Comments
Description
Transcript
サービス妨害迎撃ネットワークの システムアーキテクチャ
サービス妨害迎撃ネットワークの システムアーキテクチャに関する研究 The system architecture of “Defense Network for Comfortable Internet” 坂口 智哉 研究指導教員 教授 小林 浩 1. はじめに ーザが契約しているプロバイダを通して個別にメールを送信し,ユーザへ インターネット利用者の増加とともに,インターネットを悪用した犯罪や 駆除や対策を促そうとするものである[3].2006 年 11 月に発足した同プロ 不正行為が増え続けている.犯罪・不正行為手法の登場とともに,セキュリ ジェクトは,2007 年 11 月の時点で約 54 万個の検体を収集し,約 40,000 ティ技術もまた進化してはいるが,犯罪・不正行為手法もそれに合わせて 人に対してメールを送信した.そのうち駆除ツールをダウンロードしたユ また進化している.昨今では犯罪・不正行為手法の組織化・巧妙化が顕 ーザは 31%,つまり約 12,000 人という報告がある.ボットは毎日約 70 種も 著になってきたが,セキュリティ手法は自己のネットワークやコンピュータを の亜種が出現していると言われ,またそれぞれセキュリティ意識の異なる 守る従来型の対策のままであり,対策が限界にきているようである. 一般ユーザに駆除や対策を委ねているため,その効果は自ずと限界が こうした視点から,本研究では,従来のセキュリティ手法とは異なる発想 ある. に基づく“サービス妨害迎撃ネットワーク”を提案し,システムの試作開発 3. サービス妨害迎撃ネットワーク を通して,その有効性を示すことを目的とした. 3.1 システムアーキテクチャ 2. ボットネットの脅威とこれまでの対策 迎撃指令配信(ShN) 2.1 ボットネットの脅威 近年,インターネットセキュリティを脅かす存在となっている脅威のひと つにボットがある.ボットとは 2002 年頃から出現したマルウェアの一種で ある.ボットは外部(首謀者)からの指令を待ち,その指令に従って様々な 動作を行うリモートプログラムである.ボットは Windows などの脆弱性を突 被害者 いて感染を広げ,ボットネットと呼ばれる指令網を形成して一斉に大量の 攻撃検出(ReN) インターネット スパムを送信したり,DDoS(Distributed Denial of Service)攻撃を仕掛け 迎撃指令(DeN) たりする.現在確認されているボットネットの規模は,最大で数万台規模 に及ぶものもあるという.未だ確認できない大規模なボットネットの存在や, 今後さらに大規模なものが形成されることも予想されよう. 攻撃者(Bot) 2005 年の Telecom ISAC Japan および JPCERT/CC による調査によれ 流入制限(IgN) ば,日本国内だけでも 2~2.5%,すなわち 40~50 万台の PC が,世界規 模では 600~800 万台がボットに感染していると推計されている[1][2]. 図 1 サービス妨害迎撃ネットワークのシステムアーキテクチャ これまでボットネットが引き起こした DDoS 攻撃は一箇所のサイトを狙っ た,いわゆるスピア型の攻撃が多い.しかしながら,世界中の多数の箇所 提案するサービス妨害迎撃ネットワークは,既存の末端(コンピュータ に向けてサイバー攻撃を一斉に仕掛ける“同時多発型攻撃”が大規模に や組織の LAN)の自己防衛システムとは逆の発想のもとに,いわばインタ 行われれば,世界中のインターネットが動作不能に陥ることもあり得よう. ーネット上に“万里の長城”を築こうとするもので,以下の 4 つのノードを主 ボットネットによる全世界の被害額は 2005 年度だけでも 500 億ドルとされ 要構成要素とする(図 1). ているが,大規模な“同時多発型攻撃”が仕掛けられれば,世界の社会・ 【ReN: Request Node】 経済活動に計り知れない被害を与えよう[3]. 2.2 これまでの研究と課題 DDoS 攻撃の対策に関する提案はいくつか行われている.シスコシステ ムズ(株)は,“自己防衛型ネットワーク”を提案している[4].