Suche senden
Hochladen
ステートフル型のトラフィック監視ツールとDNSの監視例
•
Als PPTX, PDF herunterladen
•
6 gefällt mir
•
2,481 views
Mizutani Masayoshi
Folgen
第22回「ネットワーク パケットを読む会(仮)」にて発表した資料です
Weniger lesen
Mehr lesen
Internet
Melden
Teilen
Melden
Teilen
1 von 12
Jetzt herunterladen
Empfohlen
NW_#secccamp
NW_#secccamp
Ryo Furuoto
Wireshark だけに頼らない! パケット解析ツールの紹介
Wireshark だけに頼らない! パケット解析ツールの紹介
morihisa
Fast forensics(公開用)
Fast forensics(公開用)
f kasasagi
IoT診断入門
IoT診断入門
黒 林檎
IoTSecJP
IoTSecJP
黒 林檎
続・IoT診断
続・IoT診断
黒 林檎
高田研冬合宿(竹内昌憲)
高田研冬合宿(竹内昌憲)
昌憲 竹内
デジタルフォレンジック入門
デジタルフォレンジック入門
UEHARA, Tetsutaro
Empfohlen
NW_#secccamp
NW_#secccamp
Ryo Furuoto
Wireshark だけに頼らない! パケット解析ツールの紹介
Wireshark だけに頼らない! パケット解析ツールの紹介
morihisa
Fast forensics(公開用)
Fast forensics(公開用)
f kasasagi
IoT診断入門
IoT診断入門
黒 林檎
IoTSecJP
IoTSecJP
黒 林檎
続・IoT診断
続・IoT診断
黒 林檎
高田研冬合宿(竹内昌憲)
高田研冬合宿(竹内昌憲)
昌憲 竹内
デジタルフォレンジック入門
デジタルフォレンジック入門
UEHARA, Tetsutaro
実践イカパケット解析α
実践イカパケット解析α
Yuki Mizuno
Gpuクラスタクラウドによる暗号解析
Gpuクラスタクラウドによる暗号解析
Jun Morimoto
セキュリティを学ぼう~Ctfを添えて~
セキュリティを学ぼう~Ctfを添えて~
Takumi Ishibashi
続・わかりやすいパターン認識_3章
続・わかりやすいパターン認識_3章
weda654
Ids ips
Ids ips
Shigekazu Takei
クラウドを支えるこれからの暗号技術
クラウドを支えるこれからの暗号技術
MITSUNARI Shigeo
Multipeer connectivity_エスキュービズム勉強会0523
Multipeer connectivity_エスキュービズム勉強会0523
エンジニア勉強会 エスキュービズム
IDベース暗号の概観と今後の展望(次世代セキュア情報基盤ワークショップ )
IDベース暗号の概観と今後の展望(次世代セキュア情報基盤ワークショップ )
Akira Kanaoka
第三回IoT関連技術勉強会 データ通信編
第三回IoT関連技術勉強会 データ通信編
tzm_freedom
20190710 ysmatsud
20190710 ysmatsud
ysma tsud
Juliaで前処理
Juliaで前処理
weda654
OSやアプリを問わず装着するだけで重要データを防御するセキュリティバリアデバイス by 戸田 賢二
OSやアプリを問わず装着するだけで重要データを防御するセキュリティバリアデバイス by 戸田 賢二
CODE BLUE
タコスで機械学習 Python編
タコスで機械学習 Python編
Hiroto Yamatsuka
パスワードが漏れるまで
パスワードが漏れるまで
Serverworks Co.,Ltd.
[DL輪読会]Abstractive Summarization of Reddit Posts with Multi-level Memory Netw...
[DL輪読会]Abstractive Summarization of Reddit Posts with Multi-level Memory Netw...
Deep Learning JP
目視パケット解析入門
目視パケット解析入門
彰 村地
how to decrypt SSL/TLS without PrivateKey of servers
how to decrypt SSL/TLS without PrivateKey of servers
@ otsuka752
DNS問い合わせ結果の可視化
DNS問い合わせ結果の可視化
Mizutani Masayoshi
クラウドハニーポットを運用しよう!
