Upload File

amppotdataset2016/05/30  · amppotdatasetとは?• 横浜国立大学で運用している...

  • Home
  • Documents
  • AmpPotDataset2016/05/30  · AmpPotDatasetとは?• 横浜国立大学で運用している AmpPot(DRDoSハニーポット) のトラフィックデータ. • (一応)昨年度から利用可能.
18
AmpPot Dataset PRACTICE DatasetMWS意見交換会 2016530日(月) 横浜国立大学 松本研究室/ 情報通信研究機構 サイバーセキュリティ研究室 牧田大佑 (吉岡先生の代理) PRACTICEProactive Response Against Cyberattacks Through International Collaborative Exchange): 総務省の「国際連携によるサイバー攻撃予知・即応 に関する実証実験」のプロジェクト.

Upload: others

Post on 28-Jan-2021

0 views

Category:

Documents


0 download

Report

TRANSCRIPT

  • AmpPot Dataset(PRACTICEDataset)

    MWS意見交換会2016年5月30日(月)

    横浜国立大学 松本研究室/情報通信研究機構サイバーセキュリティ研究室

    牧田大佑 (吉岡先生の代理)

    PRACTICE(ProactiveResponseAgainstCyberattacks ThroughInternationalCollaborativeExchange): 総務省の「国際連携によるサイバー攻撃予知・即応に関する実証実験」のプロジェクト.

  • AmpPot Datasetとは?

    • 横浜国立大学で運用しているAmpPot(DRDoSハニーポット)のトラフィックデータ.

    • (一応)昨年度から利用可能.

    キーワード

    ü DRDoS攻撃(Amp攻撃)ü DRDoSハニーポット(AmpPot)

    2

  • DRDoS攻撃 (1/2)

    • DRDoS(DistributedReflectionDoS)攻撃• インターネット上のサーバ(DNS,NTP等)を踏み台にして実行する分散型のサービス妨害攻撃.

    • サーバで通信を増幅させる(Amp攻撃).

    送信元を詐称した要求パケット

    増幅した応答パケット

    攻撃対象

    攻撃者

    踏み台(リフレクタ)

    増幅率が50倍の場合…

    1Gbps 50Gbps

    3

  • DRDoS攻撃 (2/2)

    • 2013年3月 Spamhausへの攻撃

    • 2013年〜 サイバー攻撃に悪用• Anonymous• LizardSquad• DD4BC• ArmadaCollective• etc.

    300Gbps

    4

  • AmpPot (DRDoSハニーポット)

    • DRDoS攻撃を観測するハニーポット.• 囮のリフレクタをインターネット上に設置.

    攻撃対象

    リフレクタ

    観測・分析

    攻撃者

    攻撃通信は遮断

    [RAID2015]LukasKramer,JohannesKrupp,DaisukeMakita,TomomiNishizoe,TakashiKoide,KatsunariYoshioka,ChristianRossow,"AmpPot:MonitoringandDefendingAmplificationDDoS Attacks.” 5

  • DRDoS攻撃件数

    0

    5000

    10000

    15000

    20000

    25000

    30000

    2012/12/21 2013/6/21 2013/12/21 2014/6/21 2014/12/21 2015/6/21

    CHG DNSNTP SSDP

    6

  • 日本宛の攻撃件数

    7

  • 既存研究の例(1)

    ダークネットとの相関牧田大佑,吉岡克成,松本勉,中里純二,島村隼平,井上大介:DNSアンプ攻撃の事前対策へ向けたDNSハニーポットとダークネットの相関分析,情報処理学会論文誌,Vol.56,No.3,pp.921-931,2015.

    8

  • 攻撃者のシナリオ(DNSを悪用した攻撃の場合)

    1. 攻撃に使用するドメインを用意する.2. リフレクタを探索するスキャンを行う.3. 攻撃を実行する.

