SlideShare ist ein Scribd-Unternehmen logo

ステートフル型のトラフィック監視ツールとDNSの監視例

Als PPTX, PDF herunterladen
Mizutani Masayoshi
Mizutani Masayoshi

第22回「ネットワーク パケットを読む会(仮)」にて発表した資料です

Internet
1 von 12
 ステートフル型のトラフィック監視ツールとDNSの監視例 水谷正慶(@m_mizutani)
自己紹介  水谷正慶(@m_mizutani)  Background  Specialty: Network monitoring, IDS/IPS, anti-malware  Snort, libpcap, malwareと付き合い続けた学生時代  Favorite: Online gaming (World of Warcraft, Starcraft, etc)  Current Job: Research staff, IBM Japan  Could, Cyber Security  Related to SIEM, SOC, Cloud products, etc
はじめに  ネットワーク監視でリッチな情報がとりたい  MRTGだと流量など以外の情報がおえない  nflowでもかなりの情報が落ちてしまう  フルダンプしておくのも結構つらい(と思う)  パケットという単語から文脈に直して読みたい  パケット単位ならいろいろある  例:Dsc: A DNS Statistics Collector  目的  ネットワークのデバッグ  セキュリティフォレンジクス
Devourer  ステートフルな情報を持つパケット監視ツール  Devourer【名詞】がつがつと、または貪欲に食 べる人(Weblio http://ejje.weblio.jp/content/devourer より)  ステートフルな情報を保持:セッション、フ ロー、キャッシュ、トランザクション、etc  今のところDNSのトランザクションのみ監視  開発  Github: https://github.com/m-mizutani/devourer  C++ & libpcap, libev, msgpack (output to fluentd)
構成例 Devourer (packet monitor) Port mirroring Fluentd Influxdb TCP Saving records Grafana Web b rowser Network traffic Administrator http://qiita.com/m_mizutani/items/af30b87721a70d5290fa
できること  DNSクエリの応答時間が取得できる  DNSサーバのデバッグ  DNSクエリがどこで遅延しているかの特定  クエリのタイムアウト数のカウント  クエリがない応答の発見  キャッシュポイゾニング攻撃の検知  (ステート関係ないけど)問い合わせ結果ログ  問い合わせ名、レコード種別、問い合わせ結果  フォレンジクス、問い合わせ名のトレース
DNSクエリの応答時間をグラフ化  100ms未満、1000ms未満、1000ms以上で分類  そこそこ1000ms以上かかっているクエリもある 自宅ネットワークより
クエリの結果をグラフ化  Status毎にグラフ化  Success: 同一セッション+トランザクションIDで返答あり  Timeout: タイムアウト(現在は60秒設定)  Miss: 観測されていないクエリに対する応答 http://ictf.cs.ucsb.edu/data/ictf2010/ictf2010pcap.tar.gz より
Available on Elasticsearch + Kibana  Fluentdのモジュールを追加して宛先を増やせばいいだけ  モニタリングだけではなく調査やデバッグもやりたいな らこちらの組み合わせのほうが便利
Performance  実験環境  i7 2.3GHz / SSDディスクより読み込み  DNSパケットのみの場合  約85,000 pps  通常パケットも含むトラフィックの場合  約923,000 pps, 約3.284Gbps  http://ictf.cs.ucsb.edu/data/ictf2010/ictf2010pcap.t ar.gz の一部で計測  DNSパケットは全体の約6.8%
今後できそうなこと  以下のような値を取れるようになる見込み  フロー毎のIPフラグメンテーション数  TCPセッションのlatency(segmentとackの組み合 わせによる)  TCPセッションのpacket loss rate(ackの再送を利 用)  httpのリクエストと応答の組合せ  httpsで使われているcipher suiteの種類
ご清聴ありがとうございました  ご意見歓迎です  そういうツールはもうあるよ!  そういう目的では使わないよ!  こういう目的だったら使えるかも!