これは同社が 開発した技術を組み合わせて,DDoS 攻撃の検知と緩和を行うもので,具 体的には潜在的な攻撃の検知と攻撃トラフィックの迂回,トラフィックの分 析,悪質なパケットのフィルタリングを行う.しかしながら,これは攻撃ター ゲット近傍でのセキュリティ対策に過ぎず,無数の攻撃元から多数のター ゲットを狙った攻撃パケット(攻撃フロー)がインターネットに大量に流れ込 んでくる“同時多発型攻撃”の根本的な解決にならない. インターネットの要所でトラフィックを監視し,明確な攻撃や輻輳を検知 すると DeN へ対処を要請する. 【DeN: Deliver Node】 ReN からの対処要請を収集・分析・集約し,迎撃指令を発信する. 【ShN: Share Node】 DeN が発信した迎撃指令をサービス妨害ネットワーク全体に配送す る. 【IgN: Ingress Filter Node】 アドレス偽装や迎撃指令に合致した攻撃パケットの遮断もしくは 流入ポートの帯域制限を行なう. NTT では,攻撃を察知するとインターネット上を攻撃元まで遡りながら IgN は検問所の役割を担うもので,すべてのプロバイダに導入し,インタ DDoS 攻撃を遮断する“Moving Firewall(MF)”を開発している[5].これは ーネットに流入するすべてのパケットの検問を行うことが望ましい.具体的 攻撃を監視し,攻撃を検出すると防御を開始し,同時に攻撃上流の MF 機能として送信元アドレス偽装パケットの流出を遮断する送信元アドレス に向かって攻撃パケット識別情報を含むプログラムコードを自動複製して 偽装対策,DeN から出された迎撃指令の適用,帯域制限による輻輳の解 送信する.これを繰り返すことで攻撃発生地点の近傍で攻撃を遮断しよう 決,アノマリ検知による自律的な遮断もしくは帯域制限,さらにこれらの適 とするものである.MF は,攻撃フローが尐なければ効果的に機能するが, 用状況の DeN やエンドユーザへの通知などが考えられる.各機能の詳細 “同時多発型攻撃”のようなコアネットワーク上に多数の攻撃フローが錯 については後述するが,その実装は一律ではなく,設置場所によって異な 綜した場合には,監視制御しなければならないフローが急増するため, る.例えば,プロバイダ-ユーザ間であれば送信元アドレスの特定,アノマ QoS 制御にて IntServ が受け入れられなかったように,拡張性のある普遍 リ検知における閾値の特定が容易であり,またボットなどの駆除をエンドユ 的な解決策にはなり得ない. ーザに促す必要があるため,すべての機能を実装すべきである.一方,プ 一方,総務省と経済産業省と民間が連携して取り組んでいる“ボット対 ロバイダ-プロバイダ間では,一般的に送信元アドレスが広範にわたるた 策プロジェクト”は,ボットに感染している PC ユーザを見つけ出し,そのユ め,適用が難しく効果も小さくなるが,本システムに参加していないもしくは 設定が甘い下位プロバイダからのトラフィックを対象にフィルタリングするこ 装パケットの遮断をグローバルに確実に実施すれば,その効果はきわめ とが有用と思われる. て大きいものと推測される.しかしながら MobileIP やマルチホーム環境の ReN での攻撃検出の有用な手法に,侵入検知システム(IDS: Intrusion ように,正規のパケットであるのに送信元アドレスを偽装したように見える Detection System)がある.IDS の検出方式には,既知の攻撃を検出するシ パケットが遮断されないように,単純なパケットフィルタリング以上の制御 グネチャベース検知と,未知の攻撃を検知するアノマリベース検知とがあ が必要である. る.これらの組み合わせによって検出精度を上げることができる.攻撃検 送信 元 ア ド レス が 偽 装さ れ たパ ケ ッ ト をフ ィ ルタ リ ング す る手 法 に 出の具体的な手法については各所で研究が行われているため,ここでは “unicast Reverse Path Forwarding(以降 uRPF)”が RFC 文書として公表さ 深く言及しないが,本システムの適用に当たってのポイントは,次のとおり れている[8][9].uRPF は,ルータの経路表を利用するフィルタリング手法 である. で,ルータに流入してきたパケットの送信元アドレスが経路情報に存在す (a)ReN の設置場所は,攻撃対象になりやすい大企業や政府機関の入り るかどうかを検証するものである.