SlideShare una empresa de Scribd logo

透過型確率的パケットマーキング装置の提案と開発(オープンルータコンペティション発表資料)

Akira Kanaoka
Akira Kanaoka
1 de 17
透過型確率的パケットマーキング装置の 提案と開発 チーム名:筑波大学 暗号・情報セキュリティ研究室とOB 金岡 晃(筑波大学) 岡田雅之(OB:勤務先:JPNIC) 日暮一太(筑波大学) 後藤成聡(筑波大学)
最初にまとめ • 経路途中のルータが、IPv4ヘッダの 確率的 Identificationフィールドにマーキング パケットマーキング (Probabilistic Packet Marking) • 受信側で収集したマーキング情報をもとに経路 情報を再構成 我々のアプローチ 方式の 軽量 現実適用の 効率化 Linux実装 検討 既存の稼働中ルータをPPM対応ルータに 「入れ替える」のはとてもハードルが高い ルータの代わりに透過的にマーキングする 「透過型マーキング装置」 2012/6/13 ORC 最終審査会 2
アピールポイント とても軽量な 透過型PPMブリッジの実現 • Linuxを搭載した1Uサーバをブリッジとし て採用 • (予算がないので)研究室で使ってなかっ た古いサーバを使いました • IBM xSeries 306m (P4 3.0GHz, 2GB RAM)が中心 マーキングから経路再構成する perlスクリプト 経路再構成の具合を 可視化するツール 2012/6/13 ORC 最終審査会 3
確率的パケットマーキング(PPM)方式の概略 (Savageらの手法) 基本的な手法 例 目的は 攻撃者 中継ルータ群 被害者 「攻撃者までの経路 (中継ルータ群のIPアドレス X A B C D Y とその順序)を知る」 A A B A +B d=3 確率 p B B +C B +C d=2 ・自分のIP情報を書き込む C C +D C +D d=1 ・距離情報0にセット D D d=0 確率 1-p Yが受け取る情報 ・もし距離情報が0だったら 順番にXORすることで 自分のIP情報を 中継ルータ群のIP情報を復元可能 現在のIP情報にXOR ・距離情報++ 2012/6/13 ORC 最終審査会 4
確率的パケットマーキング(PPM)方式の概略 (Savageらの手法) 宛先ホストで 受け取るデータ 経路情報の 復元 ○ A+B d=3 ○ C+D ○ B+C ○ A+B ○ B+C d=2 ○ + ○ + ○ + D C B ○ C+D d=1 D d=0 D C B A グラフになぞらえ ルータそのものの情報ではなく、 ノード情報ではなく 「どのルータ間を通ったか」の情報が エッジ情報をあつめることから マーキングされる “Edge Sampling” と言われる 2012/6/13 ORC 最終審査会 5
【提案】透過型確率的パケットマーキング装置 既存ルータのソフトウェア/ハードウェア入れ 2つの実現形態 替えを必要とせず 既存ルータをPPM対応させる 透過型PPMリピータ Ethernetでの中継(ヘッダ書き A B 換え)を行なわない(Ethernet レベルでも透過) A TPPM装置 B 透過型PPM ブリッジ・スイッチ 新たなルータ設置ではなく Ethernetでの中継(ヘッダ書き IPレベルで透過的に 換え)を行なう 代理でPPMを行なう装置を配置 (Ethernetレベルでは非透過) A○ B + のマークを1度で行えるためEdge Samplingに適している ネットワーク中継機器として2台以上の代理マーキングも可能 2012/6/13 ORC 最終審査会 6