Empfohlen

NW_#secccamp
NW_#secccampNW_#secccamp
NW_#secccampRyo Furuoto
 
Wireshark だけに頼らない! パケット解析ツールの紹介
Wireshark だけに頼らない! パケット解析ツールの紹介Wireshark だけに頼らない! パケット解析ツールの紹介
Wireshark だけに頼らない! パケット解析ツールの紹介morihisa
 
Fast forensics(公開用)
Fast forensics(公開用)Fast forensics(公開用)
Fast forensics(公開用)f kasasagi
 
IoT診断入門
IoT診断入門IoT診断入門
IoT診断入門黒 林檎
 
IoTSecJP
IoTSecJPIoTSecJP
IoTSecJP黒 林檎
 
続・IoT診断
続・IoT診断続・IoT診断
続・IoT診断黒 林檎
 
高田研冬合宿(竹内昌憲)
高田研冬合宿(竹内昌憲)高田研冬合宿(竹内昌憲)
高田研冬合宿(竹内昌憲)昌憲 竹内
 
デジタルフォレンジック入門
デジタルフォレンジック入門デジタルフォレンジック入門
デジタルフォレンジック入門UEHARA, Tetsutaro
 

Empfohlen

NW_#secccamp
NW_#secccampNW_#secccamp
NW_#secccampRyo Furuoto
 
Wireshark だけに頼らない! パケット解析ツールの紹介
Wireshark だけに頼らない! パケット解析ツールの紹介Wireshark だけに頼らない! パケット解析ツールの紹介
Wireshark だけに頼らない! パケット解析ツールの紹介morihisa
 
Fast forensics(公開用)
Fast forensics(公開用)Fast forensics(公開用)
Fast forensics(公開用)f kasasagi
 
IoT診断入門
IoT診断入門IoT診断入門
IoT診断入門黒 林檎
 
IoTSecJP
IoTSecJPIoTSecJP
IoTSecJP黒 林檎
 
続・IoT診断
続・IoT診断続・IoT診断
続・IoT診断黒 林檎
 
高田研冬合宿(竹内昌憲)
高田研冬合宿(竹内昌憲)高田研冬合宿(竹内昌憲)
高田研冬合宿(竹内昌憲)昌憲 竹内
 
デジタルフォレンジック入門
デジタルフォレンジック入門デジタルフォレンジック入門
デジタルフォレンジック入門UEHARA, Tetsutaro
 
実践イカパケット解析α
実践イカパケット解析α実践イカパケット解析α
実践イカパケット解析αYuki Mizuno
 
Gpuクラスタクラウドによる暗号解析
Gpuクラスタクラウドによる暗号解析Gpuクラスタクラウドによる暗号解析
Gpuクラスタクラウドによる暗号解析Jun Morimoto
 
セキュリティを学ぼう~Ctfを添えて~
セキュリティを学ぼう~Ctfを添えて~セキュリティを学ぼう~Ctfを添えて~
セキュリティを学ぼう~Ctfを添えて~Takumi Ishibashi
 
続・わかりやすいパターン認識_3章
続・わかりやすいパターン認識_3章続・わかりやすいパターン認識_3章
続・わかりやすいパターン認識_3章weda654
 
Ids ips
Ids ipsIds ips
Ids ipsShigekazu Takei
 
クラウドを支えるこれからの暗号技術
クラウドを支えるこれからの暗号技術クラウドを支えるこれからの暗号技術
クラウドを支えるこれからの暗号技術MITSUNARI Shigeo
 
Multipeer connectivity_エスキュービズム勉強会0523
Multipeer connectivity_エスキュービズム勉強会0523Multipeer connectivity_エスキュービズム勉強会0523
Multipeer connectivity_エスキュービズム勉強会0523エンジニア勉強会 エスキュービズム
 
IDベース暗号の概観と今後の展望(次世代セキュア情報基盤ワークショップ )
IDベース暗号の概観と今後の展望(次世代セキュア情報基盤ワークショップ )IDベース暗号の概観と今後の展望(次世代セキュア情報基盤ワークショップ )
IDベース暗号の概観と今後の展望(次世代セキュア情報基盤ワークショップ )Akira Kanaoka
 
第三回IoT関連技術勉強会 データ通信編
第三回IoT関連技術勉強会 データ通信編第三回IoT関連技術勉強会 データ通信編
第三回IoT関連技術勉強会 データ通信編tzm_freedom
 
20190710 ysmatsud
20190710 ysmatsud20190710 ysmatsud
20190710 ysmatsudysma tsud
 
Juliaで前処理
Juliaで前処理Juliaで前処理
Juliaで前処理weda654
 
OSやアプリを問わず装着するだけで重要データを防御するセキュリティバリアデバイス by 戸田 賢二
OSやアプリを問わず装着するだけで重要データを防御するセキュリティバリアデバイス by 戸田 賢二OSやアプリを問わず装着するだけで重要データを防御するセキュリティバリアデバイス by 戸田 賢二
OSやアプリを問わず装着するだけで重要データを防御するセキュリティバリアデバイス by 戸田 賢二CODE BLUE
 
タコスで機械学習 Python編
タコスで機械学習 Python編タコスで機械学習 Python編
タコスで機械学習 Python編Hiroto Yamatsuka
 
パスワードが漏れるまで
パスワードが漏れるまでパスワードが漏れるまで
パスワードが漏れるまでServerworks Co.,Ltd.
 
