題名 | 偽装応答によるscan攻撃抑制システムについて |
著者 | *大塚 賢治, 兒玉 清幸 (大分大学大学院工学研究科), 吉田 和幸 (大分大学総合情報処理センター) |
Page | pp. 1182 - 1189 |
Keyword | ネットワーク管理, ネットワークセキュリティ, scan攻撃 |
Abstract | セキュリティホールが残っているコンピュータや特定のサービスを動作させているコンピュータの存在等を探すscan攻撃や,scan攻撃により発見したコンピュータやサービスに対しての攻撃が後を絶たない.コンピュータ1台あたり,1日4件の不正なアクセスを受けているという報告もでている.不正アクセスにより侵入された場合,侵入されたコンピュータが他のコンピュータを攻撃するための踏み台や,spamの中継,フィッシング詐欺などに利用され,他のユーザやネットワークに被害を及ぼすケースもある.そのため,ネットワークの管理者は攻撃への対策を行う必要がある.しかし,大学など複数の管理者によってネットワークが運用されている場合や,大規模のネットワークにおいては,全てのコンピュータに対策を行うことが難しい. 我々は透過型ブリッジとして動作し,throttlingを用いてネットワーク単位でscan攻撃を抑制するシステムを提案・構築し,運用を行ってきた.throttlingとはTCPによる接続要求の回数に応じて遅延時間を算出し,要求に対する応答を遅らせるというものである.このシステムの運用の結果,遅延をかけるthrottlingだけではscan攻撃を抑制できない場合があることがわかった. そこで,新たに偽装応答という機能を提案・追加し運用を行った.偽装応答とは,未使用IPアドレスに対するTCPの接続要求に対して,システムが応答を返すという手法である.未使用のIPアドレスから応答があるように見せ,scan攻撃による内部ネットワークの調査を妨害する.偽装応答を行うことにより,そのIPアドレスを攻撃者に使用中のIPアドレスだと考えさせ,未使用のIPアドレスに攻撃を誘導する.攻撃を特定のIPアドレスに誘導することにより,他のIPアドレスへの攻撃を減少させることを期待する.本システムを大学のLAN内に設置し、このシステムを2008年1月から運用している. 約1ヶ月分のscan攻撃抑制システムのログから,以下のことがわかった.(1)未使用IPアドレスへのコネクション要求に対して偽装応答を返すことにより,未使用IPアドレスの偽装ができていること.(2)システムを設置しているネットワークへのsshに対するscan攻撃のログから,偽装応答を行った未使用のIPアドレスに対して攻撃を行っていることから,偽装応答により未使用IPアドレスへの攻撃の誘導を行えていること.(3)攻撃者と判断された送信元IPアドレスから使用中のIPアドレスに対しても接続要求を行った場合,システムが偽装応答を返すことにより,攻撃者に対して内部ネットワークの情報の隠蔽ができていること. 複数の場所でtcpdump等のデータ収集を行い、それらを比較・解析することで,本システムの偽装応答によるscan攻撃の抑制効果や偽装応答をするアドレスブロックへの攻撃の誘導についての調査を行っている. 本論文では,sscan攻撃抑制システムが用いている攻撃者識別のアルゴリズムと本システムの概要について述べ、今までの運用ログ等の解析結果から本システムの有効性について論じる. |
題名 | Layer2ネットワーク構成情報推測・表示システムにおけるVLAN情報の収集と表示の提案 |
著者 | *藤田 俊輔, 飯田 隆義, 兒玉 清幸 (大分大学工学研究科), 吉田 和幸 (大分大学学術情報拠点情報基盤センター) |
Page | pp. 1190 - 1197 |
Keyword | LAN, ネットワーク管理, ネットワークトポロジー, VLAN |