透過型PPMブリッジの実装 既存ライブラリ等を 利用せず フルスクラッチで LinuxカーネルにPPM機能を実装 Ethernetフレームのプロトコル番号を見て、IPパケットの該当部分を上書き マーキング後のIPヘッダチェックサム再計算の効率化 カーネル上でIPレイヤ処理での計算を呼び出さず、Ethernetフレーム処理 部分にIPヘッダのチェックサム再計算を記載することで効率化 マーキング設定の柔軟性向上 sysfsを用いることでユーザランド • リピータ/ブリッジ・スイッチ 機能切り替え • マーキングタイプ (ユーザが設定できるエリア)か (未実装) • マーキングアルゴリズム らカーネルパラメータを設定でき るように変更 (Savage, Goodrich, 金岡) ARP観測による自動設定に向けた対応 EthernetフレームのみにPPM対応するよう、分岐命令を用いた実装 分岐を増やすことによりARP対応が容易に可能 2012/6/13 ORC 最終審査会 7
透過型PPMブリッジの性能評価 パケット 透過型 パケット 受信器 PPMブリッジ 送信器 スループット 評価はいずれも (Mbps) Apacheのabを使用 PPMなし 890.5715 IBM xSeries 306m 送受信器の間に PPMあり 891.6879 CPU Pentium4 531 透過型PPMブリッジが1台 (3.0GHz) 有意な差はない RAM 2GB OS Debian GNU/Linux (6.0.1) スループット (Mbps) NIC Broadcom 5721 送受信器の間に PPMなし 890.5112 透過型PPMブリッジが2台 PPMあり 891.7197 2012/6/13 ORC 最終審査会 8
透過型PPMブリッジの性能評価(+α) 10Gbpsカードでの性能評価 9,238,122,764 bps = 8.6Gbps 10,000,000,000 9,000,000,000 8,000,000,000 7,000,000,000 6,000,000,000 スループット 5,000,000,000 (bps) 4,000,000,000 3,000,000,000 2,000,000,000 1,000,000,000 0 -300 200 700 1200 1700 パケットサイズ (byte) 2012/6/13 ORC 最終審査会 9
本日のマーキングスループット 一番トポロジの根っこの部分の透過型ブリッジにおけるスループット 881Mbps でました 2012/6/13 ORC 最終審査会 10
本日のトポロジ 7+1台の 透過型PPMブリッジ パケット 受信器 Data Flow 5台の パケット 送信器 Trace back!! *仮想環境を利用せずすべて実機で構成 2012/6/13 ORC 最終審査会 11
経路情報再構成スクリプト 2012/6/13 ORC 最終審査会 12
経路情報再構成可視化ツール 2012/6/13 ORC 最終審査会 13
透過型PPMブリッジの本質と応用シーン • PPM研究自体は「DoS対策」 透過型 • PPMそのものの本質は「直近で流れていたパ PPMブリッジ ケットの経路を明らかにする」 • 経路情報を復元するトリガはDoS攻撃でな くて良い • トリガ自身は本システムはスコープ外 応用シーン • 仮想環境等の複雑化した組織内ネットワークでの 経路やネットワーク機器管理 • 特定ASやAS群におけるボットネットの活性化 2012/6/13 ORC 最終審査会 14
おまけ:@SRCHACK.ORGさま チーム@SRCHACK.ORGの方が 6/7の2次審査で 我々の実装に興味を持ち… カーネルパッチをこちらから 提供さしあげたところ… なんと、透過型PPMが動く WHR-HP-AG300Hが できあがってしまった!! 今現在、動いています!! 2012/6/13 ORC 最終審査会 15
これは、 われわれを@SRCHACK.ORGさんへと 導く暗示だったのか!!!? Tシャツ謹呈の図 2012/6/13 ORC 最終審査会 16
まとめ  透過型確率的パケットマーキング(PPM) 本会場にて 装置の提案 • 透過型PPMブリッジ • 透過型PPMリピータ 実機による ネットワーク 環境  透過型PPMブリッジの開発 • Linuxカーネルを修正することで 軽量に実現 経路情報復元  周辺機能の充実化 可視化ツール • マーキングデータから ライブデモ 経路情報を復元するperlスクリプト • 経路情報の復元状況を可視化するツール 2012/6/13 ORC 最終審査会 17