[DL輪読会]Abstractive Summarization of Reddit Posts with Multi-level Memory Netw...
[DL輪読会]Abstractive Summarization of Reddit Posts with Multi-level Memory Netw...[DL輪読会]Abstractive Summarization of Reddit Posts with Multi-level Memory Netw...
[DL輪読会]Abstractive Summarization of Reddit Posts with Multi-level Memory Netw...Deep Learning JP
 
目視パケット解析入門
目視パケット解析入門目視パケット解析入門
目視パケット解析入門彰 村地
 
how to decrypt SSL/TLS without PrivateKey of servers
how to decrypt SSL/TLS without PrivateKey of servershow to decrypt SSL/TLS without PrivateKey of servers
how to decrypt SSL/TLS without PrivateKey of servers@ otsuka752
 
DNS問い合わせ結果の可視化
DNS問い合わせ結果の可視化DNS問い合わせ結果の可視化
DNS問い合わせ結果の可視化Mizutani Masayoshi
 
クラウドハニーポットを運用しよう!
クラウドハニーポットを運用しよう!クラウドハニーポットを運用しよう!
クラウドハニーポットを運用しよう!Mizutani Masayoshi
 
プロダクトデザインとしてのライティング
プロダクトデザインとしてのライティングプロダクトデザインとしてのライティング
プロダクトデザインとしてのライティングProfessional University of Information and Management for Innovation (情報経営イノベーション専門職大学)
 
libpgenでパケット操作
libpgenでパケット操作libpgenでパケット操作
libpgenでパケット操作slankdev
 
High Performance Networking with DPDK & Multi/Many Core
High Performance Networking with DPDK & Multi/Many CoreHigh Performance Networking with DPDK & Multi/Many Core
High Performance Networking with DPDK & Multi/Many Coreslankdev
 

Weitere ähnliche Inhalte

Was ist angesagt?

実践イカパケット解析α
実践イカパケット解析α実践イカパケット解析α
実践イカパケット解析αYuki Mizuno
 
Gpuクラスタクラウドによる暗号解析
Gpuクラスタクラウドによる暗号解析Gpuクラスタクラウドによる暗号解析
Gpuクラスタクラウドによる暗号解析Jun Morimoto
 
セキュリティを学ぼう~Ctfを添えて~
セキュリティを学ぼう~Ctfを添えて~セキュリティを学ぼう~Ctfを添えて~
セキュリティを学ぼう~Ctfを添えて~Takumi Ishibashi
 
続・わかりやすいパターン認識_3章
続・わかりやすいパターン認識_3章続・わかりやすいパターン認識_3章
続・わかりやすいパターン認識_3章weda654
 
クラウドを支えるこれからの暗号技術
クラウドを支えるこれからの暗号技術クラウドを支えるこれからの暗号技術
クラウドを支えるこれからの暗号技術MITSUNARI Shigeo
 
IDベース暗号の概観と今後の展望(次世代セキュア情報基盤ワークショップ )
IDベース暗号の概観と今後の展望(次世代セキュア情報基盤ワークショップ )IDベース暗号の概観と今後の展望(次世代セキュア情報基盤ワークショップ )
IDベース暗号の概観と今後の展望(次世代セキュア情報基盤ワークショップ )Akira Kanaoka
 
第三回IoT関連技術勉強会 データ通信編
第三回IoT関連技術勉強会 データ通信編第三回IoT関連技術勉強会 データ通信編
第三回IoT関連技術勉強会 データ通信編tzm_freedom
 
20190710 ysmatsud
20190710 ysmatsud20190710 ysmatsud
20190710 ysmatsudysma tsud
 
Juliaで前処理
Juliaで前処理Juliaで前処理
Juliaで前処理weda654
 
OSやアプリを問わず装着するだけで重要データを防御するセキュリティバリアデバイス by 戸田 賢二
OSやアプリを問わず装着するだけで重要データを防御するセキュリティバリアデバイス by 戸田 賢二OSやアプリを問わず装着するだけで重要データを防御するセキュリティバリアデバイス by 戸田 賢二
OSやアプリを問わず装着するだけで重要データを防御するセキュリティバリアデバイス by 戸田 賢二CODE BLUE
 