送信元アドレスが経路情報に含まれて 口やサーバ自体のほかに,輻輳状態を監視するためにプロバイダ内や いれば,そのパケットを転送(通過)し,含まれなければ破棄する.なお, プロバイダ間のルータが挙げられる. 経路表にはネットワークアドレス単位で経路が登録されていることが多く, (b)LAN の入り口やサーバ自体では,シグネチャベースによる既知の攻撃 IgN をすり抜けたパケットの送信元 IP アドレスのホスト部は偽装されたまま パケットのほか,運用するサービスとの関連性を基に攻撃を認識するア であるが,ネットワークアドレスは信用できる.この性質を利用することによ ノマリベースの検出が必要である. って,後述の迎撃指令や帯域制限などの実施が可能である. (c)ルータでは,輻輳状態を常時監視しプロバイダ内の多数のルータで輻 輳状態が継続したときに「攻撃の可能性」を認識する. (d)攻撃もしくはその可能性を認識したとき,DeN に対して対処要請情報を 発信する. 3.3 迎撃指令によるパケットの遮断 これは,上述の送信元アドレス偽装対策をすり抜けたパケットの中で, 明らかに攻撃と断定できるものをインターネット全体で連携して遮断しよう とするものである.遮断するパケットに関する情報は,DeN の迎撃指令に なお,大量の攻撃に反応して膨大な数の対処要請情報を送信すれば, 含まれており,これに記述された特定パターンを持つパケットが遮断対象 DeN に対して大きな負荷をかけることになる.従って,ReN でのローカルな となる.パターンとは,TCP や UDP などのプロトコル,特定の送信元アドレ 対処要請情報の集約が必要である. ス群,シーケンス番号など IP ヘッダから得られる様々な要素が考えられる. DeN は ReN などから送られてきた対処要請情報の中から攻撃を発見後, 迎撃指令が次第に増えてくると適用しなければならないフィルタも増加し, 速やかにインターネット全体に攻撃に対する迎撃指令を発信する.しかし IgN のパフォーマンスが低下していくことが予想される.それを防ぐために ながら,大量の攻撃パケットに反応して ReN が生成する対処要請情報をそ は,フィルタごとやパターン要素ごとに優先度を設けて,優先度に基づい のまま迎撃指令として送出すれば,本システムそのものが二次的な攻撃を て木構造のフィルタリストを構築していくことで参照回数を最小限に留め 引き起こすことになりかねない.このためには,インターネット全体を見通し る,などしてパフォーマンスを向上させることが考えられる.IgN のフィルタ た対処要請情報の集約が必要となる.無数に飛び交う攻撃フローをいか の最適化やパフォーマンス詳細については,岸浦の報告を参照された に集約できるかが,本システムの中で技術的に最も難しい部分といえよう. い. 検討中の集約アルゴリズムは,病院での診察と処方に類似したもので,基 3.4 帯域制限による輻輳解決 本的な考え方は次のとおりである. DeN から指示される帯域制限は,迎撃指令による攻撃パケット遮断が (a)受信した対処要請情報は,攻撃種別ごとに設けられた処置フローに移 不可能な場合や,インターネット上で広範にわたって障害が発生した場 され,カルテ(対処要請情報や迎撃指令の経過を記録したもの)を参照 合に適用するのが基本である.前者は正規パケットと攻撃パケットとの区 して診断と処置が行われる. 別ができない場合などが,後者は大規模な“同時多発型”攻撃が発生し (b)最新の迎撃指令に包含されるものであれば,処置を保留し,カルテの 記録を更新する. (c)最新の迎撃指令に包含されないものは,その差分を記述した迎撃指令 を生成,配信し,カルテに追記する. (d)未知の攻撃種別に対しては,新たな処置フローとカルテを設け,暫定 迎撃指令を生成し配信するとともに,セキュリティベンダなどの専門機 関に分析を依頼する. e)定期的にカルテを分析し,記録内容や複数のカルテを一つに集約す る. た場合などが該当する.