Recomendados

SDN Japan: ovs-hw
SDN Japan: ovs-hwSDN Japan: ovs-hw
SDN Japan: ovs-hw
ykuga
 
High speed-pc-router 201505
High speed-pc-router 201505High speed-pc-router 201505
High speed-pc-router 201505
ykuga
 
Netty & Apache Camel
Netty & Apache CamelNetty & Apache Camel
Netty & Apache Camel
ssogabe
 
Apache Camel Netty component
Apache Camel Netty componentApache Camel Netty component
Apache Camel Netty component
ssogabe
 
Fpga local 20130322
Fpga local 20130322Fpga local 20130322
Fpga local 20130322
Takefumi MIYOSHI
 
Abstracts of FPGA2017 papers (Temporary Version)
Abstracts of FPGA2017 papers (Temporary Version)Abstracts of FPGA2017 papers (Temporary Version)
Abstracts of FPGA2017 papers (Temporary Version)
Takefumi MIYOSHI
 
ハードウェア技術の動向 2015/02/02
ハードウェア技術の動向 2015/02/02ハードウェア技術の動向 2015/02/02
ハードウェア技術の動向 2015/02/02
maruyama097
 
FPGAのトレンドをまとめてみた
FPGAのトレンドをまとめてみたFPGAのトレンドをまとめてみた
FPGAのトレンドをまとめてみた
Takefumi MIYOSHI
 

Recomendados

SDN Japan: ovs-hw
SDN Japan: ovs-hwSDN Japan: ovs-hw
SDN Japan: ovs-hw
ykuga
 
High speed-pc-router 201505
High speed-pc-router 201505High speed-pc-router 201505
High speed-pc-router 201505
ykuga
 
Netty & Apache Camel
Netty & Apache CamelNetty & Apache Camel
Netty & Apache Camel
ssogabe
 
Apache Camel Netty component
Apache Camel Netty componentApache Camel Netty component
Apache Camel Netty component
ssogabe
 
Fpga local 20130322
Fpga local 20130322Fpga local 20130322
Fpga local 20130322
Takefumi MIYOSHI
 
Abstracts of FPGA2017 papers (Temporary Version)
Abstracts of FPGA2017 papers (Temporary Version)Abstracts of FPGA2017 papers (Temporary Version)
Abstracts of FPGA2017 papers (Temporary Version)
Takefumi MIYOSHI
 
ハードウェア技術の動向 2015/02/02
ハードウェア技術の動向 2015/02/02ハードウェア技術の動向 2015/02/02
ハードウェア技術の動向 2015/02/02
maruyama097
 
FPGAのトレンドをまとめてみた
FPGAのトレンドをまとめてみたFPGAのトレンドをまとめてみた
FPGAのトレンドをまとめてみた
Takefumi MIYOSHI
 
FPGA・リコンフィギャラブルシステム研究の最新動向
FPGA・リコンフィギャラブルシステム研究の最新動向FPGA・リコンフィギャラブルシステム研究の最新動向
FPGA・リコンフィギャラブルシステム研究の最新動向
Shinya Takamaeda-Y
 
オープンソースコンパイラNNgenでつくるエッジ・ディープラーニングシステム
オープンソースコンパイラNNgenでつくるエッジ・ディープラーニングシステムオープンソースコンパイラNNgenでつくるエッジ・ディープラーニングシステム
オープンソースコンパイラNNgenでつくるエッジ・ディープラーニングシステム
Shinya Takamaeda-Y
 
GlusterFSとInfiniBandの小話
GlusterFSとInfiniBandの小話GlusterFSとInfiniBandの小話
GlusterFSとInfiniBandの小話
Keisuke Takahashi
 
Intel 82599 10GbE Controllerで遊ぼう
Intel 82599 10GbE Controllerで遊ぼうIntel 82599 10GbE Controllerで遊ぼう
Intel 82599 10GbE Controllerで遊ぼう
Takuya ASADA
 
Lagopus Switch Usecases
Lagopus Switch UsecasesLagopus Switch Usecases
Lagopus Switch Usecases
Sakiko Kawai
 
Hello, DirectCompute
Hello, DirectComputeHello, DirectCompute
Hello, DirectCompute
dasyprocta
 
A Multiple Pairs Shortest Path Algorithm 解説
A Multiple Pairs Shortest Path Algorithm 解説A Multiple Pairs Shortest Path Algorithm 解説
A Multiple Pairs Shortest Path Algorithm 解説
Osamu Masutani
 
GPGPU Seminar (GPU Accelerated Libraries, 2 of 3, cuSPARSE)
GPGPU Seminar (GPU Accelerated Libraries, 2 of 3, cuSPARSE) GPGPU Seminar (GPU Accelerated Libraries, 2 of 3, cuSPARSE)
GPGPU Seminar (GPU Accelerated Libraries, 2 of 3, cuSPARSE)
智啓 出川
 
Cuda fortranの利便性を高めるfortran言語の機能
Cuda fortranの利便性を高めるfortran言語の機能Cuda fortranの利便性を高めるfortran言語の機能
Cuda fortranの利便性を高めるfortran言語の機能
智啓 出川
 
PyCoRAM (高位合成友の会@ドワンゴ, 2015年1月16日)
PyCoRAM (高位合成友の会@ドワンゴ, 2015年1月16日)PyCoRAM (高位合成友の会@ドワンゴ, 2015年1月16日)
PyCoRAM (高位合成友の会@ドワンゴ, 2015年1月16日)
Shinya Takamaeda-Y
 
PyCoRAMを用いたグラフ処理FPGAアクセラレータ
PyCoRAMを用いたグラフ処理FPGAアクセラレータPyCoRAMを用いたグラフ処理FPGAアクセラレータ
PyCoRAMを用いたグラフ処理FPGAアクセラレータ
Shinya Takamaeda-Y
 