    Internet

    攻撃者

    ダークネット

    攻撃対象AmpPot

    dns-amp.com

    リフレクタ

    9

  • 事例) aa3247.com

    0

    1000000

    2000000

    3000000

    4000000

    5000000

    6000000

    7000000

    8000000

    0

    200000

    400000

    600000

    800000

    1000000

    1200000

    1400000

    1600000

    #ofaa3247.comQue

    ries(DA

    RKNET)

    #ofaa3247.comQue

    ries(DNS-HO

    NEY)

    Date

    DNS-HONEY1(1IP)

    DNS-HONEY2(1IP)

    DARKNET(65536IPs)

    ダークネットでスキャンを初観測

    AmpPotで攻撃通信を初観測

    AmpPotが観測したクエリ数がピーク

    9日間

    11日間

    攻撃に悪用されるドメインの早期検知

    10

  • 既存研究の例(2)

    アラートシステム牧田大佑,西添友美,小出駿,筒見拓也,金井文宏,森博志,吉岡克成,松本勉,井上大介,中尾康二:早期対応を目的とした統合型DRDoS攻撃観測システムの構築,電子情報通信学会,暗号と情報セキュリティシンポジウム,2015.浦川順平,澤谷雪子,山田明,窪田歩,牧田大佑,吉岡克成,松本勉:ハニーポット監視によるDRDoS攻撃の早期規模推定,電子情報通信学会,暗号と情報セキュリティシンポジウム(SCIS),2015.

    11

  • DRDoSアラートシステム

    • AmpPotを用いた攻撃情報のリアルタイム共有.

    攻撃対象

    リフレクタ

    観測・分析

    攻撃者

    ISP etc.

    アラート復旧・対策

    牧田大佑,西添友美,小出駿,筒見拓也,金井文宏,森博志,吉岡克成,松本勉,井上大介,中尾康二:早期対応を目的とした統合型DRDoS攻撃観測システムの構築,電子情報通信学会,暗号と情報セキュリティシンポジウム,2015.

    12

  • ISPによるDoS検知時刻との比較(2014年8〜11月)

    Honeypotdetectiontime– ISPdetectiontime[s]

    攻撃件数

    95%の早期検知に成功

    ハニーポット警報のうち81.8%が事後的にISPにより大規模攻撃と認識されたそのうち 36.4% は要対応事例だった(ISPによる攻撃への対応が実施された)

    浦川順平,澤谷雪子,山田明,窪田歩,牧田大佑,吉岡克成,松本勉:ハニーポット監視によるDRDoS攻撃の早期規模推定,電子情報通信学会,暗号と情報セキュリティシンポジウム(SCIS),2015. 13

  • AmpPot Dataset

    14

  • AmpPot Dataset

    データの内容 AmpPotのトラフィックデータ(クエリのみ)

    データ形式 PCAPファイル

    AmpPotの台数 1台@日本

    対応サービス

    CHG(19/udp, CharacterGenerator)DNS(53/udp, DomainNameSystem)NTP(123/udp,NetworkTimeProtocol)

    SSDP(1900/udp, SimpleServiceDiscoveryProtocol)期間 2015年5月31日〜6月6日 (1週間)

    データサイズ 2.1GByte (gzip圧縮後)

    データに含まれる通信の中身

    • DRDoS攻撃• スキャン• その他?(e.g.DNS水責め攻撃)

    (注意)実際の攻撃先のIPアドレスを含むので,データの取扱いにはご注意下さい。

    15

  • 通信からわかる情報

    •攻撃対象•攻撃の通信量(踏み台1台あたり)•攻撃の継続時間•攻撃に使われるサービスの種類•攻撃に使われるリクエストの内容•踏み台を探す通信(スキャン)の内容・頻度• etc.

    16

  • データの基礎統計

    (1週間の合計) CHG DNS NTP SSDPパケット数 83,021,625 32,057,243 72,449,159 3,223,331

    通信先アドレス数 4,304 405 104,446 6,415

    0

    5000000

    10000000

    15000000

    20000000

    25000000

    30000000

    35000000

    5/31/15 6/1/15 6/2/15 6/3/15 6/4/15 6/5/15 6/6/15

    CHG DNS NTP SSDP

    17

  • ご要望等ございましたらご連絡下さい

    (吉岡先生) [email protected](牧田) [email protected]

    18


A Study on Exploitable DRDoS Amplifiers in Europe

An Analysis of DrDoS SNMP-NTP-CHARGEN Reflection Attacks White Paper A4 042913

ハニーポットを勳厒してみた - enog.jpenog.jp/wp-content/uploads/2015/07/ENOG33_honypot.pdf · ハニーポットとは • 勘匁アクセスを匃けることに卒値を匛つシステム

Distributed Reflection Denial of Servicearvind/cs425/doc/drdos.pdf(DoS), distributed denial of service (DDoS), and distributed reflection denial of service (DRDoS) attacks. Bandwidth

CHARGEN-Based DrDoS Attacks: A Growing Marketplace and DDoS Threat

Backbone Network DRDoS Attack Monitoring and Analysis

SBSeg 2016 Niterói, RJ 08 de novembro de 2016 - CERT.br · 2016-11-18 · Tipos de ataques DDoS Volumétrico – DRDoS • Serviços UDP permitindo abuso SNMP, SSDP, DNS recursivo