ただし,単純な帯域制限は輻輳を軽減すること はできてもが,一時的な対処に過ぎず,結局は攻撃参加マシンからの大 量のパケットがトラフィックの大半を占める状況に変わりはない.送信元ア ドレスごとに均等な帯域を確保することによって,通信不能状態に陥って いた正規ユーザの状況の改善を目指すことも一法と思われる. 3.5 アノマリ検知による自律的遮断・帯域制限 アノマリ検知による遮断・帯域制限はエッジ(プロバイダ-ユーザ間)で 特に有効で,正常時のパケットのパターン解析を基に異常状態を動的に 定義し,閾値を超えたときに遮断や帯域制限を自律的に開始する.具体 f)更新頻度の高いカルテを鳥瞰し,被害の範囲やその深刻さなどが一定 的には,トラフィック量,icmp の単位時間当たりの送出回数,smtp の単位 の水準を超えたときは,特定地域もしくはインターネット全体は非常事 時間当たりのコネクション設定要求数など曜日や時間帯ごとに定義し,許 態宣言(帯域制限など)を発動する. 容値を超えたときは「攻撃の可能性」と判断して帯域制限などを実施す DeN の対処要請情報の集約および迎撃指令の生成に関する詳細は,同 る. 研究グループの土屋の報告を参照されたい[6]. 3.6 エンドユーザでの対処 ShN は,DeN から送出された迎撃指令を速やかにインターネット全体に プロバイダ内やプロバイダ間のルータで対策を行ったとしても,攻撃が 配備された IgN に配信する役割を担う.迎撃指令の配信には,即時性・確 根本的になくなる訳ではなく,攻撃が再発する可能性が高い.究極は, 実性・耐障害性・低負荷といった要求にこたえる必要がある.このためには, ユーザ PC での対策が必須である.その具体的な実現方法としては,ユ 単一の技術ではなく,複数の技術を併用して実現すべきである.まず,即 ーザ PC からの攻撃パケットの流出を阻止する Egress Filter の導入と,検 時性を実現するには衛星を用いたプッシュ型の情報配信システムが有効 知後,エンドユーザにボット感染を告知し駆除サイトへ誘導することが効 となろう.また耐障害性を考慮すると P2P ネットワークが適しており,さらに 果的と考えられる.詳細は風間の報告書を参照されたい[11]. 輻輳時の過負荷状況下における情報配信を考慮すると,コネクションレス 4.実験 の通信も重要と考えられる.プッシュ型での情報配信のみでは受け取れな 4.1 ボット動作実験 い IgN に供え,一定時間ごとに自律的に http や ftp などの一般的なプロト まず,予備実験としてボットを実際に動作させて,ボットの DoS 攻撃能 コルを用いて迎撃指令の取得を試みるプル型の配信システムも考えられ 力の測定を行った.実験に使用したテストベッドは図 2 のネットワーク構成 よう.これらを実現する上で,注意しなければならないことは,なりすましや であり,図中のボット PC のスペックは表 1 の通りである.ボット PC にボット 改ざんなどによるシステムそのものへの攻撃である.そのため,加えて PKI の一種である Rxbot を感染させ,ハーダーに導入した IRC クライアント の構築も重要である.システムのセキュリティに関しては本研究グループ xchat を使用して指令を与えた.指令は IRC サーバを経由してボット PC の大久保の報告を参照されたい[7]. に伝えられる.IRC サーバではネームサーバソフトウェア BIND と IRC サ 3.2 送信元アドレス偽装対策 ービスを提供する ircd を動作させた. 攻撃パケットの多くがアドレス偽装していることから,送信元アドレス偽 実験は,ハーダーからボット PC へ“被害者に向かって SYN Flood 攻撃 を行う”よう指令した.ボット PC でネットワーク情報を表示する netstat を使 かしながら,所属ネットワーク範囲内のアドレスであれば,偽装してもフィ 用して,1000 秒間のトラフィック量を観測した. ルタを通過してしまうことになる.