Abstract | ネットワークの構成情報を把握することは,ネットワーク管理を行う上で非常に重要である.ネットワークの構成を正確に把握することにより,ネットワーク管理者は問題に的確に対処し,あるいは予防することができる.しかしながら,物理的構成を反映しているLayer2レベルでのネットワークの構成を正確に把握することは困難である. ネットワークの急速な発達とその社会的有用性から,ネットワークの巨大化・複雑化が進み,その依存度も高くなっている.そのため,ネットワークが円滑に運用されていることが重要であり,ネットワーク管理者の負担の負担を軽減するために様々な研究がなされており,支援ツールが作られている.また,ネットワーク上のトラフィックを分散し,軽減するためにVLANが多く用いられている. VLANはLANスイッチの各ポートに所属IDを付けてグループ化し,それぞれのグループを独立したサブネットとして機能させるもので,端末の物理的な配置を特に気にすることなくネットワークの構成を変更することができる.また,VLANごとのネットワーク構成の把握も重要である.VLANでは設定がポートごとに行われるため,あるLANスイッチの何番ポートが,どのLANスイッチの何番ポートに接続されているかを知ることが重要となる.また,トラフィック解析を行う際にも,LANスイッチ間の接続関係を知ることが有効となる. 我々はLANスイッチから収集できるFDB(Forwarding Database)を用いてLANスイッチ間の接続関係を推測するアルゴリズムを提案し,LANスイッチのFDBからスイッチ間の接続関係を推測・表示するシステムを作製し利用してきた.FDBは受信フレームを適切なポートに送信するためのテーブルで,フレームの受信時に送信元MACアドレスを受信ポートに関連付ける.そのため,FDBによるLANスイッチ間の接続関係の推測が可能となる. 我々のシステムでは,FDB情報を取得するためにSNMP(Simple Network Management Protocol)を用いてBridgeMIBと拡張BridgeMIBの情報を収集している.また,FDB以外にもネットワーク機器のインタフェースごとに設定されているMACアドレス情報を用いることで,LANスイッチ以外のルータやサーバなどの接続関係も発見することができる. ネットワーク構成の推測の後,本システムでは推測したネットワークの構成情報を基にしてグラフィカルに表示することで,Layer2ネットワークの接続関係を分かりやすくユーザに提供する. 我々の提案してきたLayer2ネットワークのトポロジ発見のアルゴリズムとシステムでは,十分なFDB情報を収集できなくても,管理対象となるネットワークの接続関係を可能な限り推測することができる.しかし,現在ではVLANによるネットワークの分割が一般的であり,ネットワークの運用を円滑に行うためには,今までのLayer2ネットワークのトポロジだけでは不足している.そこで個々のVLANのトポロジ情報が必要となる. 本論文では,大分大学におけるLayer2ネットワークの構成要素と,FDBの収集方法について述べ,先行研究としてFDBの情報からネットワーク構成を推測するアルゴリズムについて述べた後に,個々のVLANのネットワーク構成を推測するためのVLAN情報の収集と,推測されたVLANネットワークの表示の方法について述べる. |
題名 | ネットワーク構成情報表示システムのための自動配置アルゴリズムの改良と評価 |
著者 | *飯田 隆義, 兒玉 清幸, 有田 敏充, 藤田 俊輔 (大分大学大学院工学研究科), 吉田 和幸 (大分大学学術情報拠点情報基盤センター) |
Page | pp. 1198 - 1205 |
Keyword | ネットワーク管理, ネットワークトポロジ |
Abstract | 近年の通信技術の発達により多くの通信機器はネットワークで結ばれ、様々な場面で利用されるようになった。また、コンピュータネットワークの重要度や利用価値は計り知れないものがあり、教育機関や行政機関また、多くの企業にいたるまで幅広く利用されている。そのため、コンピュータネットワークは今や社会基盤の1つとして、その役割を担うまでに成長した。しかし、コンピュータネットワークがその利用価値を増すごとに、ネットワークの構成は大規模化・複雑化の一途を辿ることになり、我々がネットワークの利便性を享受する一方で、ネットワーク管理者への負担はネットワークの規模に比例して増加することになる。また、重要なシステムで利用されているネットワークに障害が発生した場合、迅速な対応を怠ると致命的な被害につながる可能性が高く、ネットワーク管理者は障害の処置を行うためにネットワーク構成を正確に把握しておく必要がある。