サクサク読めて、アプリ限定の機能も多数!
トップへ戻る
今年の「#文学」
m-mizutani.github.io
数ヶ月間、私のお小遣いを貪り続けてきたAWS EC2上のハニーポットですが、さすがに財布へのダメージが蓄積してきたのでいったん停止させました。停止させたもののそれなりにデータを蓄積していたので、さてどうしようかなと思っていたのですが、 先日、長崎で開催された情報処理学会のコンピュータセキュリティシンポジウム2015で聞いた講演の一つに SSHの新しい攻撃方法について触れられていてちょっと気になったので、収集したデータのうちSSHに関しての通信のみちょっと分析してみました。 ハニーポットの構成やデータの収集方法については過去のエントリを参照していただきたいのですが、 今回はAWS Asia Pacific (Tokyo)上でEC2のインスタンス4つを4月頭から6月末まで動かしてデータを取得しました。財布へのダメージも4倍! しかしおかげで複数のIPアドレスで観測した時に生じる差分について知る
毎月、飲み会1〜2回分くらいのお金を吸い続けさせながら運用している個人的なハニーポットですが、 データをためるだけためて塩漬けにするのもなんなので、過去6ヶ月分(2014年10月〜2015年3月)の データを可視化および公開しました。公開されているデータは http://pktviz.org/lurker から参照できます。 この記事ではデータの収集方法や可視化・分析方法、興味深かった分析結果について解説したいと思います。 データ収集方法 攻撃データの収集はAmazon EC2上のインスタンスを利用し、自作のハニーポットソフトウェアLurkerを動かして インターネット上からサーバのような常時稼働しているタイプのホストに対する攻撃を収集しました。 PCなど個人で使うようなホストへの攻撃はインターネットから直接的なアクセスではなく Drive by Download攻撃(悪意のあるWebサイ
DnsHiveはパケットキャプチャによってDNS名前解決情報の蓄積とネットワーク監視を同時に実行し、ツールです。tcpdumpコマンドを使ったことがある人に端的に機能を説明すると、以下の様な使い方ができます。 # dnshive -i eth0 | grep google.com 1391871175.057028 TCP 10.0.0.5/63906 -> safebrowsing.google.com.(173.194.126.233)/443 Len:107 1391871175.102049 TCP safebrowsing.google.com.(173.194.126.233)/443 -> 10.0.0.5/63906 Len:66 1391871332.255500 TCP 10.0.0.5/63921 -> www3.l.google.com.(173.194.117.1
Bro IDS Bro IDS http://www.bro.org/ はgatewayに流れるようなネットワークトラフィックを監視し、セキュリティに関連したイベントを発見するオープンソースの侵入検知システム(Intrusion Detection System, IDS)です。オープンソースのIDSで最も有名なのがSnort http://snort.org/ ですが、2000年後半あたりからこのBroを使ったネットワークセキュリティ系の論文が散見されるようになりました。なのでそこそこ業界的には有名なはずなんですが、あまり日本語の記事もなかったので書いてみました。 Broの特徴は、多くのIDSで実装されているシグネチャベースのパターンマッチ(特定の文字列などが出現したらアラートを報告する)だけでなく、トラフィックのプロトコルを解読した結果を用いて簡単なスクリプトを記述できる点です。これに
DNS問い合わせの可視化 最近、データをまとめたり可視化したりしてその性質を調べる探索的データ分析(例)にはまっています。と、同時にネットワーク分析にもちょっと手を出しており、その2つの派生物としてドメイン名問い合わせの結果を可視化してみました。 これを読んでいる人にはもはや説明の必要はないと思いますが、一応書いておくと、世の中のwww.google.comやwww.amazon.co.jpのようなドメイン名はサーバの場所を直接示しているわけではなく、「この名前を持っているサーバのIPアドレスはなんですか?」というのをDNSサーバという別のサーバに問い合わせることで目的のサーバのIPアドレスを教えてもらい、その後目的のサーバへ接続します。以前は正引き(ドメイン名からIPアドレスを問い合わせる)と逆引き(IPアドレスからドメイン名を問い合わせる)が対称構造になるように設定するのが主流でしたが
Swarm: 高速なネットワークトラフィック解析ライブラリ C++で動作するネットワークトラフィック解析ライブラリを作成しました。(github)提供している機能はプログラミング初心者がlibpcapを使ってパケットの構造を調べるようなコードでやっていることとあまり大差はありませんが、毎回同じようなプロトコル解析処理を個別に作成するのが煩わしかったり、既存のリッチなプロトコル解析ツールだとプログラム解析後のデータ処理が面倒・あるいは性能が出にくいという課題があったりなどの理由から、自分で再利用可能なライブラリとして作成していました。 パケットからプロトコルを解釈し、プログラマが利用しやすい形で結果を提供します。集計・分析もC++のコードで記述できるため、高速な実ネットワークトラフィックのリアルタイム分析も可能です。例えば、ネットワークトラフィックに含まれるDNSの問い合わせのドメイン名を全
前説 msgpackはJSONのように自由なデータ形式を使えつつ、直接の可読性を捨てることでデータ容量を節約し、実装的にもserialize, deserializeを高速化している今どきな感じのシリアライズフォーマットです。KVSに構造化データをがしがし入れていくためデータのシリアライズが必要でしたが、ありきたりなJSONよりはmsgpackも使ってみるか、ぐらいの気持ちで使い始めてみました。 やりたいこと JSONで例えると、こういうデータを扱いたいと思いました。 { "ts": 13345133.43, "src": "10.0.0.1", "domain": { "example.com": 1, "example.org": 2, "example.net": 3, } } 特徴としては、 マップ形式だが、バリュー部分に数値や文字列などのデータ形式が入り交じっている 出現するキー
このページを最初にブックマークしてみませんか?
『Masayoshi Mizutani』の新着エントリーを見る
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く