クラウドハニーポットを運用しよう!
Mizutani Masayoshi
プロダクトデザインとしてのライティング
プロダクトデザインとしてのライティング
Professional University of Information and Management for Innovation (情報経営イノベーション専門職大学)
libpgenでパケット操作
libpgenでパケット操作
slankdev
High Performance Networking with DPDK & Multi/Many Core
High Performance Networking with DPDK & Multi/Many Core
slankdev
Weitere ähnliche Inhalte
Was ist angesagt?
実践イカパケット解析α
実践イカパケット解析α
Yuki Mizuno
Gpuクラスタクラウドによる暗号解析
Gpuクラスタクラウドによる暗号解析
Jun Morimoto
セキュリティを学ぼう~Ctfを添えて~
セキュリティを学ぼう~Ctfを添えて~
Takumi Ishibashi
続・わかりやすいパターン認識_3章
続・わかりやすいパターン認識_3章
weda654
Ids ips
Ids ips
Shigekazu Takei
クラウドを支えるこれからの暗号技術
クラウドを支えるこれからの暗号技術
MITSUNARI Shigeo
Multipeer connectivity_エスキュービズム勉強会0523
Multipeer connectivity_エスキュービズム勉強会0523
エンジニア勉強会 エスキュービズム
IDベース暗号の概観と今後の展望(次世代セキュア情報基盤ワークショップ )
IDベース暗号の概観と今後の展望(次世代セキュア情報基盤ワークショップ )
Akira Kanaoka
第三回IoT関連技術勉強会 データ通信編
第三回IoT関連技術勉強会 データ通信編
tzm_freedom
20190710 ysmatsud
20190710 ysmatsud
ysma tsud
Juliaで前処理
Juliaで前処理
weda654
OSやアプリを問わず装着するだけで重要データを防御するセキュリティバリアデバイス by 戸田 賢二
OSやアプリを問わず装着するだけで重要データを防御するセキュリティバリアデバイス by 戸田 賢二
CODE BLUE
タコスで機械学習 Python編
タコスで機械学習 Python編
Hiroto Yamatsuka
パスワードが漏れるまで
パスワードが漏れるまで
Serverworks Co.,Ltd.
[DL輪読会]Abstractive Summarization of Reddit Posts with Multi-level Memory Netw...
[DL輪読会]Abstractive Summarization of Reddit Posts with Multi-level Memory Netw...
Deep Learning JP
Was ist angesagt?
(15)
実践イカパケット解析α
実践イカパケット解析α
Gpuクラスタクラウドによる暗号解析
Gpuクラスタクラウドによる暗号解析
セキュリティを学ぼう~Ctfを添えて~
セキュリティを学ぼう~Ctfを添えて~
続・わかりやすいパターン認識_3章
続・わかりやすいパターン認識_3章
Ids ips
Ids ips
クラウドを支えるこれからの暗号技術
クラウドを支えるこれからの暗号技術
Multipeer connectivity_エスキュービズム勉強会0523
Multipeer connectivity_エスキュービズム勉強会0523
IDベース暗号の概観と今後の展望(次世代セキュア情報基盤ワークショップ )
IDベース暗号の概観と今後の展望(次世代セキュア情報基盤ワークショップ )
第三回IoT関連技術勉強会 データ通信編
第三回IoT関連技術勉強会 データ通信編
20190710 ysmatsud
20190710 ysmatsud
Juliaで前処理
Juliaで前処理
OSやアプリを問わず装着するだけで重要データを防御するセキュリティバリアデバイス by 戸田 賢二
OSやアプリを問わず装着するだけで重要データを防御するセキュリティバリアデバイス by 戸田 賢二
タコスで機械学習 Python編
タコスで機械学習 Python編
パスワードが漏れるまで
パスワードが漏れるまで
[DL輪読会]Abstractive Summarization of Reddit Posts with Multi-level Memory Netw...
[DL輪読会]Abstractive Summarization of Reddit Posts with Multi-level Memory Netw...