2015年度GPGPU実践基礎工学 第14回 GPGPU組込開発環境
2015年度GPGPU実践基礎工学 第14回 GPGPU組込開発環境2015年度GPGPU実践基礎工学 第14回 GPGPU組込開発環境
2015年度GPGPU実践基礎工学 第14回 GPGPU組込開発環境
智啓 出川
 
プロトコル変換ゲートウェイPTGWの 実証実験と評価
プロトコル変換ゲートウェイPTGWの 実証実験と評価プロトコル変換ゲートウェイPTGWの 実証実験と評価
プロトコル変換ゲートウェイPTGWの 実証実験と評価
Takashi Kishida
 
200625material naruse
200625material naruse200625material naruse
200625material naruse
RCCSRENKEI
 
GPGPU Seminar (GPU Accelerated Libraries, 3 of 3, Thrust)
GPGPU Seminar (GPU Accelerated Libraries, 3 of 3, Thrust) GPGPU Seminar (GPU Accelerated Libraries, 3 of 3, Thrust)
GPGPU Seminar (GPU Accelerated Libraries, 3 of 3, Thrust)
智啓 出川
 
NetBSD/evbarm on Raspberry Pi
NetBSD/evbarm on Raspberry PiNetBSD/evbarm on Raspberry Pi
NetBSD/evbarm on Raspberry Pi
tokudahiroshi
 
ラプラシアンフィルタをZedBoardで実装(ソフトウェアからハードウェアにオフロード)
ラプラシアンフィルタをZedBoardで実装(ソフトウェアからハードウェアにオフロード)ラプラシアンフィルタをZedBoardで実装(ソフトウェアからハードウェアにオフロード)
ラプラシアンフィルタをZedBoardで実装(ソフトウェアからハードウェアにオフロード)
marsee101
 
Vyatta 201310
Vyatta 201310Vyatta 201310
Vyatta 201310
Takefumi MIYOSHI
 
2015年度GPGPU実践プログラミング 第8回 総和計算(高度な最適化)
2015年度GPGPU実践プログラミング 第8回 総和計算(高度な最適化)2015年度GPGPU実践プログラミング 第8回 総和計算(高度な最適化)
2015年度GPGPU実践プログラミング 第8回 総和計算(高度な最適化)
智啓 出川
 
PyCoRAMによるPythonを用いたポータブルなFPGAアクセラレータ開発 (チュートリアル@ESS2014)
PyCoRAMによるPythonを用いたポータブルなFPGAアクセラレータ開発 (チュートリアル@ESS2014)PyCoRAMによるPythonを用いたポータブルなFPGAアクセラレータ開発 (チュートリアル@ESS2014)
PyCoRAMによるPythonを用いたポータブルなFPGAアクセラレータ開発 (チュートリアル@ESS2014)
Shinya Takamaeda-Y
 
20220602コンピュータネットワーク.pdf
20220602コンピュータネットワーク.pdf20220602コンピュータネットワーク.pdf
20220602コンピュータネットワーク.pdf
risakitagawa
 
Kernel vm-2014-05-25
Kernel vm-2014-05-25Kernel vm-2014-05-25
Kernel vm-2014-05-25
Hirochika Asai
 

Más contenido relacionado

La actualidad más candente

Intel 82599 10GbE Controllerで遊ぼう
Intel 82599 10GbE Controllerで遊ぼうIntel 82599 10GbE Controllerで遊ぼう
Intel 82599 10GbE Controllerで遊ぼう
Takuya ASADA
 
GPGPU Seminar (GPU Accelerated Libraries, 2 of 3, cuSPARSE)
GPGPU Seminar (GPU Accelerated Libraries, 2 of 3, cuSPARSE) GPGPU Seminar (GPU Accelerated Libraries, 2 of 3, cuSPARSE)
GPGPU Seminar (GPU Accelerated Libraries, 2 of 3, cuSPARSE)
智啓 出川
 
2015年度GPGPU実践基礎工学 第14回 GPGPU組込開発環境
2015年度GPGPU実践基礎工学 第14回 GPGPU組込開発環境2015年度GPGPU実践基礎工学 第14回 GPGPU組込開発環境
2015年度GPGPU実践基礎工学 第14回 GPGPU組込開発環境
智啓 出川
 
プロトコル変換ゲートウェイPTGWの 実証実験と評価
プロトコル変換ゲートウェイPTGWの 実証実験と評価プロトコル変換ゲートウェイPTGWの 実証実験と評価
プロトコル変換ゲートウェイPTGWの 実証実験と評価
Takashi Kishida
 