ネットワーク構成の正確な把握は障害管理を行う際の基本的な情報となるが、ネットワーク構成情報の収集には多大な労力を要することになる。また、ネットワーク構成は変化することが多く、そのこともネットワーク管理に掛かる負担を増加させる要因となっている。 そこで、我々は管理者のネットワーク管理に掛かる負担を軽減させることを目的として、コンピュータネットワークにおけるLANスイッチ、ルータから、データリンク層、ネットワーク層の構成情報を自動収集し、Java Appletを用いて視覚的に表示するネットワーク構成情報表示システムの開発を行ってきた。本システムでは、変化したネットワーク構成情報を変化前と比較して表示することもできる。 本論文では、従来システムで利用していたネットワーク構成情報を見やすく表示するための自動配置アルゴリズムに注目し、従来のアルゴリズムが抱えている計算量における問題点の解消を研究目的とした新たなネットワーク構成情報表示のための自動配置アルゴリズムについて提案する。 従来のアルゴリズムでは、スプリングアルゴリズムと呼ばれる、バネが持つような収縮力・反発力の働きをノード間の接続に適応させる自動配置アルゴリズムをベースにしたものを採用していた。しかし、スプリングアルゴリズムによって自動配置を行うためには、全てのノード間に対して働く力の計算が必要であり、ノード数の増加に伴い収束にかかる時間は大幅に増加すると考えられる。 提案する新しいアルゴリズムである分割配置アルゴリズムでは、ノード数が増加しても、ネットワーク構成情報に対して段階的な自動配置を行うことで計算量の削減と、収束にかかる時間の短縮を図る。そのための条件として自動配置の対象となるネットワークを、大学や企業などで一般的に採用されるネットワーク形態である、キャンパスネットワークと呼ばれるネットワークに限定する。キャンパスネットワークにはバックボーンとなるループ構造と、また多くの機器を集約し、接続するためのスター型構造を特徴的な構造として持つことが多く、分割配置アルゴリズムではキャンパスネットワークの特徴的な構造ごとの自動配置を行う。 分割配置アルゴリズムではネットワークの構造を抽出し分割する、階層化プロセスと、分割した構造ごとの自動配置を行う、自動配置プロセスの2つから構成されている。階層化では、全てのノードに対して最端ノード、中間ノード、ループノードと定義した属性をつけることで特徴的な構造の抽出および分割を行う。自動配置では分割されたノードの集合を、構造の特徴に即した自動配置方法によって配置することで、見やすいネットワーク構成図をユーザに提示する。また、このアルゴリズムでは、ネットワーク構成情報の変化によって、新たに増加したノードを再配置する際にも有用に働く。従来のスプリングアルゴリズムでは、自動配置後に増加した少数のノードに対してもネットワーク全体を自動配置することで再配置を行っていた。しかし、分割配置アルゴリズムでは分割した構造ごとの配置が可能であるため、新たに増加したノードが属する構造のみを配置することによって、より無駄の少ない再配置が可能となる。 提案アルゴリズムと従来アルゴリズムの評価に関しては、移動処理における計算コスト、収束までの繰り返し回数、平均収束時間といった処理効率に関する評価と、ユーザに提示されるネットワーク構成図といった視認性に関する評価について比較を行う。 |
題名 | トランスポートプロトコル解析のための多様なビューを持つ可視化ツールの開発 |
著者 | *石橋 賢一, 砂原 秀樹 (奈良先端科学技術大学院大学) |
Page | pp. 1206 - 1210 |
Keyword | トランスポートプロトコル, 可視化, TCP |