Andere mochten auch
目視パケット解析入門
目視パケット解析入門
彰 村地
how to decrypt SSL/TLS without PrivateKey of servers
how to decrypt SSL/TLS without PrivateKey of servers
@ otsuka752
DNS問い合わせ結果の可視化
DNS問い合わせ結果の可視化
Mizutani Masayoshi
クラウドハニーポットを運用しよう!
クラウドハニーポットを運用しよう!
Mizutani Masayoshi
プロダクトデザインとしてのライティング
プロダクトデザインとしてのライティング
Professional University of Information and Management for Innovation (情報経営イノベーション専門職大学)
libpgenでパケット操作
libpgenでパケット操作
slankdev
High Performance Networking with DPDK & Multi/Many Core
High Performance Networking with DPDK & Multi/Many Core
slankdev
Windows 8 でパケットキャプチャ
Windows 8 でパケットキャプチャ
彰 村地
MvSM: 7) Co tam dávat - tvorba obsahu pro sociální média
MvSM: 7) Co tam dávat - tvorba obsahu pro sociální média
Matez Jindra
SEO Esettanulmány: optimalizált tartalommarketing
SEO Esettanulmány: optimalizált tartalommarketing
Gabor Papp
National hero
National hero
Natalia Orlyk
Enquête Doctipharma : Les français et la vente de médicaments sur internet
Enquête Doctipharma : Les français et la vente de médicaments sur internet
Doctipharma
Subsidio i.1 demanda actual
Subsidio i.1 demanda actual
Upaep Online
Facebook og søk for BRAK
Facebook og søk for BRAK
Espen Grimmert
Ta mnimeiaeinaigiromas167
Ta mnimeiaeinaigiromas167
Tassos Karampinis
Мобилната реклама - Ефективност през таргетиране
Мобилната реклама - Ефективност през таргетиране
Digital Agency Interactive Share
Videómarketing szállodáknak
Videómarketing szállodáknak
Tamás A.
Homoeopathic Home Prescribing Class 18th October 2014
Homoeopathic Home Prescribing Class 18th October 2014
Owen Homoeopathics
Tudatos márkaépítés
Tudatos márkaépítés
Gabor Papp
YoonSeo Link
YoonSeo Link
yoonseolink
Andere mochten auch
(20)
目視パケット解析入門
目視パケット解析入門
how to decrypt SSL/TLS without PrivateKey of servers
how to decrypt SSL/TLS without PrivateKey of servers
DNS問い合わせ結果の可視化
DNS問い合わせ結果の可視化
クラウドハニーポットを運用しよう!
クラウドハニーポットを運用しよう!
プロダクトデザインとしてのライティング
プロダクトデザインとしてのライティング
libpgenでパケット操作
libpgenでパケット操作
High Performance Networking with DPDK & Multi/Many Core
High Performance Networking with DPDK & Multi/Many Core
Windows 8 でパケットキャプチャ
Windows 8 でパケットキャプチャ
MvSM: 7) Co tam dávat - tvorba obsahu pro sociální média
MvSM: 7) Co tam dávat - tvorba obsahu pro sociální média
SEO Esettanulmány: optimalizált tartalommarketing
SEO Esettanulmány: optimalizált tartalommarketing
National hero
National hero
Enquête Doctipharma : Les français et la vente de médicaments sur internet
Enquête Doctipharma : Les français et la vente de médicaments sur internet
Subsidio i.1 demanda actual
Subsidio i.1 demanda actual
Facebook og søk for BRAK
Facebook og søk for BRAK
Ta mnimeiaeinaigiromas167
Ta mnimeiaeinaigiromas167
Мобилната реклама - Ефективност през таргетиране
Мобилната реклама - Ефективност през таргетиране
Videómarketing szállodáknak
Videómarketing szállodáknak
Homoeopathic Home Prescribing Class 18th October 2014
Homoeopathic Home Prescribing Class 18th October 2014
Tudatos márkaépítés
Tudatos márkaépítés
YoonSeo Link
YoonSeo Link
Ähnlich wie ステートフル型のトラフィック監視ツールとDNSの監視例
これからはじめるIoTデバイス mbed入門編
これからはじめるIoTデバイス mbed入門編
Naoto Tanaka
Shell shock事件が明らかにするあなたの組織における情報セキュリティ力
Shell shock事件が明らかにするあなたの組織における情報セキュリティ力
Masafumi Oe
AWSでオーバーレイネットワーク ハイパフォーマンスマルチキャストの実現
AWSでオーバーレイネットワーク ハイパフォーマンスマルチキャストの実現
Shinji Ito
Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今
Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今
Tomohisa Ishikawa, CISSP, CSSLP, CISA, CISM, CFE
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
シスコシステムズ合同会社
IoTを支える(かもしれない)技術
IoTを支える(かもしれない)技術
Masayuki Uchida
実用的な大規模ネットワークのディフェンス:あるいは「Eierlegende Wollmichsau」の保護 by Travis Carelock - CO...
