DNSクエリーパターンを用いた OSの推定 早稲田大学 理工学部 コンピュータ・ネットワーク工学科 後藤研究室B4 1G06R055-7 川口 敬 2010/02/01 卒業論文発表 1 研究の背景 ホストがもつ脆弱性はOSの種類に依存 受信したパケットの特徴を分析してホストの OSの種類を判定する passive fingerprinting OSを推定するための分析対象は主にTCP TFTPなどUDPを用いた通信も存在し、名前 解決にDNSを利用することも多い 分析対象にTCPを適用できない 2010/02/01 卒業論文発表 2 研究の目的 UDPによりOSを推定するための手法の開発 本研究では、 IPv4とIPv6の混在環境だからこそ発生するDNSパ ケットの特徴を利用 早稲田大学内のOSの分布を推定 UDPの情報でOSの分類が可能であることを示す 2010/02/01 卒業論文発表 3 DNSとは ホスト名とIPアドレスを対応づけて管理してお くための分散データベースシステム A レコード ホストのIPv4アドレスを管理 AAAA レコード ホストのIPv6アドレスを管理 2010/02/01 卒業論文発表 4 トラフィックの計測 早稲田大学の学内ネットワークとインターネッ トの境界にあたる場所でパケットキャプチャ ポートは53番に限定する Waseda University Internet Router 2010/02/01 Router Capturing Machine 卒業論文発表 Waseda Network 5 DNSクエリーの特徴 AAAAレコードの 問い合わせは 比較的多い 図1. レコード別のクエリー数の割合 2010/02/01 卒業論文発表 6 DNSとIPv6 AAAAレコードの問い合わせが比較的多いの に対しIPv6アドレスの利用はごくわずか 表1. IPv4とIPv6の使用割合 IPv4アドレスを用いてAAAAレコードを 問い合わせるクエリーが多く存在 2010/02/01 卒業論文発表 7 DNSクエリーパターン IPv4アドレスを利用したDNSクエリーにおい て考えられるクエリーパターン IPv6無効 Aレコードのみ問い合わせる A-only IPv6有効 Aレコード、AAAAレコードの順で問い合わせる A-AAAA AAAAレコード、Aレコードの順で問い合わせる AAAA-A 2010/02/01 卒業論文発表 8 DNSクエリーの分析 早稲田大学から外部へ送信されるクエリーを分析 測定期間は2009/11/17~2009/11/19の3日間 IPv4アドレスを用いた通信に着目 分析1 各パターンの出現数の割合 分析2 両方のレコードを問い合わせる場合、2つのレコードを問い 合わせる間の時間差に特徴が見られるかどうか 時間差に対するパターン出現数を分析 2010/02/01 卒業論文発表 9 分析1 (パターンごとの出現数) の結果 Aレコードのみを問い合わせるクエリーが大 部分 図2. クエリーパターンの出現割合 2010/02/01 卒業論文発表 10 分析2 (時間差の検証) の結果 A-AAAA 0~1 [ ミリ秒 ]で 出現数が増加 図3. A-AAAAパターンにおける時間差の測定結果 2010/02/01 卒業論文発表 11 分析2 (時間差の検証) の結果 AAAA-A 8~10 [ ミリ秒 ]で 出現数が再び増加 2010/02/01 図4. AAAA-Aパターンにおける時間差の測定結果 卒業論文発表 12 OSごとの検証実験 DNSクエリーの分析により得られた特徴は OS依存であると考えられる 実験の概要 IPv6に関する設定がデフォルトの状態で100サイト にアクセスする その際に流れるDNSパケットをキャプチャし、同様 の分析を行う クエリーパターンの分析 時間差とパターン出現数の関係 2010/02/01 卒業論文発表 13 実験に用いたOSとアプリケーション 表2. 実験に用いたOSとアプリケーション 2010/02/01 卒業論文発表 14 各OSごとに得られた結果 (クエリーパターン) 表3. クエリーパターンによるOSの分類 2010/02/01 卒業論文発表 15 各OSごとに得られた結果 (時間差の検証) 図5. Windows vista 図6. Windows 7 各OSともに0~1 [ ミリ秒 ] で出現数がピークとなった 2010/02/01 図7. Mac OS X 卒業論文発表 16 各OSごとに得られた結果 (時間差の検証) 8~10 [ ミリ秒 ] で ピーク 図9. Ubuntu 9.10 図8. Fedora 10 2010/02/01 卒業論文発表 17 OS分布の推定結果 表4. OS分布の推定結果 2010/02/01 卒業論文発表 18 まとめと今後の課題 まとめ DNSのクエリーパターンや時間差の分析からOS の分類が可能 UDPの通信に対するOS推定の指標になりうること を示した 今後の課題 ホストをユニークに識別できる環境での分析 より多くのOSを用いた実験 さらに別の指標が存在するか検討 2010/02/01 卒業論文発表 19 ご清聴ありがとうございました 2010/02/01 卒業論文発表 20 早稲田の入り口を流れるクエリー数 図10. 流れる方向別のクエリー数 2010/02/01 卒業論文発表 21 AAAAレコードの問い合わせに対する回答 図11. AAAAの問い合わせに対する応答別の割合 2010/02/01 卒業論文発表 22 IPv6とは 128bitという広大なアドレス空間をもったプロ トコル アドレスの枯渇問題に対応できる 移行にコストがかかるため現在でもIPv4アド レスが主に使用される 2010/02/01 卒業論文発表 23 図4におけるピーク時の出現数 表5. 出現数がピークとなる際の値の比較 2010/02/01 卒業論文発表 24 A-onlyパターン 2010/02/01 卒業論文発表 25 A-AAAAパターン 2010/02/01 卒業論文発表 26 AAAA-Aパターン 2010/02/01 卒業論文発表 27 補足資料 レコードについて Aレコード ホストのIPv4アドレス AAAAレコード (クワッドA) ホストのIPv6アドレス A6レコード 128bitのIPアドレスを適当な個所で分割し、下位64bitのインターフェイスIDだけのリソースレ コードとネットワークプレフィックスだけのリソースレコードを別々に管理する方式 PTRレコード IPアドレス対するホスト名 MXレコード ドメインのメールサーバ名 CNAME ホストのエイリアス(別名) 2010/02/01 卒業論文発表 28 メッセージ形式 2010/02/01 卒業論文発表 29
© Copyright 2024 ExpyDoc