タコスで機械学習 Python編
タコスで機械学習 Python編タコスで機械学習 Python編
タコスで機械学習 Python編Hiroto Yamatsuka
 
[DL輪読会]Abstractive Summarization of Reddit Posts with Multi-level Memory Netw...
[DL輪読会]Abstractive Summarization of Reddit Posts with Multi-level Memory Netw...[DL輪読会]Abstractive Summarization of Reddit Posts with Multi-level Memory Netw...
[DL輪読会]Abstractive Summarization of Reddit Posts with Multi-level Memory Netw...Deep Learning JP
 

Was ist angesagt? (15)

実践イカパケット解析α
実践イカパケット解析α実践イカパケット解析α
実践イカパケット解析α
 
Gpuクラスタクラウドによる暗号解析
Gpuクラスタクラウドによる暗号解析Gpuクラスタクラウドによる暗号解析
Gpuクラスタクラウドによる暗号解析
 
セキュリティを学ぼう~Ctfを添えて~
セキュリティを学ぼう~Ctfを添えて~セキュリティを学ぼう~Ctfを添えて~
セキュリティを学ぼう~Ctfを添えて~
 
続・わかりやすいパターン認識_3章
続・わかりやすいパターン認識_3章続・わかりやすいパターン認識_3章
続・わかりやすいパターン認識_3章
 
Ids ips
Ids ipsIds ips
Ids ips
 
クラウドを支えるこれからの暗号技術
クラウドを支えるこれからの暗号技術クラウドを支えるこれからの暗号技術
クラウドを支えるこれからの暗号技術
 
Multipeer connectivity_エスキュービズム勉強会0523
Multipeer connectivity_エスキュービズム勉強会0523Multipeer connectivity_エスキュービズム勉強会0523
Multipeer connectivity_エスキュービズム勉強会0523
 
IDベース暗号の概観と今後の展望(次世代セキュア情報基盤ワークショップ )
IDベース暗号の概観と今後の展望(次世代セキュア情報基盤ワークショップ )IDベース暗号の概観と今後の展望(次世代セキュア情報基盤ワークショップ )
IDベース暗号の概観と今後の展望(次世代セキュア情報基盤ワークショップ )
 
第三回IoT関連技術勉強会 データ通信編
第三回IoT関連技術勉強会 データ通信編第三回IoT関連技術勉強会 データ通信編
第三回IoT関連技術勉強会 データ通信編
 
20190710 ysmatsud
20190710 ysmatsud20190710 ysmatsud
20190710 ysmatsud
 
Juliaで前処理
Juliaで前処理Juliaで前処理
Juliaで前処理
 
OSやアプリを問わず装着するだけで重要データを防御するセキュリティバリアデバイス by 戸田 賢二
OSやアプリを問わず装着するだけで重要データを防御するセキュリティバリアデバイス by 戸田 賢二OSやアプリを問わず装着するだけで重要データを防御するセキュリティバリアデバイス by 戸田 賢二
OSやアプリを問わず装着するだけで重要データを防御するセキュリティバリアデバイス by 戸田 賢二
 
タコスで機械学習 Python編
タコスで機械学習 Python編タコスで機械学習 Python編
タコスで機械学習 Python編
 
パスワードが漏れるまで
パスワードが漏れるまでパスワードが漏れるまで
パスワードが漏れるまで
 
[DL輪読会]Abstractive Summarization of Reddit Posts with Multi-level Memory Netw...
[DL輪読会]Abstractive Summarization of Reddit Posts with Multi-level Memory Netw...[DL輪読会]Abstractive Summarization of Reddit Posts with Multi-level Memory Netw...
[DL輪読会]Abstractive Summarization of Reddit Posts with Multi-level Memory Netw...
 

Andere mochten auch

目視パケット解析入門
目視パケット解析入門目視パケット解析入門
目視パケット解析入門彰 村地
 
how to decrypt SSL/TLS without PrivateKey of servers
how to decrypt SSL/TLS without PrivateKey of servershow to decrypt SSL/TLS without PrivateKey of servers
how to decrypt SSL/TLS without PrivateKey of servers@ otsuka752
 
DNS問い合わせ結果の可視化
DNS問い合わせ結果の可視化DNS問い合わせ結果の可視化
DNS問い合わせ結果の可視化Mizutani Masayoshi
 
クラウドハニーポットを運用しよう!
クラウドハニーポットを運用しよう!クラウドハニーポットを運用しよう!
クラウドハニーポットを運用しよう!Mizutani Masayoshi
 
libpgenでパケット操作
libpgenでパケット操作libpgenでパケット操作
libpgenでパケット操作slankdev
 
High Performance Networking with DPDK & Multi/Many Core
High Performance Networking with DPDK & Multi/Many CoreHigh Performance Networking with DPDK & Multi/Many Core
High Performance Networking with DPDK & Multi/Many Coreslankdev
 