GPGPU Seminar (GPU Accelerated Libraries, 3 of 3, Thrust)
GPGPU Seminar (GPU Accelerated Libraries, 3 of 3, Thrust) GPGPU Seminar (GPU Accelerated Libraries, 3 of 3, Thrust)
GPGPU Seminar (GPU Accelerated Libraries, 3 of 3, Thrust)
智啓 出川
 
2015年度GPGPU実践プログラミング 第8回 総和計算(高度な最適化)
2015年度GPGPU実践プログラミング 第8回 総和計算(高度な最適化)2015年度GPGPU実践プログラミング 第8回 総和計算(高度な最適化)
2015年度GPGPU実践プログラミング 第8回 総和計算(高度な最適化)
智啓 出川
 

La actualidad más candente (20)

FPGA・リコンフィギャラブルシステム研究の最新動向
FPGA・リコンフィギャラブルシステム研究の最新動向FPGA・リコンフィギャラブルシステム研究の最新動向
FPGA・リコンフィギャラブルシステム研究の最新動向
 
オープンソースコンパイラNNgenでつくるエッジ・ディープラーニングシステム
オープンソースコンパイラNNgenでつくるエッジ・ディープラーニングシステムオープンソースコンパイラNNgenでつくるエッジ・ディープラーニングシステム
オープンソースコンパイラNNgenでつくるエッジ・ディープラーニングシステム
 
GlusterFSとInfiniBandの小話
GlusterFSとInfiniBandの小話GlusterFSとInfiniBandの小話
GlusterFSとInfiniBandの小話
 
Intel 82599 10GbE Controllerで遊ぼう
Intel 82599 10GbE Controllerで遊ぼうIntel 82599 10GbE Controllerで遊ぼう
Intel 82599 10GbE Controllerで遊ぼう
 
Lagopus Switch Usecases
Lagopus Switch UsecasesLagopus Switch Usecases
Lagopus Switch Usecases
 
Hello, DirectCompute
Hello, DirectComputeHello, DirectCompute
Hello, DirectCompute
 
A Multiple Pairs Shortest Path Algorithm 解説
A Multiple Pairs Shortest Path Algorithm 解説A Multiple Pairs Shortest Path Algorithm 解説
A Multiple Pairs Shortest Path Algorithm 解説
 
GPGPU Seminar (GPU Accelerated Libraries, 2 of 3, cuSPARSE)
GPGPU Seminar (GPU Accelerated Libraries, 2 of 3, cuSPARSE) GPGPU Seminar (GPU Accelerated Libraries, 2 of 3, cuSPARSE)
GPGPU Seminar (GPU Accelerated Libraries, 2 of 3, cuSPARSE)
 
Cuda fortranの利便性を高めるfortran言語の機能
Cuda fortranの利便性を高めるfortran言語の機能Cuda fortranの利便性を高めるfortran言語の機能
Cuda fortranの利便性を高めるfortran言語の機能
 
PyCoRAM (高位合成友の会@ドワンゴ, 2015年1月16日)
PyCoRAM (高位合成友の会@ドワンゴ, 2015年1月16日)PyCoRAM (高位合成友の会@ドワンゴ, 2015年1月16日)
PyCoRAM (高位合成友の会@ドワンゴ, 2015年1月16日)
 
PyCoRAMを用いたグラフ処理FPGAアクセラレータ
PyCoRAMを用いたグラフ処理FPGAアクセラレータPyCoRAMを用いたグラフ処理FPGAアクセラレータ
PyCoRAMを用いたグラフ処理FPGAアクセラレータ
 
2015年度GPGPU実践基礎工学 第14回 GPGPU組込開発環境
2015年度GPGPU実践基礎工学 第14回 GPGPU組込開発環境2015年度GPGPU実践基礎工学 第14回 GPGPU組込開発環境
2015年度GPGPU実践基礎工学 第14回 GPGPU組込開発環境
 
プロトコル変換ゲートウェイPTGWの 実証実験と評価
プロトコル変換ゲートウェイPTGWの 実証実験と評価プロトコル変換ゲートウェイPTGWの 実証実験と評価
プロトコル変換ゲートウェイPTGWの 実証実験と評価
 
200625material naruse
200625material naruse200625material naruse
200625material naruse
 
GPGPU Seminar (GPU Accelerated Libraries, 3 of 3, Thrust)
GPGPU Seminar (GPU Accelerated Libraries, 3 of 3, Thrust) GPGPU Seminar (GPU Accelerated Libraries, 3 of 3, Thrust)
GPGPU Seminar (GPU Accelerated Libraries, 3 of 3, Thrust)
 