ハイパー LED T10 ウェッジ/BAX9s タイプ バルブT10 × 37 用 定 格 T10 × 31 用 T10 × 37 用 T10 × 41 用 T10 × 41 用 T10 × 41 用 T10 × 37 用 交換前 交換後

Visualization of Actionable Knowledge to Mitigate DRDoS

Amplification and DRDoS Attack Defense – A Survey and …against future amplification attacks. I. INTRODUCTION Denial of Service (DoS) attacks attempt to make a machine or network

Redis 用 Amazon ElastiCache - Redis 用 ElastiCache ユーザーガイド · Redis 用 Amazon ElastiCache Redis 用 ElastiCache ユーザーガイド Redis 用 Amazon ElastiCache

CHINOの温度センサ | 株式会社チノー · 2017-08-17 · 銅コア テフロンコア susコア ネジサイズ φ1.0用 φ1.6用 φ2.0用 φ3.2用 φ4.8用 φ6.0用 φ6.4用

Amplification and DRDoS Attack Defense - arXiv · Amplification and DRDoS Attack Defense – A Survey and New Perspectives Fabrice J. Ryba, Matthew Orlinski, Matthias W¨ahlisch

「電気通信業者に おけるサイバー攻撃等への 対処 …...④ハニーポットを用いた駆除の取組 - Windows XPの脆弱性を狙うNW感染経由の攻撃が減少しているため、

WiFiPenTest 手順書(aircrack-ngspectrum-tech.co.jp/wordpress/wp-content/uploads/wifi_pen_test_summary.pdf6. Aircrack-ngの体系 6.1 airbase-ng :ハニーポット用基地局

Analysis of NTP DRDoS Attacks Performance Effects and

Tấn công DOS DDOS DRDOS và BOTNET

Microsoft Windows 用用用用 Siebel インストールガイド - …...Microsoft Windows用用用Siebelインストールガイド バージョン8.1 3 目次目次目次目次

Capítulo 11 DoS - Denial of Service DDoS - Distributed Denial of Service DRDoS - Distributed Reflection Denial of Service

汎用汎汎用用汎用トレーラトトレレーーララトレーラ...汎用汎汎用用汎用トレーラトトレレーーララトレーラ 取取取取 扱扱扱扱 説説説説

第15回情報セキュリティEXPO[春 Internet of Things …–2017年3月、ハニーポットが初めて検出 –初期ユーザ名&パスワードでtelnetで不正ログインして感染

コンクリート用336 NEW 定 アンカー・ネジ 多用途ALC用 コンクリート用 中空壁用 ボード用石膏 鋼板用軽天用・ 各種ネジ ナット寸切ボルト用

Tổng quan về DoS - DDoS - DRDoS

Tong quan do_s- d_dos- drdos

Profiling DRDoS Attacks with Data Analytics Pipeline

Guida Completa Al Denial of Service (DoS, DDoS, DrDoS)

Tim Hieu Tan Cong Tu Choi Dich Vu DoS DDoS DRDoS

ユーザーマニュアル - INBYTEinbyte.jp/download/t9/T9_manual_ver1.00.pdfT9 専用 T9 専用 T9 専用 T9 専用 T9 専用 FineVuシリーズ 専用 ※1 『GPSモジュール』と『4極ミニプラグ用AVケーブル』は併用できません。※2

Brasil vs Mundo: Uma Analise Comparativa de Ataques´ DDoS por … · ficativa de tr´afego DRDoS na Internet. Um relat orio recente [NETSCOUT 2019] mos-´ tra um crescimento de

Detecting DRDoS attack by Log File based IP pairing mechanism€¦ · [email protected] . Abstract: - As the number of security threats and attacks the need for developing flexible

Detecting DRDoS attack by Log File based IP pairing mechanism · Detecting DRDoS attack by Log File based IP pairing mechanism . ... based IP pairing detection method to detect the

制御システムにおけるDeception Systemと早期警戒網について · 2018-03-16 · PLC1 valve meter sensor PLC2 PLC3 ・・・ SCADA HMI Ethernet OPC サーバ ハニーポット

DoS - DDoS - DRDoS

第6回 G-Study LT資料 SSHハニーポットを運用してみて

AWS Security JAWS 経済的にハニーポットのログ分析をするためのベストプラクティス?