Windows 8 でパケットキャプチャ
Windows 8 でパケットキャプチャWindows 8 でパケットキャプチャ
Windows 8 でパケットキャプチャ彰 村地
 
MvSM: 7) Co tam dávat - tvorba obsahu pro sociální média
MvSM: 7) Co tam dávat - tvorba obsahu pro sociální médiaMvSM: 7) Co tam dávat - tvorba obsahu pro sociální média
MvSM: 7) Co tam dávat - tvorba obsahu pro sociální médiaMatez Jindra
 
SEO Esettanulmány: optimalizált tartalommarketing
SEO Esettanulmány: optimalizált tartalommarketingSEO Esettanulmány: optimalizált tartalommarketing
SEO Esettanulmány: optimalizált tartalommarketingGabor Papp
 
Enquête Doctipharma : Les français et la vente de médicaments sur internet
Enquête Doctipharma : Les français et la vente de médicaments sur internet Enquête Doctipharma : Les français et la vente de médicaments sur internet
Enquête Doctipharma : Les français et la vente de médicaments sur internet Doctipharma
 
Subsidio i.1 demanda actual
Subsidio i.1 demanda actualSubsidio i.1 demanda actual
Subsidio i.1 demanda actualUpaep Online
 
Facebook og søk for BRAK
Facebook og søk for BRAKFacebook og søk for BRAK
Facebook og søk for BRAKEspen Grimmert
 
Мобилната реклама - Ефективност през таргетиране
Мобилната реклама - Ефективност през таргетиранеМобилната реклама - Ефективност през таргетиране
Мобилната реклама - Ефективност през таргетиранеDigital Agency Interactive Share
 
Videómarketing szállodáknak
Videómarketing szállodáknakVideómarketing szállodáknak
Videómarketing szállodáknakTamás A.
 
Homoeopathic Home Prescribing Class 18th October 2014
Homoeopathic Home Prescribing Class 18th October 2014Homoeopathic Home Prescribing Class 18th October 2014
Homoeopathic Home Prescribing Class 18th October 2014Owen Homoeopathics
 
Tudatos márkaépítés
Tudatos márkaépítésTudatos márkaépítés
Tudatos márkaépítésGabor Papp
 

Andere mochten auch (20)

目視パケット解析入門
目視パケット解析入門目視パケット解析入門
目視パケット解析入門
 
how to decrypt SSL/TLS without PrivateKey of servers
how to decrypt SSL/TLS without PrivateKey of servershow to decrypt SSL/TLS without PrivateKey of servers
how to decrypt SSL/TLS without PrivateKey of servers
 
DNS問い合わせ結果の可視化
DNS問い合わせ結果の可視化DNS問い合わせ結果の可視化
DNS問い合わせ結果の可視化
 
クラウドハニーポットを運用しよう!
クラウドハニーポットを運用しよう!クラウドハニーポットを運用しよう!
クラウドハニーポットを運用しよう!
 
プロダクトデザインとしてのライティング
プロダクトデザインとしてのライティングプロダクトデザインとしてのライティング
プロダクトデザインとしてのライティング
 
libpgenでパケット操作
libpgenでパケット操作libpgenでパケット操作
libpgenでパケット操作
 
High Performance Networking with DPDK & Multi/Many Core
High Performance Networking with DPDK & Multi/Many CoreHigh Performance Networking with DPDK & Multi/Many Core
High Performance Networking with DPDK & Multi/Many Core
 
Windows 8 でパケットキャプチャ
Windows 8 でパケットキャプチャWindows 8 でパケットキャプチャ
Windows 8 でパケットキャプチャ
 
MvSM: 7) Co tam dávat - tvorba obsahu pro sociální média
MvSM: 7) Co tam dávat - tvorba obsahu pro sociální médiaMvSM: 7) Co tam dávat - tvorba obsahu pro sociální média
MvSM: 7) Co tam dávat - tvorba obsahu pro sociální média
 
SEO Esettanulmány: optimalizált tartalommarketing
SEO Esettanulmány: optimalizált tartalommarketingSEO Esettanulmány: optimalizált tartalommarketing
SEO Esettanulmány: optimalizált tartalommarketing
 
