バックスキャッタ分析に基づく  DoS攻撃被害の特徴分析  

早稲田大学  基幹理工学部  情報理工学科 後藤研究室　学士4年

1W100309-1　武部嵩礼

2014/02/04 1　　　　卒業論文審査会

目次

� 研究の背景� 研究の目的� ダークネット� バックスキャッタ� 分析データ� 分析手法� 分析結果� 考察� まとめと今後の課題

2014/02/04 　　　　卒業論文審査会 2

研究の背景� DoS（Denial of Service）攻撃による 　被害が増大し問題となっている

�  DDoS（Distributed Denial of Service）攻撃は多数のマシンから行われるDoS攻撃のこと

2014/02/04 　　　　卒業論文審査会 3参考サイト　http://jp.nsfocus.com/SecurityReport/2013%20NSFOCUS%20Mid-Year%20DDoS%20Threat%20Report.pdf

DDoS攻撃は２分に１度発生 対処すべき脅威

2013年上半期のDDoS攻撃件数の総計は168,459件

ホストやネットワークに過負荷を与え、 正常なサービスを提供できなくする攻撃

研究の目的

� DoS攻撃で発生するバックスキャッタを発信元ポート番号の観点から分析

� DoS 攻撃で被害を受けやすいTCP上のサービスを把握  

2014/02/04 　　　　卒業論文審査会 4

DoS攻撃で狙われるポートの特徴がわかる

弱点がわかり

防御がしやすくなる

ダークネット

� ダークネット◦ 実ホストが存在しない未使用IPアドレス空間

� ダークネットに届くパケットの例 ◦ マルウェアによるスキャンパケット◦  DoSによる跳ね返りパケット（バックスキャッタ）◦ 設定不備などによるパケット

2014/02/04 　　　　卒業論文審査会 5対象は存在していない

dark IP アドレス　攻撃者など

不正 パケット

バックスキャッタ

� 送信元IPアドレスが詐称されたTCP SYN Flood攻撃を受けたサーバが返すSYN+ACKパケット

2014/02/04 　　　　卒業論文審査会 6

DoS攻撃者DoS被害者

A

A B

C D

B C D ABCD

2013 年上半期発生のDDoS攻撃168,459件の内、38.7％がSYN Flood 攻撃で1位（NSFOCUS 社調べ）

分析データ：NICTER Darknet Dataset 2013

� 情報通信研究機構（NICT）が提供する 　ダークネット研究用のデータセット

� ある1組織（/16）のダークネット（/20）で観測されたトラフィックデータ ◦  2011年1月1日～2012年12月31日の2年間分 ◦ 最新の観測データも準リアルタイムに提供

