Top | 研究室紹介 | メンバー紹介 | 研究室業績 | 学会関連 | 関連情報 | イベント | English


    DoS攻撃対策に関する研究


    インターネットの普及と共に,悪意あるユーザからの攻撃に対するネットワーク
    セキュリティの必要性が高まっている.その中でも,サービス不能攻撃(Denial of 
    Service Attack: 以下DoS攻撃)が脅威となっている.これは,悪意あるユーザが,
    特定のサーバに対し大量のパケットを送ることで,そのサーバの機能を停止させる
    攻撃である.さらに近年では,複数の攻撃者がDoS攻撃を行う分散サービス不能攻撃
    (Distributed Denial of Service Attack: 以下DDoS攻撃)が大きな問題となっている.
    DoS攻撃においては,攻撃者は通常,自らの身元を隠すためにパケット中のパラメータ
    (例えば,パケットの平均寿命を表すTime To Live (TTL),距離を表すホップ数,
    発信元IPアドレスなど)を偽造する.そのため,DoS攻撃への防御対策を行う上で,
    パケットの偽造や複数の攻撃者からの攻撃への耐性が必要となる.
    
    DoS攻撃対策は,アクティビティによって大きく侵入予防,侵入検知,侵入応答,侵入耐性
    及び緩和がある.4つに分類される.侵入予防は,攻撃者が侵入をするのを防ぐ.
    侵入探知は,攻撃者が侵入してきたことを探知する.侵入応答は,攻撃者が攻撃者から
    攻撃を受けたときに,なんらかの応答を行うことで攻撃を防ぐ.侵入耐性及び緩和は,
    攻撃者から攻撃を受けたときに,ある程度攻撃を受けるのを既知と判断し,攻撃を
    最小限にする.本研究では,なかでも侵入応答の分野を取り扱う.侵入応答では,
    攻撃を受ける前に対策をする事前対策と,受けた後に対処する事後対策の二つに大きく
    分類される.前者の例として,パケットフィルタリング技術が挙げられる.これは,
    送られてくるパケットに,ルータのアドレスなどの経路情報に基づいてマーキングを行い,
    そのマーキング値を用いて攻撃パケットを廃棄する技術である.後者の代表的な例は,
    トレースバック技術である.これは,攻撃パケットに対してある一定の確率でルータ情報
    を付加することで,攻撃経路を特定する技術である.トレースバック技術は有効な対策で
    あるものの,多くの攻撃パケットを受信し,それらを解析して経路を復元する必要性がある,
    さらに,トレースバック技術は,DoS攻撃を受けている際中における防御策を与えるもの
    ではない.事前対策ではそのような問題点がないため,本研究ではフィルタリング技術を
    扱うものとする.
    
    フィルタリング技術として代表的なものに,Yaarらによるパケットマーキング法を用いた
    Pi方式がある.この方式では,パケットが経由する毎にルータが自らのIPアドレスなどの
    情報をIPヘッダ中のidentificaion fieldに書き込む.これにより,$2^{16}$(= 65536)個の
    異なる経路パターンを作ることが可能となる.このスキームは,他のフィルタリング方式と
    比較するとよい性能を持つことが実験的に示されている.%フォルスポジティブとは,攻撃者の
    パケットを正規ユーザのパケットと判断することを指し,フォルスポジティブは正規ユーザの
    パケットを攻撃者のパケットと判断することを示す.DoS攻撃においては重要なパラメータとなる.
    
    しかし,Pi方式では,TTLの値に応じてマーキングを書き込むビット位置が変化していく.
    そこで,TTLの値を偽造することにより,攻撃者がマーキング値を変えることができるため,
    その値をフィルタリングに利用することが困難である.さらに,マーキングビット数$n$の
    値が小さいか,あるいは攻撃者への距離が近いような状況では,攻撃者が最初に設定した値が
    残ってしまい,なおかつ攻撃者のマーキング値の残っているビット位置がわからないため,
    マーキング値が一定の値とならない可能性がある.すなわちPi方式では,攻撃者のパケット
    偽造によって,マーキング値が大きく変動してしまうという問題がある.また,攻撃者が
    遠くに位置するとき,マーキングするビット位置のwrappingが起こり,遠くのルータの情報が
    上書きされてしまうといった問題点も挙げられる.この問題に対して,TTL unwrappingなどの
    対策が検討されているものの,いずれもアドホックなアプローチであり,有効性に疑問が残る.
    また,このような対策は,攻撃対象ホストに大きな負担を強いることになる.
    
    このように,Pi方式は,TTLの偽造やマーキング値偽造に対してアドホックな対策しかしておらず,
    統一的な対策が望まれる.そこで筆者らは,上記の偽造に対してにより耐性を持つ方式
    (以下提案方式1と呼ぶ)提案した.また,ルータのメモリを用いて,16ホップ以上の経路情報を
    マーキングする方式(提案方式1+2と呼ぶ)を提案した.
    また、各方式の理論的評価では,Pi方式よりも提案方式のほうが偽造に耐性を持つという観点から,
    マーキング特性を解析し,特に次に示す変動係数の理論的評価を行った.
    同様に、各方式の評価実験では,マーキング値の偏りと複数の経路への対応という点から,
    変動係数,誤判定という二つのパラメータを用い,攻撃対象が受けるマーキング値を評価した.
    本方式では,フォルスポジテイブフォルスネガティブをまとめて誤判定と示す.その中には攻撃者の
    パケットを別の攻撃者のパケットと判定するものと,正規ユーザのパケットを正規ユーザのパケットと
    判定する割合も含まれる.変動係数が低いほどマーキング値に偏りが出るので,フィルタリングが
    しやすい.また,誤判定が少ないほど,経路に固有の値が割り振られる.どちらも低いほうがよい.
    上記の点から,各方式について理論的評価及び,実験での評価を定性的,定量的に評価し,
    提案方式1,1+2いずれもPi方式よりも偽造に耐性を持つマーキングを行うことを示した.
    
    


    【戻る】