これに関しての対策は,前述の EgF のユ 表 1 ボット PC スペック CPU 主記憶 OS 主要ソフトウェア ーザ PC への実装によるアドレス偽装パケットの流出阻止が有効である. Intel Pentium Ⅲ 1.2GHz 256MB Microsoft Windows XP Professional RxBot 7.0 192.168.1.3 (255.255.255.0) 被害者 また,uRPF をグローバルに配備すれば,偽装元の所属ネットワーク(プロ バイダ)の特定が可能になるため,その後の攻撃の遮断や帯域制限を行 うことも容易になろう. 表 2 IgN の経路表 Destination Netmask 172.24.40.0 255.255.255.0 172.24.50.0 255.255.255.0 172.24.100.0 255.255.255.0 ボット PC 192.168.1.4 (255.255.255.0) Interface IF0 IF1 IF2 100Mスイッチングハブ 表 3 uRPF によって生成されたフィルタ ハーダー Protocol Input Interface Source Destination Action all all IF0 IF1 172.24.40.0/24 172.24.50.0/24 anywhere anywhere ACCEPT ACCEPT all IF2 172.24.100.0/24 anywhere ACCEPT all any anywhere anywhere DROP IRC サーバ 192.168.1.2 (255.255.255.0) 192.168.1.1 (255.255.255.0) 100Mbps 4.3 既知攻撃の検出迎撃実験 図 2 ボット動作実験ネットワーク構成図 192.168.120.0/24 その結果,ボット PC からは 15Mbps の攻撃トラフィックが発生しているこ 攻撃者 とが確認された. セキュリティ調査グループ Honeynet Project の研究報 192.168.20.20 攻撃者 1000Mスイッチングハブ 攻撃者 告書では,観測されるボットネットの規模は数百台から数万台の PC から 攻撃者 構成されているという[12].この報告に基づき,本実験と同等スペックの PC で5万台規模のボットネットが形成されていた場合にボットネット全体 攻撃者 ことになる.近年の末端回線速度や PC スペックの劇的向上を考えると大 攻撃者 192.168.130.0/24 192.168.20.30 1000Mスイッチングハブ 攻撃者 規模な”同時多発型攻撃“が起きる可能性も否定できない. 192.168.20.254 192.168.20.40 192.168.140.0/24 攻撃者 IF0: 172.24.40.1 (255.255.255.0) ユーザ 192.168.140.1 192.168.140.254 192.168.150.0/24 192.168.150.1 IF0 IF0 IgN IF2 192.168.10.0/24 192.168.10.254 被害者 192.168.20.50 192.168.150.254 192.168.10.1 1000Mbps 図 4 迎撃実験ネットワーク構成図 IF0: 172.24.40.2 (255.255.255.0) IF1: 172.24.50.2 (255.255.255.0) IF2: 172.24.100.2 (255.255.255.0) 提案するサービス妨害迎撃ネットワークシステムは,提案内容が多岐 にわたるため,すべての機能の実装には至っていない.本稿では実装し た一部機能の実験結果とその考察を,以下に示す.本実験のテストベッ IF0 攻撃パケット 172.24.??.?? ⇒ 172.24.40.1 100Mbps IF1 ReN / DeN mirror ドは,図 4 に示すネットワーク構成からなる.攻撃者は SYN Flood 攻撃を 攻撃者 行うツールを Linux 上で動作させた.このツールは 1 秒間当たりに約 1 万 IF0: 172.24.100.2 (255.255.255.0) 図 3 送信元アドレス偽装パケット遮断実験 個の SYN パケットを生成することが可能である[13].IgN は Linux 上に実 装した.