NetBSD/evbarm on Raspberry Pi
NetBSD/evbarm on Raspberry PiNetBSD/evbarm on Raspberry Pi
NetBSD/evbarm on Raspberry Pi
 
ラプラシアンフィルタをZedBoardで実装(ソフトウェアからハードウェアにオフロード)
ラプラシアンフィルタをZedBoardで実装(ソフトウェアからハードウェアにオフロード)ラプラシアンフィルタをZedBoardで実装(ソフトウェアからハードウェアにオフロード)
ラプラシアンフィルタをZedBoardで実装(ソフトウェアからハードウェアにオフロード)
 
Vyatta 201310
Vyatta 201310Vyatta 201310
Vyatta 201310
 
2015年度GPGPU実践プログラミング 第8回 総和計算(高度な最適化)
2015年度GPGPU実践プログラミング 第8回 総和計算(高度な最適化)2015年度GPGPU実践プログラミング 第8回 総和計算(高度な最適化)
2015年度GPGPU実践プログラミング 第8回 総和計算(高度な最適化)
 
PyCoRAMによるPythonを用いたポータブルなFPGAアクセラレータ開発 (チュートリアル@ESS2014)
PyCoRAMによるPythonを用いたポータブルなFPGAアクセラレータ開発 (チュートリアル@ESS2014)PyCoRAMによるPythonを用いたポータブルなFPGAアクセラレータ開発 (チュートリアル@ESS2014)
PyCoRAMによるPythonを用いたポータブルなFPGAアクセラレータ開発 (チュートリアル@ESS2014)
 

Similar a 透過型確率的パケットマーキング装置の提案と開発(オープンルータコンペティション発表資料)

『WAN SDN Controller NorthStarご紹介 & デモ』
『WAN SDN Controller NorthStarご紹介 & デモ』『WAN SDN Controller NorthStarご紹介 & デモ』
『WAN SDN Controller NorthStarご紹介 & デモ』
Juniper Networks (日本)
 
低遅延10Gb EthernetによるGPUクラスタの構築と性能向上手法について
低遅延10Gb EthernetによるGPUクラスタの構築と性能向上手法について低遅延10Gb EthernetによるGPUクラスタの構築と性能向上手法について
低遅延10Gb EthernetによるGPUクラスタの構築と性能向上手法について
Atsushi Suzuki
 
High-speed Sorting using Portable FPGA Accelerator (IPSJ 77th National Conven...
High-speed Sorting using Portable FPGA Accelerator (IPSJ 77th National Conven...High-speed Sorting using Portable FPGA Accelerator (IPSJ 77th National Conven...
High-speed Sorting using Portable FPGA Accelerator (IPSJ 77th National Conven...
Takuma Usui
 

Similar a 透過型確率的パケットマーキング装置の提案と開発(オープンルータコンペティション発表資料) (20)

20220602コンピュータネットワーク.pdf
20220602コンピュータネットワーク.pdf20220602コンピュータネットワーク.pdf
20220602コンピュータネットワーク.pdf
 
Kernel vm-2014-05-25
Kernel vm-2014-05-25Kernel vm-2014-05-25
Kernel vm-2014-05-25
 
Trema day 1
Trema day 1Trema day 1
Trema day 1
 
PFI Seminar 2010/01/21
PFI Seminar 2010/01/21PFI Seminar 2010/01/21
PFI Seminar 2010/01/21
 
Ethernetの受信処理
Ethernetの受信処理Ethernetの受信処理
Ethernetの受信処理
 
Hokkaido.cap#2 一般的なプロトコルのパケットを覗いてみよう
Hokkaido.cap#2 一般的なプロトコルのパケットを覗いてみようHokkaido.cap#2 一般的なプロトコルのパケットを覗いてみよう
Hokkaido.cap#2 一般的なプロトコルのパケットを覗いてみよう
 
第11回ACRiウェビナー_東工大/坂本先生ご講演資料
第11回ACRiウェビナー_東工大/坂本先生ご講演資料第11回ACRiウェビナー_東工大/坂本先生ご講演資料
第11回ACRiウェビナー_東工大/坂本先生ご講演資料
 
『WAN SDN Controller NorthStarご紹介 & デモ』
『WAN SDN Controller NorthStarご紹介 & デモ』『WAN SDN Controller NorthStarご紹介 & デモ』
『WAN SDN Controller NorthStarご紹介 & デモ』
 
ACRi_webinar_20220118_miyo
ACRi_webinar_20220118_miyoACRi_webinar_20220118_miyo
ACRi_webinar_20220118_miyo
 
低遅延10Gb EthernetによるGPUクラスタの構築と性能向上手法について
低遅延10Gb EthernetによるGPUクラスタの構築と性能向上手法について低遅延10Gb EthernetによるGPUクラスタの構築と性能向上手法について
低遅延10Gb EthernetによるGPUクラスタの構築と性能向上手法について
 
P2Pって何?
P2Pって何?P2Pって何?
P2Pって何?
 