� 本研究では2011年1月1日〜2012年12月31日の期間に出現するバックスキャッタを分析

2014/02/04 　　　　卒業論文審査会 7

分析データの全体統計

2014/02/04 　　　　卒業論文審査会 8

年度   種類   パケット数  ホスト数  

2011 ダークネット全体   130,025,086 3,738,344

バックスキャッタ   54,394,773 40,850

2012 ダークネット全体   172,433,015 6,350,409

バックスキャッタ   37,085,614 62,475

バックスキャッタパケットのダークネット全体に占める割合 2011年度：41.8%　2012年度：21.5%

分析手法

� 発信元ポート番号の上位10個を分析 ◦ 主要な攻撃対象となるポート番号を調べる  

� 攻撃を受けるポート番号の偏りを分析 ◦ ポート番号に関する累積度数分布を調べる

� ポート番号別にパケット数推移と 　ホスト数推移を分析 ◦  DoS攻撃のトレンドを把握する  

2014/02/04 　　　　卒業論文審査会 9

分析手法

� 発信元ポート番号の上位10個を分析 ◦ 主要な攻撃対象となるポート番号を調べる  

� 攻撃を受けるポート番号の偏りを分析 ◦ ポート番号に関する累積度数分布を調べる

� ポート番号別にパケット数推移と 　ホスト数推移を分析 ◦  DoS攻撃のトレンドを把握する  

2014/02/04 　　　　卒業論文審査会 10

分析結果（１）：発信元ポート番号 Top10

ポート番号 パケット数 ホスト数

80 39075143 60007

6005 208067 4022

53 753926 3161

6667 350133 1763

22 173144 1323

21 208158 969

3389 231146 903

1863 3982 792

6000 43691 789

443 144031 734

2014/02/04 　　　　卒業論文審査会 11

2012年度バックスキャッタ

上の結果から主に攻撃されるサービスがわかる

ポート番号 パケット数 ホスト数

80 27422454 105788

22 667781 8399

6005 494670 7448

6667 305245 2528

53 364194 1732

443 496272 1202

113 28478 1056

21 180128 965

6000 35144 909

6010 27451 831

SSH

HTTP HTTPSSH

DNS

FTP

FTP

DNS

HTTPS

HTTPSAUTHRDP

MSNP

x11

x11

x11

x11

x11

ircuircu

ホスト数＝出現したIPアドレスの種類

2011年度バックスキャッタ

ウェルノウンポート番号が半数以上 残りは予約済みポート番号

分析手法

� 発信元ポート番号の上位10個を分析 ◦ 主要な攻撃対象となるポート番号を調べる  

� 攻撃を受けるポート番号の偏りを分析 ◦ ポート番号に関する累積度数分布を調べる

� ポート番号別にパケット数推移と 　ホスト数推移を分析 ◦  DoS攻撃のトレンドを把握する  

2014/02/04 　　　　卒業論文審査会 12

度数分布と累積度数分布

2014/02/04 　　　　卒業論文審査会 13

データのばらつきの状況を複数の階級に分割した際、 それぞれの階級に属しているデータの個数を度数と呼ぶ。 累積度数分布とは度数分布において、その階級以下の度数を 合計した時の分布状況を表したもの。

度数分布図

累積度数分布図

2

2

2

2

2

2

5

0

0

2

2

15

2

2

0 15

1

2

2

2

2

2

2

1

0

0

2

2

15

20 15

1

参考サイト　http://www.heisei-u.ac.jp/ba/fukui/pdf/stattext04.pdf

分析結果（２）：累積度数分布

2014/02/04 　　　　卒業論文審査会 14

ユニークホスト数に関してポート番号の累積度数分布を調査した 攻撃を受けるポート番号の偏りがわかる

ウェルノウンポート番号 x11

分析手法

� 発信元ポート番号の上位10個を分析 ◦ 主要な攻撃対象となるポート番号を調べる  

� 攻撃を受けるポート番号の偏りを分析 ◦ ポート番号に関する累積度数分布を調べる

� ポート番号別にパケット数推移と 　ホスト数推移を分析 ◦  DoS攻撃のトレンドを把握する  

2014/02/04 　　　　卒業論文審査会 15

分析結果（３）：ポート番号別パケット数と 　　　　　　　　　　　　ホスト数の推移 (2011年度)

2014/02/04 　　　　卒業論文審査会 16

ホスト数の推移

0

1,000,000

2,000,000

3,000,000

4,000,000

5,000,000

6,000,000

1/1 2/1 3/1 4/1 5/1 6/1 7/1 8/1 9/1 10/1 11/1 12/1

Num

ber

of p

acke

ts

Date

80 6005 53 6667 22 21 3389 1863 6000 443

0

1,000

2,000

3,000

4,000

5,000

6,000

1/1 2/1 3/1 4/1 5/1 6/1 7/1 8/1 9/1 10/1 11/1 12/1

Num

ber

of h

osts

Date

80 6005 53 6667 22 21 3389 1863 6000 443

パケット数の推移

基本的に80番ポートが大多数

大規模なDoS攻撃の発生広範囲なDoS攻撃の発生 標的は80, 53, 1863

分析結果（４）：ポート番号別パケット数と 　　　　　　　　　　　　ホスト数の推移 (2012年度)

2014/02/04 　　　　卒業論文審査会

0

100,000

200,000

300,000

400,000

500,000

600,000

1/1 2/1 3/1 4/1 5/1 6/1 7/1 8/1 9/1 10/1 11/1 12/1

Num

ber

of p

acke

ts

Date

80 22 6005 6667 53 443 113 21 6000 6010

17

パケット数の推移 ホスト数の推移

0

100

200

300

400

500

600

1/1 2/1 3/1 4/1 5/1 6/1 7/1 8/1 9/1 10/1 11/1 12/1

Num

ber

of u

niqu

e ho

sts

Date

80 22 6005 6667 53 443 113 21 6000 6010

SSH (22)増加傾向

基本的に80番ポートが大多数 それ以外にも随時スパイクが存在

まとめと今後の課題

� まとめ ◦  DoS攻撃に狙われやすいサービスが明白に  存在する �  HTTP（80）は顕著 �  SSH (22)、 X11 (6000~6063)は今後増加する ◦ パケット数推移とホスト数推移をポート番号別の観点から分析することで、DoS攻撃の　トレンドがわかる

