DNSクエリーパターンを用いたOSの推定

DNSクエリーパターンを用いた
OSの推定
早稲田大学 理工学部
コンピュータ・ネットワーク工学科
後藤研究室B4 1G06R055-7 川口 敬
2010/02/01
卒業論文発表
1
研究の背景
ホストがもつ脆弱性はOSの種類に依存
受信したパケットの特徴を分析してホストの
OSの種類を判定する
passive fingerprinting
OSを推定するための分析対象は主にTCP
TFTPなどUDPを用いた通信も存在し、名前
解決にDNSを利用することも多い
分析対象にTCPを適用できない
2010/02/01
卒業論文発表
2
研究の目的
UDPによりOSを推定するための手法の開発
本研究では、
IPv4とIPv6の混在環境だからこそ発生するDNSパ
ケットの特徴を利用
早稲田大学内のOSの分布を推定
UDPの情報でOSの分類が可能であることを示す
2010/02/01
卒業論文発表
3
DNSとは
ホスト名とIPアドレスを対応づけて管理してお
くための分散データベースシステム
A レコード
ホストのIPv4アドレスを管理
AAAA レコード
ホストのIPv6アドレスを管理
2010/02/01
卒業論文発表
4
トラフィックの計測
早稲田大学の学内ネットワークとインターネッ
トの境界にあたる場所でパケットキャプチャ
ポートは53番に限定する
Waseda University
Internet
Router
2010/02/01
Router
Capturing
Machine
卒業論文発表
Waseda
Network
5
DNSクエリーの特徴
AAAAレコードの
問い合わせは
比較的多い
図1. レコード別のクエリー数の割合
2010/02/01
卒業論文発表
6
DNSとIPv6
AAAAレコードの問い合わせが比較的多いの
に対しIPv6アドレスの利用はごくわずか
表1. IPv4とIPv6の使用割合
IPv4アドレスを用いてAAAAレコードを
問い合わせるクエリーが多く存在
2010/02/01
卒業論文発表
7
DNSクエリーパターン
IPv4アドレスを利用したDNSクエリーにおい
て考えられるクエリーパターン
IPv6無効
Aレコードのみ問い合わせる
A-only
IPv6有効
Aレコード、AAAAレコードの順で問い合わせる
A-AAAA
AAAAレコード、Aレコードの順で問い合わせる
AAAA-A
2010/02/01
卒業論文発表
8
DNSクエリーの分析
 早稲田大学から外部へ送信されるクエリーを分析
 測定期間は2009/11/17~2009/11/19の3日間
 IPv4アドレスを用いた通信に着目
 分析1
各パターンの出現数の割合
 分析2
両方のレコードを問い合わせる場合、2つのレコードを問い
合わせる間の時間差に特徴が見られるかどうか
時間差に対するパターン出現数を分析
2010/02/01
卒業論文発表
9
分析1 (パターンごとの出現数) の結果
Aレコードのみを問い合わせるクエリーが大
部分
図2. クエリーパターンの出現割合
2010/02/01
卒業論文発表
10
分析2 (時間差の検証) の結果
A-AAAA
0~1 [ ミリ秒 ]で
出現数が増加
図3. A-AAAAパターンにおける時間差の測定結果
2010/02/01
卒業論文発表
11
分析2 (時間差の検証) の結果
AAAA-A
8~10 [ ミリ秒 ]で
出現数が再び増加
2010/02/01
図4. AAAA-Aパターンにおける時間差の測定結果
卒業論文発表
12
OSごとの検証実験
DNSクエリーの分析により得られた特徴は
OS依存であると考えられる
実験の概要
IPv6に関する設定がデフォルトの状態で100サイト
にアクセスする
その際に流れるDNSパケットをキャプチャし、同様
の分析を行う
クエリーパターンの分析
時間差とパターン出現数の関係
2010/02/01
卒業論文発表
13
実験に用いたOSとアプリケーション
表2. 実験に用いたOSとアプリケーション
2010/02/01
卒業論文発表
14
各OSごとに得られた結果 (クエリーパターン)
表3. クエリーパターンによるOSの分類
2010/02/01
卒業論文発表
15
各OSごとに得られた結果 (時間差の検証)
図5. Windows vista
図6. Windows 7
 各OSともに0~1 [ ミリ秒 ]
で出現数がピークとなった
2010/02/01 図7. Mac OS X
卒業論文発表
16
各OSごとに得られた結果 (時間差の検証)
8~10 [ ミリ秒 ] で
ピーク
図9. Ubuntu 9.10
図8. Fedora 10
2010/02/01
卒業論文発表
17
OS分布の推定結果
表4. OS分布の推定結果
2010/02/01
卒業論文発表
18
まとめと今後の課題
まとめ
DNSのクエリーパターンや時間差の分析からOS
の分類が可能
UDPの通信に対するOS推定の指標になりうること
を示した
今後の課題
ホストをユニークに識別できる環境での分析
より多くのOSを用いた実験
さらに別の指標が存在するか検討
2010/02/01
卒業論文発表
19
ご清聴ありがとうございました
2010/02/01
卒業論文発表
20
早稲田の入り口を流れるクエリー数
図10. 流れる方向別のクエリー数
2010/02/01
卒業論文発表
21
AAAAレコードの問い合わせに対する回答
図11. AAAAの問い合わせに対する応答別の割合
2010/02/01
卒業論文発表
22
IPv6とは
128bitという広大なアドレス空間をもったプロ
トコル
アドレスの枯渇問題に対応できる
移行にコストがかかるため現在でもIPv4アド
レスが主に使用される
2010/02/01
卒業論文発表
23
図4におけるピーク時の出現数
表5. 出現数がピークとなる際の値の比較
2010/02/01
卒業論文発表
24
A-onlyパターン
2010/02/01
卒業論文発表
25
A-AAAAパターン
2010/02/01
卒業論文発表
26
AAAA-Aパターン
2010/02/01
卒業論文発表
27
補足資料
 レコードについて
 Aレコード
 ホストのIPv4アドレス
 AAAAレコード (クワッドA)
 ホストのIPv6アドレス
 A6レコード
 128bitのIPアドレスを適当な個所で分割し、下位64bitのインターフェイスIDだけのリソースレ
コードとネットワークプレフィックスだけのリソースレコードを別々に管理する方式
 PTRレコード
 IPアドレス対するホスト名
 MXレコード
 ドメインのメールサーバ名
 CNAME
 ホストのエイリアス(別名)
2010/02/01
卒業論文発表
28
メッセージ形式
2010/02/01
卒業論文発表
29