フロー技術によるネットワーク管理
フロー技術によるネットワーク管理フロー技術によるネットワーク管理
フロー技術によるネットワーク管理
 
High-speed Sorting using Portable FPGA Accelerator (IPSJ 77th National Conven...
High-speed Sorting using Portable FPGA Accelerator (IPSJ 77th National Conven...High-speed Sorting using Portable FPGA Accelerator (IPSJ 77th National Conven...
High-speed Sorting using Portable FPGA Accelerator (IPSJ 77th National Conven...
 
Hokkaido.cap #osc11do Wiresharkを使いこなそう!
Hokkaido.cap #osc11do Wiresharkを使いこなそう!Hokkaido.cap #osc11do Wiresharkを使いこなそう!
Hokkaido.cap #osc11do Wiresharkを使いこなそう!
 
Myoshimi extreme
Myoshimi extremeMyoshimi extreme
Myoshimi extreme
 
pgconfasia2016 lt ssd2gpu
pgconfasia2016 lt ssd2gpupgconfasia2016 lt ssd2gpu
pgconfasia2016 lt ssd2gpu
 
プログラマ目線から見たRDMAのメリットと その応用例について
プログラマ目線から見たRDMAのメリットと その応用例についてプログラマ目線から見たRDMAのメリットと その応用例について
プログラマ目線から見たRDMAのメリットと その応用例について
 
システムパフォーマンス勉強会#8
システムパフォーマンス勉強会#8システムパフォーマンス勉強会#8
システムパフォーマンス勉強会#8
 
WAN SDN 実践入門! ~ OpenDayLightのPCEP/BGPに触れてみる ~
WAN SDN 実践入門! ~ OpenDayLightのPCEP/BGPに触れてみる ~WAN SDN 実践入門! ~ OpenDayLightのPCEP/BGPに触れてみる ~
WAN SDN 実践入門! ~ OpenDayLightのPCEP/BGPに触れてみる ~
 
Lagopus workshop@Internet weekのそば
Lagopus workshop@Internet weekのそばLagopus workshop@Internet weekのそば
Lagopus workshop@Internet weekのそば
 

Más de Akira Kanaoka

情報セキュリティ「見せる化」勉強会:金岡資料
情報セキュリティ「見せる化」勉強会:金岡資料情報セキュリティ「見せる化」勉強会:金岡資料
情報セキュリティ「見せる化」勉強会:金岡資料
Akira Kanaoka
 
USENIX Security ’12勉強会:Session「The Brain」
USENIX Security ’12勉強会:Session「The Brain」USENIX Security ’12勉強会:Session「The Brain」
USENIX Security ’12勉強会:Session「The Brain」
Akira Kanaoka
 

Más de Akira Kanaoka (13)

We regret to inform you
We regret to inform youWe regret to inform you
We regret to inform you
 
ユーザブルセキュリティワークショップ(UWS)2017発表論文の特徴分析
ユーザブルセキュリティワークショップ(UWS)2017発表論文の特徴分析ユーザブルセキュリティワークショップ(UWS)2017発表論文の特徴分析
ユーザブルセキュリティワークショップ(UWS)2017発表論文の特徴分析
 
Usable Security & Privacy研究でのクラウドソーシング利用の現状
Usable Security & Privacy研究でのクラウドソーシング利用の現状Usable Security & Privacy研究でのクラウドソーシング利用の現状
Usable Security & Privacy研究でのクラウドソーシング利用の現状
 
ブラウザでの証明書表示201511
ブラウザでの証明書表示201511ブラウザでの証明書表示201511
ブラウザでの証明書表示201511
 
セッション「But Maybe All You Need Is Something to Trust」の紹介
セッション「But Maybe All You Need Is Something to Trust」の紹介セッション「But Maybe All You Need Is Something to Trust」の紹介
セッション「But Maybe All You Need Is Something to Trust」の紹介
 