中核の機能であるパケットフィルタリングは iptables を利用した. ReN は Linux 上で NIDS ツールである Snort を利用して機能実装した.以 本実験では,前項 3.2 で述べた送信元アドレス儀層パケットを遮断する 上の構成のもので,10 台の攻撃者から被害者に向けて順次 10kpps の割 手法のひとつである uRPF についてその実装と動作を確認した.Linux 上 合で SYN Flood 攻撃を行い,ReN での攻撃検知,DeN の迎撃指令,およ で uRPF を適用できるソフトウェアは公開されていないようである.このた び IgN で攻撃を遮断する実験を行った.なお,動作状況を把握しやすく め,uRPF の振る舞いをするスクリプトを作成した.これは経路表を参照し するため,各攻撃者が攻撃を開始する時刻を 10 秒ずつずらした. て,宛先に登録されている(ネットワーク)アドレスを送信元アドレスとして持 図 5 は,横軸が実験開始からの経過時間(秒),縦軸が IgN と被害者の つパケットのみを通過させるようにフィルタリングルールを生成するもので 入力パケット数(パケット/秒)を示している.ここで IgN の入力パケットは 4 ある. 台の IgN の入力パケットを合計した値であり,また▼は,ReN が対処要請 実験は,図 3 に示すネットワーク構成で行った.IgN には上述のスクリ 情報を生成した時刻を示している. プトを導入し,Linux 上で動作させた.パケットフィルタリングには iptables IgNの総入力パケット 10000 300000 プレフィックス長 24 のネットワークに対して,上位 16 ビットの一致するラ ンダムなアドレスを生成したので,理論値は 100 万パケットの 256 分の 1 である 3906 パケットが通過するはずである.結果は 3843 パケットが被害 IgN流入トラフィック量(パケット/秒) ッチしたフィルタに従って通過もしくは破棄される.以上の構成のもとで, 偽装パケットを 100 万パケット送信した. ReN対処情報生成 9000 づいて生成されたフィルタが表 3 である.パケットは上から下へ最初にマ 攻撃者から被害者に向けて下位 2 オクテットを乱数化した送信元アドレス 被害者の入力パケット 350000 を利用した.IgN には,表 2 に示す経路表が登録されている.uRPF に基 8000 ▼ ▼ ▼ ▼ ▼ ▼ ▼ ▼ ▼ ▼ 250000 7000 6000 200000 5000 150000 4000 3000 100000 者へ到着した.これより,ほぼ理論どおりに動作していることが確認できた. なお両者間のわずかな差は,乱数生成における偏りによるものと考えら れる.また 3843 のパケットは表 3 の 3 行目のフィルタにマッチし,それ以 外は 4 行目のフィルタにマッチしていたことから,所属ネットワーク範囲外 の送信元アドレスを持つパケットのみ遮断できていることが確認できた.し 2000 50000 1000 0 0 10 20 30 40 50 60 時間(秒) 70 80 90 図 5 既知攻撃の検出迎撃実験結果 100 110 0 120 被害者流入トラフィック量(パケット/秒) IF0 192.168.20.100 L3スイッチ (IgN) ルータ (IgN) ルータ (IgN) 正規利用者 IF0: 172.24.50.1 (255.255.255.0) ルータ (IgN) 192.168.130.254 攻撃者 4.2 送信元アドレス偽装パケット遮断実験 被害者 1000Mスイッチングハブ 192.168.120.254 攻撃者 が DDoS 攻撃を仕掛けたとすると,733Gbps の攻撃トラフィックが発生する ルータ (IgN) 192.168.20.0/24 攻撃が開始した直後に ReN で対処要請情報が生成され,被害者への攻 らを実現するための一つの考え方を,以下に議論する. 撃パケットの流入が遮断されていることが確認できる.