実用的な大規模ネットワークのディフェンス:あるいは「Eierlegende Wollmichsau」の保護 by Travis Carelock - CO...
CODE BLUE
THK_ITS #5 2010.11.13
THK_ITS #5 2010.11.13
Yukio NAGAO
Hacking Robotics
Hacking Robotics
Kensei Demura
Jubatusが目指すインテリジェンス基盤
Jubatusが目指すインテリジェンス基盤
Shohei Hido
G-study 第6回 LT4:セキュリティパッチを放置すると・・・
G-study 第6回 LT4:セキュリティパッチを放置すると・・・
atk1234
20160717 csc sec_bd
20160717 csc sec_bd
寛人 種市
Signature & Model Hybrid Platform
Signature & Model Hybrid Platform
YOJI WATANABE
Jazug信州 クラウドとデータ解析
Jazug信州 クラウドとデータ解析
Tsubasa Yoshino
Azureでデータ解析
Azureでデータ解析
Tsubasa Yoshino
20191001 mienaichikara -invisible one-
20191001 mienaichikara -invisible one-
Typhon 666
Web applicationpenetrationtest その2
Web applicationpenetrationtest その2
Tetsuya Hasegawa
セキュリティ管理 入門セミナ
セキュリティ管理 入門セミナ
Masaaki Nabeshima
2013年度enPiT特設講義-iisec-2013-11-09-セキュアシステムのインターネットとSNS上での構築とその課題
2013年度enPiT特設講義-iisec-2013-11-09-セキュアシステムのインターネットとSNS上での構築とその課題
Ruo Ando
Pythonでパケット解析
Pythonでパケット解析
euphoricwavism
Ähnlich wie ステートフル型のトラフィック監視ツールとDNSの監視例
(20)
これからはじめるIoTデバイス mbed入門編
これからはじめるIoTデバイス mbed入門編
Shell shock事件が明らかにするあなたの組織における情報セキュリティ力
Shell shock事件が明らかにするあなたの組織における情報セキュリティ力
AWSでオーバーレイネットワーク ハイパフォーマンスマルチキャストの実現
AWSでオーバーレイネットワーク ハイパフォーマンスマルチキャストの実現
Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今
Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
IoTを支える(かもしれない)技術
IoTを支える(かもしれない)技術
実用的な大規模ネットワークのディフェンス:あるいは「Eierlegende Wollmichsau」の保護 by Travis Carelock - CO...
実用的な大規模ネットワークのディフェンス:あるいは「Eierlegende Wollmichsau」の保護 by Travis Carelock - CO...
THK_ITS #5 2010.11.13
THK_ITS #5 2010.11.13
Hacking Robotics
Hacking Robotics
Jubatusが目指すインテリジェンス基盤
Jubatusが目指すインテリジェンス基盤
G-study 第6回 LT4:セキュリティパッチを放置すると・・・
G-study 第6回 LT4:セキュリティパッチを放置すると・・・
20160717 csc sec_bd
20160717 csc sec_bd
Signature & Model Hybrid Platform
Signature & Model Hybrid Platform
Jazug信州 クラウドとデータ解析
Jazug信州 クラウドとデータ解析
Azureでデータ解析
Azureでデータ解析
20191001 mienaichikara -invisible one-
20191001 mienaichikara -invisible one-
Web applicationpenetrationtest その2
Web applicationpenetrationtest その2
セキュリティ管理 入門セミナ
セキュリティ管理 入門セミナ
2013年度enPiT特設講義-iisec-2013-11-09-セキュアシステムのインターネットとSNS上での構築とその課題
2013年度enPiT特設講義-iisec-2013-11-09-セキュアシステムのインターネットとSNS上での構築とその課題
Pythonでパケット解析
Pythonでパケット解析
ステートフル型のトラフィック監視ツールとDNSの監視例
1.
