, pp. 1-15, 2014.
3) HUSÁK, Martin and Martin VIZVÁRY,” POSTER: Reflected attacks abusing honeypots,” 2013 ACM SIGSAC conference on Computer & communications security, ACM 2013, pp. 1449-1452, 2013 4) The Spamhaus Project, available from <http://www.spamhaus.org>, (last visited 2014-02-10).
5) Trendmicro: DNS Amp 手法による過去最大規模の DDoS 攻撃, スパム対策組織「Spamhaus」がターゲットに, available from <http://blog.trendmicro.co.jp/archives/7012>, (last visited 2014-02-10).
6) CloudFlare: Technical Details Behind a 400Gbps NTP Amplification DDoS Attack, available from
<http://blog.cloudflare.com/technical-details-behind-a-400gbps-ntp-amp lification-ddos-attack>,(last visited 2014-04-11)
7) NTP project, available from <http://www.NTP.org/>, (last visited 2014-02-10)
8) INTERNET STANDARD: Character Generator Protocol, available from <https://tools.ietf.org/html/rfc864 >, (last visited 2014-04-14) 9) tcpdump, available from, <http://www.tcpdump.org/> (last visited 2014-02-11)
10) glastopf, available from, <http://glastopf.org/> (last visited 2014-02-10)
11) dionaea, available from, <http://dionaea.carnivore.it/>, (last visited 2014-02-12)
12) apache available from, <http://httpd.apache.org/>, (last visited 2014-02-12)
13) Internet System Consortium: BIND, available from
<https://www.isc.org/downloads/bind/>, (last visited 2014-04-15) 14) MaxMind: GeoIP available from, <http://www.maxmind.com/>, (last visited 2014-04-09)
情報処理学会研究報告 IPSJ SIG Technical Report
Vol.2014-CSEC-65 No.16 Vol.2014-IOT-25 No.16 2014/5/23