本実験のテストベッ 現在,インターネットはユーザ-プロバイダ間,またプロバイダ-プロバ ドでは,ReN と DeN の役割を同一のマシンで行っており,また DeN から 1 イダ間に必ず契約が存在し,すべてのインターネット接続は契約に基づ ホップですべての IgN へ到達するため,迎撃指令伝達時間は無視し得る いていることは周知の通りである.これは,個々の契約交渉や新たな問題 ほどわずかであった.この実験により,攻撃パケットの特徴抽出が可能な 発生に対して,当事者間で協調的で自主的な協議を重ねていくことによ ケースでの本システムの有効性が確認できた. って,公共の利益に適った合理的な合意が形成され得ることを意味して 4.4 自律的帯域制限実験 いる.この考え方は,インターネット文化のもとで分散型が志向され,個々 のネットワークが共通プロトコル(TCP/IP)を自主的に採用していったこと 172.24.100.XX (255.255.255.0) 攻撃者 攻撃者 によって,ネットワークの相互接続が進み,その結果,中央集権的な統治 機構がないにもかかわらず,巨大なネットワークの形成に成功したことと 1000M スイッチングハブ 符合する.すなわち,まず大手(1 次)プロバイダ間でサービス妨害迎撃ネ ットワークの導入に合意すれば,次は各々が下位プロバイダとの間で合 IgN 意形成を試みる.これを末端(ユーザ)まで繰り返していくことによって,イ 172.24.100.1 (255.255.255.0) 172.24.40.2 (255.255.255.0) ンターネット全体での合意が形成されることになる.途中,導入を拒むプ ロバイダやユーザがいれば,プロバイダ間に IgN を配備したり,契約を破 UDPパケット UDPパケット (1パケット =1500バイト バイト)) (1パケット=1500 172.24.100.XX ⇒ 172.24.40.1 棄し転送対象から除外したりすることによって実質的にすべてのプロバイ UDPパケット UDPパケット (1パケット =1500バイト バイト)) (1パケット=1500 172.24.100.XX ⇒ 172.24.40.1 被害者 ダやユーザに導入の合意を取り付けることができる.こうしたグローバルレ ベルの合意形成のためには,本アーキテクチャが技術面のみならず経済 面においても,合理的で普遍性を有した解であることを示す必要がある. 172.24.40.1 (255.255.255.0) 6. むすび 図 6 帯域制限実験ネットワーク構成図 帯域制限の実験は,図 6 に示すネットワーク構成で行った.IgN にはア ノマリな帯域制限を行うツールを Linux 上で動作させた.このツールは輻 輳状態が一定期間続いているときに帯域制限を開始し,輻輳状態が改 善されるまで制限を継続するものである.帯域制限には tc(iproute2)を利 用した.ここでは 100 秒以上輻輳状態が続いたとき,帯域幅を最大帯域 幅の 10 分の 1 に制限するよう設定した.攻撃者では,帯域を浪費する UDP Flood 攻撃を行うツールを動作させた.このツールはネットワークの 通信速度が 1Gbps の環境において,1 秒間当たり約 5 万個の 1500 バイ ト UDP パケットを生成することができる.以上の構成のもとで,ルータ-被 害者間の帯域を埋め尽くすことができるように 2 台の攻撃者から被害者に 向けて各々UDP Flood 攻撃を行い,IgN での自律的な帯域制限の動作を IgN(ルータ)受信 ① 被害者受信 ② ③ くつかの技術課題などについて論じた.また各種攻撃ツールの試作ととも にテストベッドを構築し,送信元アドレス偽装遮断実験,迎撃実験,帯域 制限実験を通して,提案したアーキテクチャが相応に機能することを確認 した.しかしながら,実装は初歩的なもので性能的には満足できるもので はなく,さらなる改善が必要である. 数百年前に 6,000km に及ぶ万里の長城を築こうとした史実に比べれ ば,現代のインターネット上に万里の長城を築こうとすることは難しい取り 組みと言えなかろう.ポイントは本アーキテクチャの普遍性と実現性をい 謝辞 本研究を通してご指導いただいた,小林浩 教授,上野洋一郎 准教 900 授,ならびにご協力いただいた学生に深く感謝いたします. 