ステートフル型のトラフィック監視ツールとDNSの監視例 水谷正慶(@m_mizutani)
2.
自己紹介 水谷正慶(@m_mizutani)
Background Specialty: Network monitoring, IDS/IPS, anti-malware Snort, libpcap, malwareと付き合い続けた学生時代 Favorite: Online gaming (World of Warcraft, Starcraft, etc) Current Job: Research staff, IBM Japan Could, Cyber Security Related to SIEM, SOC, Cloud products, etc
3.
はじめに ネットワーク監視でリッチな情報がとりたい
MRTGだと流量など以外の情報がおえない nflowでもかなりの情報が落ちてしまう フルダンプしておくのも結構つらい(と思う) パケットという単語から文脈に直して読みたい パケット単位ならいろいろある 例:Dsc: A DNS Statistics Collector 目的 ネットワークのデバッグ セキュリティフォレンジクス
4.
Devourer ステートフルな情報を持つパケット監視ツール
Devourer【名詞】がつがつと、または貪欲に食 べる人(Weblio http://ejje.weblio.jp/content/devourer より) ステートフルな情報を保持:セッション、フ ロー、キャッシュ、トランザクション、etc 今のところDNSのトランザクションのみ監視 開発 Github: https://github.com/m-mizutani/devourer C++ & libpcap, libev, msgpack (output to fluentd)
5.
構成例 Devourer (packet
monitor) Port mirroring Fluentd Influxdb TCP Saving records Grafana Web b rowser Network traffic Administrator http://qiita.com/m_mizutani/items/af30b87721a70d5290fa
6.
できること DNSクエリの応答時間が取得できる
DNSサーバのデバッグ DNSクエリがどこで遅延しているかの特定 クエリのタイムアウト数のカウント クエリがない応答の発見 キャッシュポイゾニング攻撃の検知 (ステート関係ないけど)問い合わせ結果ログ 問い合わせ名、レコード種別、問い合わせ結果 フォレンジクス、問い合わせ名のトレース
7.
DNSクエリの応答時間をグラフ化 100ms未満、1000ms未満、1000ms以上で分類
そこそこ1000ms以上かかっているクエリもある 自宅ネットワークより
8.
クエリの結果をグラフ化 Status毎にグラフ化
Success: 同一セッション+トランザクションIDで返答あり Timeout: タイムアウト(現在は60秒設定) Miss: 観測されていないクエリに対する応答 http://ictf.cs.ucsb.edu/data/ictf2010/ictf2010pcap.tar.gz より
9.
Available on Elasticsearch
+ Kibana Fluentdのモジュールを追加して宛先を増やせばいいだけ モニタリングだけではなく調査やデバッグもやりたいな らこちらの組み合わせのほうが便利
10.
Performance 実験環境
i7 2.3GHz / SSDディスクより読み込み DNSパケットのみの場合 約85,000 pps 通常パケットも含むトラフィックの場合 約923,000 pps, 約3.284Gbps http://ictf.cs.ucsb.edu/data/ictf2010/ictf2010pcap.t ar.gz の一部で計測 DNSパケットは全体の約6.8%
11.
今後できそうなこと 以下のような値を取れるようになる見込み
フロー毎のIPフラグメンテーション数 TCPセッションのlatency(segmentとackの組み合 わせによる) TCPセッションのpacket loss rate(ackの再送を利 用) httpのリクエストと応答の組合せ httpsで使われているcipher suiteの種類
12.
ご清聴ありがとうございました ご意見歓迎です
そういうツールはもうあるよ! そういう目的では使わないよ! こういう目的だったら使えるかも!
Jetzt herunterladen