� 今後の課題 ◦ 別のダークネット観測結果における検証 ◦ 本研究の結果をDoS 攻撃対策に応用すること

2014/02/04 　　　　卒業論文審査会 18

ご清聴ありがとうございました

2014/02/04 19　　　　卒業論文審査会

補足資料

2014/02/04 　　　　卒業論文審査会 20

参考文献（１）�  [1]  福井正康, “基礎からの統計学  4章  度数分布”, http://www.heisei-u.ac.jp/ba/

fukui/pdf/stattext04.pdf, November, 2002.

�  [2]  NSFOCUS, “NSFOCUS 2013 年上半期  DDoS 脅威レポート”, http://jp.nsfocus.com/SecurityReport/2013%20NSFOCUS%20MidYear%20DDoS% 20Threat%20Report.pdf, September, 2013.

�  [3]  山口  崇徳, “2. インターネットオペレーション  DNS オープンリゾルバ問題”, 株式会社イ  ンターネットイニシアティブ  http://www.iij.ad.jp/company/development/report/iir/pdf/iir_vol21_ internet.pdf, November, 2013.

�  [4]  独立行政法人  情報通信研究機構(NICT), “MWS2013 データセット  ~ダークネットト  ラフィックデータ~ ”, http://www.iwsec.org/mws/2012/presentation/NICT_Datasets_2013.pdf,June, 2013.

�  [5]  笠間  貴弘, “MWS 2013 意見交換会(2013/06/12)nicter darknet 2013”, NICT http://www.iwsec.org/mws/2013/files/nicterdarknet_Dataset_2013.pdf,June, 2013.

�  [6]  CERT Advisory, “CA-1996-01 UDP Port Denial-of-Service Attack”, CERT, http://www.cert.org/advisories/CA-1996-01.html, September, 1997.

�  [7]  CERT Advisory, “CA-1996-21 TCP SYN Flooding and IP Spoofing Attacks”, CERT, http://www.cert.org/advisories/CA-1996-21.html, November, 2000.

2014/02/04 　　　　卒業論文審査会 21

参考文献（２）�  [8]  TFreak, “smurf.c”,Phreak.org, http://www.phreak.org/archives/exploits/denial/smurf.c,

October, 1997. �  [9]  CERT Advisory, “CA-1998-01 Smurf IP Denial-of-Service Attacks”, CERT, http://

www.cert.org/advisories/CA-1998-01.html, March, 2000. �  [10]  AusCERT, “AL-1999.004 – Denial of Service (DoS) attacks using the Domain Name

System (DNS)”, �  http://www.auscert.org.au/render.html?it=80, August, 1999. �  [11]  JPRS, “DNS の再帰的な問合せを使った  DDoS 攻撃の対策について”, �  http://jprs.jp/tech/notice/2006-03-29-dns-cache-server.html, March, 2006. �  [12]  青木  大我, “ネットを崩壊の瀬戸際に追い込んだ「史上最大のサイバー攻撃」が明るみに  -INTERNET Watch”, INTERNET Watch http://internet.watch.impress.co.jp/docs/news/20130328_593523.html, March, 2013.

�  [13]  JPCERT/CC, “DNS の再帰的な問い合わせを使った  DDoS 攻撃に関する注意喚起”, http://www.jpcert.or.jp/at/2013/at130022.html, April, 2013.

�  [14]  Joe Touch, Eliot Lear, Allison Mankin, Markku Kojo, Kumiko Ono, Martin Stiemerling, Lars Eggert, Alexey Melnikov , Wes Eddy, Eddie Kohler, Allison Mankin, “Service Name and Transport Protocol Port Number Registry”, Internet Assigned Numbers Authority http://www.iana.org/assignments/service-names-port-numbers/ service-names-port-numbers.xhtml, January, 2014.

�  [15]  Ruoming Pang, Vinod Yegneswaran, Paul Barford, Vern Paxson, Larry Peterson, Char- acteristics of internet background radiation, IMC ’04 Proceedings of the 4th ACM SIG- COMM conference on Internet measurement, pp.27–40, October, 2004.