Abstract | 無線通信技術の発達や,10Gビットイーサネットの登場など,現在のインターネッ ト接続環境は多様化・高速化の一途を辿っている.この状況に際し,多様なデー タリンクの性能を十分に活用できるように,トランスポート層プロトコルの研 究,開発,改良が広く行われている.これらの研究開発では,ある問題に対し, 解決する手法の予測をたて,その手法を用いて実験し,得られたデータを評価 してから,再度手法やパラメータを変更して実験をやり直す,いわゆるPDCA (Plan-Do-Check-Act) サイクルを繰り返す.PDCAサイクルを機能させるには, Check,すなわち実験結果を解析,評価する部分において,何が起こっているか を正確に把握することが重要である.実験結果の解析を誤ると,解決したい問 題に対する適切な手法の開発やパラメータの設定が困難になる.従って,直感 的に分かりやすい表現形式を用いて実験結果を観察できるのが望ましい. 多くの場合,実験データは時系列にそった数値の羅列として記録される.しか し,数字の羅列を観察するだけでは,実験中に生じた事象を把握したり,デー タの遷移をつかみ取ることが難しい.特に,トランスポートプロトコルにおけ る解析では,パケットごとのパラメータの遷移やパケットの送信間隔,パケッ トのシーケンス番号の遷移などが重要であるため,これらを把握しやすい表現 形式でデータを提示したいという要求が強い.このことから,プロトコル研究 開発においては,実験データをグラフ化するなどの可視化手法が用いられる. データを可視化することで,(1)データを全体的に俯瞰できる,(2)シーケンス の流れを把握しやすい,(3)個々のパケットだけみていては認識できないパケッ ト群の特定パターンの抽出に利用できる,などの利点が得られる. データの可視化方法としては,tcpdumpなどを用いて得られたデータをGnuplot やMicrosoft Excelなどの汎用のグラフツールを使ってグラフ化する手法のほか, トランスポート層,特にTCPに特化した可視ツールがいくつか存在している.例 えば,TCPセグメントのシーケンスを可視化して表示するツールとして tcpillustがある.また,tcptraceはシーケンス番号の遷移やセグメントロス, セグメント再送のタイミングをグラフ化するツールである. しかし,これらのツールでは,グラフ化などの単一の表現形式しかサポートし ておらず,対象とするトランスポートプロトコルも固定されている.解析した いデータや事象によって,適切な表現形式は異なるため,可視化する際の ビュー,すなわち表現形式は柔軟に変更可能であるべきである.また,SCTP (Stream Control Transmission Protocol) やDCCP (Datagram Congestion Control Protocol) など,新しいトランスポートプロトコルが標準化されてお り,これらのプロトコルへの対応も必要である. そこで本研究では,トランスポートプロトコルのための可視化ツール(以下,本 ツール)を作成し,その有用性を検証する.本ツールは,以下の三点を必要条件 として開発する.一点目として,プロトコルに応じたビューを提供する.例え ば,TCPであればセグメントのロス,タイムアウトの発生,再送セグメントの送 信タイミングなどが重要な事象であるため,これらを分かりやすく表現する ビューを提供する.二点目として,同一プロトコルに対する複数のビューを提 供する.プロトコルが同じでも,評価対象が変われば適切なビューは異なる. TCPを例にとると,セグメントのロスや再送のタイミングを把握する場合は,セ グメントシーケンスによる情報提示が分かりやすいが,シーケンス番号の増加 量を把握したい場合はグラフを用いた情報提示の要が分かりやすい.三点目と して,複数のトランスポートプロトコルへ対応する.現在の主要な可視化ツー ルはTCPのみをサポートしているが,TCPのみならず,SCTPやDCCPなどのプロト コルにも対応できるように,MVC(Model-View-Controller)モデルを用い,プロ トコル依存の部分とビューの部分を可能な限り分離してツールの作成を行う. ツール作成の第一段階として,解析可能なプロトコルとしてTCPを取り上げる. また,ビューにはセグメントシーケンスを表現する機能を実装する.セグメン トシーケンスを提示するビューは,他のプロトコルへも適応可能であるため, 段階的にSCTPなど他のプロトコルへの対応を進める. 本ツールの主な対象者はトランスポートプロトコルの研究者や開発者である. ただし,本ツールはトランスポートプロトコルを学ぼうとする初学者にも有用 である.パケットの流れを可視化することにより,初学者に対して直感的な理 解を与えることが可能である.また,パケットの送受信の様子を提示すること で,初学者のネットワークに対する興味を促進できると考えられる. |