National hero
National heroNational hero
National hero
 
Enquête Doctipharma : Les français et la vente de médicaments sur internet
Enquête Doctipharma : Les français et la vente de médicaments sur internet Enquête Doctipharma : Les français et la vente de médicaments sur internet
Enquête Doctipharma : Les français et la vente de médicaments sur internet
 
Subsidio i.1 demanda actual
Subsidio i.1 demanda actualSubsidio i.1 demanda actual
Subsidio i.1 demanda actual
 
Facebook og søk for BRAK
Facebook og søk for BRAKFacebook og søk for BRAK
Facebook og søk for BRAK
 
Ta mnimeiaeinaigiromas167
Ta mnimeiaeinaigiromas167Ta mnimeiaeinaigiromas167
Ta mnimeiaeinaigiromas167
 
Мобилната реклама - Ефективност през таргетиране
Мобилната реклама - Ефективност през таргетиранеМобилната реклама - Ефективност през таргетиране
Мобилната реклама - Ефективност през таргетиране
 
Videómarketing szállodáknak
Videómarketing szállodáknakVideómarketing szállodáknak
Videómarketing szállodáknak
 
Homoeopathic Home Prescribing Class 18th October 2014
Homoeopathic Home Prescribing Class 18th October 2014Homoeopathic Home Prescribing Class 18th October 2014
Homoeopathic Home Prescribing Class 18th October 2014
 
Tudatos márkaépítés
Tudatos márkaépítésTudatos márkaépítés
Tudatos márkaépítés
 
YoonSeo Link
YoonSeo LinkYoonSeo Link
YoonSeo Link
 

Ähnlich wie ステートフル型のトラフィック監視ツールとDNSの監視例

これからはじめるIoTデバイス mbed入門編
これからはじめるIoTデバイス mbed入門編これからはじめるIoTデバイス mbed入門編
これからはじめるIoTデバイス mbed入門編Naoto Tanaka
 
Shell shock事件が明らかにするあなたの組織における情報セキュリティ力
Shell shock事件が明らかにするあなたの組織における情報セキュリティ力Shell shock事件が明らかにするあなたの組織における情報セキュリティ力
Shell shock事件が明らかにするあなたの組織における情報セキュリティ力Masafumi Oe
 
AWSでオーバーレイネットワーク ハイパフォーマンスマルチキャストの実現
AWSでオーバーレイネットワーク ハイパフォーマンスマルチキャストの実現AWSでオーバーレイネットワーク ハイパフォーマンスマルチキャストの実現
AWSでオーバーレイネットワーク ハイパフォーマンスマルチキャストの実現Shinji Ito
 
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデルシスコシステムズ合同会社
 
IoTを支える(かもしれない)技術
IoTを支える(かもしれない)技術IoTを支える(かもしれない)技術
IoTを支える(かもしれない)技術Masayuki Uchida
 
実用的な大規模ネットワークのディフェンス:あるいは「Eierlegende Wollmichsau」の保護 by Travis Carelock - CO...
実用的な大規模ネットワークのディフェンス:あるいは「Eierlegende Wollmichsau」の保護 by Travis Carelock - CO...実用的な大規模ネットワークのディフェンス:あるいは「Eierlegende Wollmichsau」の保護 by Travis Carelock - CO...
実用的な大規模ネットワークのディフェンス:あるいは「Eierlegende Wollmichsau」の保護 by Travis Carelock - CO...CODE BLUE
 
THK_ITS #5 2010.11.13
THK_ITS #5 2010.11.13THK_ITS #5 2010.11.13
THK_ITS #5 2010.11.13Yukio NAGAO
 
Jubatusが目指すインテリジェンス基盤
Jubatusが目指すインテリジェンス基盤Jubatusが目指すインテリジェンス基盤
Jubatusが目指すインテリジェンス基盤Shohei Hido
 
G-study 第6回 LT4:セキュリティパッチを放置すると・・・
G-study 第6回 LT4:セキュリティパッチを放置すると・・・G-study 第6回 LT4:セキュリティパッチを放置すると・・・
G-study 第6回 LT4:セキュリティパッチを放置すると・・・atk1234
 
Signature & Model Hybrid Platform
Signature & Model Hybrid PlatformSignature & Model Hybrid Platform
Signature & Model Hybrid PlatformYOJI WATANABE
 
Jazug信州 クラウドとデータ解析
Jazug信州 クラウドとデータ解析Jazug信州 クラウドとデータ解析
Jazug信州 クラウドとデータ解析Tsubasa Yoshino
 