800 参考文献 700 受信ビット数(Mbps) ットワーク”のシステムアーキテクチャの提案と,これを実現する上でのい かに示せるかである. 検証した. 1000 “同時多発型攻撃”による処理負荷の増大を回避しつつ,プロバイダ 間の契約に基づく対策の確実な実施を根幹とする“サービス妨害迎撃ネ 600 500 400 300 200 100 0 18 48 78 108 138 経過時間(sec) 168 198 228 図 7 帯域制限実験結果 図 7 は,横軸が実験開始からの経過時間,縦軸は被害者,IgN(ルー タ)の受信トラフィック量である.①は攻撃開始,②は帯域制限開始,③は 攻撃終了の時刻を示している.攻撃開始後,100 秒が経過した当たりから 被害者へのトラフィック量が 1Gbps 帯域の 10 分の 1 である 100Mbps に激 減していることが確認できる.初歩的な実装であったが,輻輳時に自律的 に帯域制限することが有効なことを実証できた.しかしながら,実際の攻 撃には攻撃と停止を繰り返す周期的な攻撃や,時間の経過とともに攻撃 の手法を変えものもあるため,さらに高度な制御アルゴリズムの開発が必 要である.また,実験で被害者へのトラフィック量は抑制することができた が,ルータ(IgN)に流れ込む攻撃トラフィックは抑制できず,攻撃者-ルー タ間の輻輳状態には変化がなかった.これより,帯域制限はエッジに近 いルータ(IgN)で行うとともに,フローコントロール等を利用して攻撃者そ のものに抑制させる仕組みが必要なことが分かった. 5.システムの実現性考察 前述したように,本提案はインターネット上にいわば“万里の長城”を築 こうとするものである.このためには,すべてのプロバイダとユーザとの境 界,また状況に応じてプロバイダ間に IgN を配備することが望ましい.これ [1]JPCERT/CC (http://www.jpcert.or.jp/ ) [2]Telecom ISAC-Japan (http://www.telecom-isac.jp/) [3]総務省・経済産業省連携 ボット対策プロジェクト Cyber Clean Center (https://www.ccc.go.jp/) [4]CISCO SYSTEMS : PACKET 2004 年|冬号「Deflector Shield ディフレ クタ・シールド(攻撃をそらす楯)」 (http://www.cisco.com/web/JP/news/packet/pdf_04winter/04winter_06. pdf) [5]NTT 技術ジャーナル 2003.6 “R&D ホットコーナー DDoS 攻撃対策 システム Moving Firewall” (http://www.ntt.co.jp/journal/0306/files/jn200306058.pdf) [6]土屋亘,“サービス妨害迎撃ネットワーク インシデント情報集約システ ムの研究”,東京電機大学 2007 年度情報環境学セミナー [7]大久保真義,“サービス妨害迎撃ネットワークのセキュリティ向上技術 の研究と実装“,東京電機大学 2007 年度創造型プロジェクト研究成果報 告書 [8]IETF RFC2827 “Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing” [9]IETF RFC3704 “Ingress Filtering for Multihomed Networks” [10]岸浦英樹,“サービス妨害迎撃ネットワークにおける対処情報の RFC 標準対応化と IgN のパフォーマンス向上”,東京電機大学 2007 年度卒業 論文 [11]風間紘子,“サービス妨害迎撃ネットワーク 一般ユーザ向けイーグレ スフィルタ(EgF)の設計と実装”,東京電機大学 2007 年度卒業論文 [12]Honeynxet Project『Know you Enemy: Tracking Botnets』 (http://www.honeynet.org/papers/bots/ ) [13]坂口智哉,“サービス妨害迎撃ネットワークにおける基本アーキテク チャの設計と開発“,東京電機大学 2005 年度開発型プロジェクト成果報 告書