2014/02/04 　　　　卒業論文審査会 22

参考文献（３）�  [16]  中里  純二, 大高  一弘, 島村  隼平, 中尾  康二, nicter によるネットワーク観測および分析レ  ポート, 電子情報通信学会技術研究報告. ICSS, 情報通信システムセキュリティ  109(33), pp.15–20, May, 2009.

�  [17]  中里  純二, 島村  隼平, 衛藤  将史,井上  大介,中尾  康二, nicter によるネットワーク観測お  よび分析レポート~長期ネットワーク観測に基づく攻撃の変遷に関する分析~,電子情報  通信学会技術研究報告. ICSS, 情報通信システムセキュリティ  110(475), pp.53–58, March, 2011.

�  [18]  中里  純二, 島村  隼平, 衛藤  将史,井上  大介,中尾  康二, nicter によるネットワーク観測お  よび分析レポート~DDoS 攻撃によるバックスキャッタの推移と分類~,電子情報通信学  会技術研究報告. IA, インターネットアーキテクチャ  112(90), pp.37–42, June, 2012.

�  [19]  寺田  真敏, Dos/DDoS 攻撃とは  , 情報処理  Vol.54 No.5, pp.428–435, April, 2013. �  [20]  齋藤  衛, Dos/DDoS 攻撃対策  (1)~ISP における  DDoS 対策の現状と課題~ , 情報処理  

�  Vol.54 No.5, pp.468–474, April, 2013. �  [21]  井上  大介, 中里  純二, 衛藤  将史, 中尾  康二, Dos/DDoS 攻撃対策  (3)~ダークネット観測  

�  網を用いたバックスキャッタ分析~ , 情報処理  Vol.54 No.5, pp.481–487, April, 2013. �  [22]  竹久達也,井上大介,衛藤将史,吉岡克成,笠間貴弘,中里純二,中尾康二,サイバーセ  キュリティ情報遠隔分析基盤  NONSTOP, 電子情報通信学会技術研究報告. IA, インター  ネットアーキテクチャ  113(94), pp.85–90, June, 2013.

2014/02/04 　　　　卒業論文審査会 23

参考文献（４）�  [23]  中里  純二, 島村  隼平, 衛藤  将史, 井上  大介, 中尾  康二, nicter によるネットワーク観測お  よび分析レポート  ~ネットワークインシデントの前兆~, 電子情報通信学会技術研究報  告. IA, インターネットアーキテクチャ  113(94), pp.79–84, June, 2013.

�  [24]  中里  純二, 島村  隼平, 衛藤  将史, 井上  大介, 中尾  康二, nicter によるネットワーク観測お  よび分析レポート  ~組み込みシステムに感染するマルウェア~, 電子情報通信学会技術研  究報告. ICSS, 情報通信システムセキュリティ  113(137), pp.381–385, July, 2013.

�  [25]  神薗  雅紀, 畑田  充弘, 寺田  真敏, 秋山  満昭, 笠間  貴弘, 村上  純一, マルウェア対策のた  めの研究用データセット~MWS Datasets 2013~, 情報処理学会  コンヒュータセキュリ  ティシンポジウム  2013 1A1, pp.1–8, October, 2013.

�  [26]  後藤  滋樹, 外山  勝保, インターネット工学, コロナ社, September, 2007. �  [27]  TCPDUMP & LIBPCAP public repository, �  http://www.tcpdump.org/ �  [28]  MaxMind - GeoIP — IP アドレスの位置情報データベース, http://

www.maxmind.com/ja/geolocation_landing �  [29]  Smurf Amplifier Registry, http://www.powertech.no/smurf/ �  [30]  Request for Comments (RFC) Pages, �  http://www.ietf.org/rfc.html �  [31]  マルウェア対策研究人材育成ワークショップ  2013 (MWS2013) , http://

www.iwsec.org/mws/2013/

2014/02/04 　　　　卒業論文審査会 24

参考文献（５）�  [32]  NICT-独立行政法人  情報通信研究機構, http://www.nict.go.jp/

�  [33]  CAIDA: The Cooperative Association for Internet Data Analysis ,

�  http://www.caida.org/home/

�  [34]  EURECOM,

�  http://www.eurecom.fr/en

�  [35]  REN-ISAC,

�  http://www.ren-isac.net/

2014/02/04 　　　　卒業論文審査会 25