20191001 mienaichikara -invisible one-
20191001 mienaichikara -invisible one-20191001 mienaichikara -invisible one-
20191001 mienaichikara -invisible one-Typhon 666
 
Web applicationpenetrationtest その2
Web applicationpenetrationtest その2Web applicationpenetrationtest その2
Web applicationpenetrationtest その2Tetsuya Hasegawa
 
セキュリティ管理 入門セミナ
セキュリティ管理 入門セミナセキュリティ管理 入門セミナ
セキュリティ管理 入門セミナMasaaki Nabeshima
 
2013年度enPiT特設講義-iisec-2013-11-09-セキュアシステムのインターネットと SNS上での構築とその課題
2013年度enPiT特設講義-iisec-2013-11-09-セキュアシステムのインターネットと SNS上での構築とその課題2013年度enPiT特設講義-iisec-2013-11-09-セキュアシステムのインターネットと SNS上での構築とその課題
2013年度enPiT特設講義-iisec-2013-11-09-セキュアシステムのインターネットと SNS上での構築とその課題Ruo Ando
 
Pythonでパケット解析
Pythonでパケット解析Pythonでパケット解析
Pythonでパケット解析euphoricwavism
 

Ähnlich wie ステートフル型のトラフィック監視ツールとDNSの監視例 (20)

これからはじめるIoTデバイス mbed入門編
これからはじめるIoTデバイス mbed入門編これからはじめるIoTデバイス mbed入門編
これからはじめるIoTデバイス mbed入門編
 
Shell shock事件が明らかにするあなたの組織における情報セキュリティ力
Shell shock事件が明らかにするあなたの組織における情報セキュリティ力Shell shock事件が明らかにするあなたの組織における情報セキュリティ力
Shell shock事件が明らかにするあなたの組織における情報セキュリティ力
 
AWSでオーバーレイネットワーク ハイパフォーマンスマルチキャストの実現
AWSでオーバーレイネットワーク ハイパフォーマンスマルチキャストの実現AWSでオーバーレイネットワーク ハイパフォーマンスマルチキャストの実現
AWSでオーバーレイネットワーク ハイパフォーマンスマルチキャストの実現
 
Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今
Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今
Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今
 
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
 
IoTを支える(かもしれない)技術
IoTを支える(かもしれない)技術IoTを支える(かもしれない)技術
IoTを支える(かもしれない)技術
 
実用的な大規模ネットワークのディフェンス:あるいは「Eierlegende Wollmichsau」の保護 by Travis Carelock - CO...
実用的な大規模ネットワークのディフェンス:あるいは「Eierlegende Wollmichsau」の保護 by Travis Carelock - CO...実用的な大規模ネットワークのディフェンス:あるいは「Eierlegende Wollmichsau」の保護 by Travis Carelock - CO...
実用的な大規模ネットワークのディフェンス:あるいは「Eierlegende Wollmichsau」の保護 by Travis Carelock - CO...
 
THK_ITS #5 2010.11.13
THK_ITS #5 2010.11.13THK_ITS #5 2010.11.13
THK_ITS #5 2010.11.13
 
Hacking Robotics
Hacking RoboticsHacking Robotics
Hacking Robotics
 
Jubatusが目指すインテリジェンス基盤
Jubatusが目指すインテリジェンス基盤Jubatusが目指すインテリジェンス基盤
Jubatusが目指すインテリジェンス基盤
 
G-study 第6回 LT4:セキュリティパッチを放置すると・・・
G-study 第6回 LT4:セキュリティパッチを放置すると・・・G-study 第6回 LT4:セキュリティパッチを放置すると・・・
G-study 第6回 LT4:セキュリティパッチを放置すると・・・
 
20160717 csc sec_bd
20160717 csc sec_bd20160717 csc sec_bd
20160717 csc sec_bd
 
Signature & Model Hybrid Platform
Signature & Model Hybrid PlatformSignature & Model Hybrid Platform
Signature & Model Hybrid Platform
 
Jazug信州 クラウドとデータ解析
Jazug信州 クラウドとデータ解析Jazug信州 クラウドとデータ解析
Jazug信州 クラウドとデータ解析
 
Azureでデータ解析
Azureでデータ解析Azureでデータ解析
Azureでデータ解析
 
20191001 mienaichikara -invisible one-
20191001 mienaichikara -invisible one-20191001 mienaichikara -invisible one-
20191001 mienaichikara -invisible one-
 
Web applicationpenetrationtest その2
Web applicationpenetrationtest その2Web applicationpenetrationtest その2
Web applicationpenetrationtest その2
 
セキュリティ管理 入門セミナ
セキュリティ管理 入門セミナセキュリティ管理 入門セミナ
セキュリティ管理 入門セミナ
 
2013年度enPiT特設講義-iisec-2013-11-09-セキュアシステムのインターネットと SNS上での構築とその課題
2013年度enPiT特設講義-iisec-2013-11-09-セキュアシステムのインターネットと SNS上での構築とその課題2013年度enPiT特設講義-iisec-2013-11-09-セキュアシステムのインターネットと SNS上での構築とその課題
2013年度enPiT特設講義-iisec-2013-11-09-セキュアシステムのインターネットと SNS上での構築とその課題
 
Pythonでパケット解析
Pythonでパケット解析Pythonでパケット解析
Pythonでパケット解析
 

ステートフル型のトラフィック監視ツールとDNSの監視例

  • 2. 自己紹介  水谷正慶(@m_mizutani)  Background  Specialty: Network monitoring, IDS/IPS, anti-malware  Snort, libpcap, malwareと付き合い続けた学生時代  Favorite: Online gaming (World of Warcraft, Starcraft, etc)  Current Job: Research staff, IBM Japan  Could, Cyber Security  Related to SIEM, SOC, Cloud products, etc
  • 3. はじめに  ネットワーク監視でリッチな情報がとりたい  MRTGだと流量など以外の情報がおえない  nflowでもかなりの情報が落ちてしまう  フルダンプしておくのも結構つらい(と思う)  パケットという単語から文脈に直して読みたい  パケット単位ならいろいろある  例:Dsc: A DNS Statistics Collector  目的  ネットワークのデバッグ  セキュリティフォレンジクス
  • 4. Devourer  ステートフルな情報を持つパケット監視ツール  Devourer【名詞】がつがつと、または貪欲に食 べる人(Weblio http://ejje.weblio.jp/content/devourer より)  ステートフルな情報を保持:セッション、フ ロー、キャッシュ、トランザクション、etc  今のところDNSのトランザクションのみ監視  開発  Github: https://github.com/m-mizutani/devourer  C++ & libpcap, libev, msgpack (output to fluentd)
  • 5. 構成例 Devourer (packet monitor) Port mirroring Fluentd Influxdb TCP Saving records Grafana Web b rowser Network traffic Administrator http://qiita.com/m_mizutani/items/af30b87721a70d5290fa
  • 6. できること  DNSクエリの応答時間が取得できる  DNSサーバのデバッグ  DNSクエリがどこで遅延しているかの特定  クエリのタイムアウト数のカウント  クエリがない応答の発見  キャッシュポイゾニング攻撃の検知  (ステート関係ないけど)問い合わせ結果ログ  問い合わせ名、レコード種別、問い合わせ結果  フォレンジクス、問い合わせ名のトレース
  • 7. DNSクエリの応答時間をグラフ化  100ms未満、1000ms未満、1000ms以上で分類  そこそこ1000ms以上かかっているクエリもある 自宅ネットワークより
  • 8. クエリの結果をグラフ化  Status毎にグラフ化  Success: 同一セッション+トランザクションIDで返答あり  Timeout: タイムアウト(現在は60秒設定)  Miss: 観測されていないクエリに対する応答 http://ictf.cs.ucsb.edu/data/ictf2010/ictf2010pcap.tar.gz より
  • 9. Available on Elasticsearch + Kibana  Fluentdのモジュールを追加して宛先を増やせばいいだけ  モニタリングだけではなく調査やデバッグもやりたいな らこちらの組み合わせのほうが便利
  • 10. Performance  実験環境  i7 2.3GHz / SSDディスクより読み込み  DNSパケットのみの場合  約85,000 pps  通常パケットも含むトラフィックの場合  約923,000 pps, 約3.284Gbps  http://ictf.cs.ucsb.edu/data/ictf2010/ictf2010pcap.t ar.gz の一部で計測  DNSパケットは全体の約6.8%
  • 11. 今後できそうなこと  以下のような値を取れるようになる見込み  フロー毎のIPフラグメンテーション数  TCPセッションのlatency(segmentとackの組み合 わせによる)  TCPセッションのpacket loss rate(ackの再送を利 用)  httpのリクエストと応答の組合せ  httpsで使われているcipher suiteの種類
  • 12. ご清聴ありがとうございました  ご意見歓迎です  そういうツールはもうあるよ!  そういう目的では使わないよ!  こういう目的だったら使えるかも!