IPAの「パスワード -もっと強くキミを守りたいー」のポスターを考察する
IPAの「パスワード -もっと強くキミを守りたいー」のポスターを考察するIPAの「パスワード -もっと強くキミを守りたいー」のポスターを考察する
IPAの「パスワード -もっと強くキミを守りたいー」のポスターを考察する
 
検索可能暗号の概観と今後の展望(第2回次世代セキュア情報基盤ワークショップ)
検索可能暗号の概観と今後の展望(第2回次世代セキュア情報基盤ワークショップ)検索可能暗号の概観と今後の展望(第2回次世代セキュア情報基盤ワークショップ)
検索可能暗号の概観と今後の展望(第2回次世代セキュア情報基盤ワークショップ)
 
IDベース暗号の概観と今後の展望(次世代セキュア情報基盤ワークショップ )
IDベース暗号の概観と今後の展望(次世代セキュア情報基盤ワークショップ )IDベース暗号の概観と今後の展望(次世代セキュア情報基盤ワークショップ )
IDベース暗号の概観と今後の展望(次世代セキュア情報基盤ワークショップ )
 
情報セキュリティ「見せる化」勉強会:金岡資料
情報セキュリティ「見せる化」勉強会:金岡資料情報セキュリティ「見せる化」勉強会:金岡資料
情報セキュリティ「見せる化」勉強会:金岡資料
 
IEEE-SP 2012勉強会:セッション「Passwords」
IEEE-SP 2012勉強会:セッション「Passwords」IEEE-SP 2012勉強会:セッション「Passwords」
IEEE-SP 2012勉強会:セッション「Passwords」
 
IEEE-SP 2012勉強会:「Off-Path TCP Sequence Number Inference Attack - How Firewall...
IEEE-SP 2012勉強会:「Off-Path TCP Sequence Number Inference Attack - How Firewall...IEEE-SP 2012勉強会:「Off-Path TCP Sequence Number Inference Attack - How Firewall...
IEEE-SP 2012勉強会:「Off-Path TCP Sequence Number Inference Attack - How Firewall...
 
USENIX Security ’12勉強会:Session「CAPTHAs and Password Strength」
USENIX Security ’12勉強会:Session「CAPTHAs and Password Strength」USENIX Security ’12勉強会:Session「CAPTHAs and Password Strength」
USENIX Security ’12勉強会:Session「CAPTHAs and Password Strength」
 
USENIX Security ’12勉強会:Session「The Brain」
USENIX Security ’12勉強会:Session「The Brain」USENIX Security ’12勉強会:Session「The Brain」
USENIX Security ’12勉強会:Session「The Brain」
 

透過型確率的パケットマーキング装置の提案と開発(オープンルータコンペティション発表資料)

  • 1. 透過型確率的パケットマーキング装置の 提案と開発 チーム名:筑波大学 暗号・情報セキュリティ研究室とOB 金岡 晃(筑波大学) 岡田雅之(OB:勤務先:JPNIC) 日暮一太(筑波大学) 後藤成聡(筑波大学)
  • 2. 最初にまとめ • 経路途中のルータが、IPv4ヘッダの 確率的 Identificationフィールドにマーキング パケットマーキング (Probabilistic Packet Marking) • 受信側で収集したマーキング情報をもとに経路 情報を再構成 我々のアプローチ 方式の 軽量 現実適用の 効率化 Linux実装 検討 既存の稼働中ルータをPPM対応ルータに 「入れ替える」のはとてもハードルが高い ルータの代わりに透過的にマーキングする 「透過型マーキング装置」 2012/6/13 ORC 最終審査会 2
  • 3. アピールポイント とても軽量な 透過型PPMブリッジの実現 • Linuxを搭載した1Uサーバをブリッジとし て採用 • (予算がないので)研究室で使ってなかっ た古いサーバを使いました • IBM xSeries 306m (P4 3.0GHz, 2GB RAM)が中心 マーキングから経路再構成する perlスクリプト 経路再構成の具合を 可視化するツール 2012/6/13 ORC 最終審査会 3
  • 4. 確率的パケットマーキング(PPM)方式の概略 (Savageらの手法) 基本的な手法 例 目的は 攻撃者 中継ルータ群 被害者 「攻撃者までの経路 (中継ルータ群のIPアドレス X A B C D Y とその順序)を知る」 A A B A +B d=3 確率 p B B +C B +C d=2 ・自分のIP情報を書き込む C C +D C +D d=1 ・距離情報0にセット D D d=0 確率 1-p Yが受け取る情報 ・もし距離情報が0だったら 順番にXORすることで 自分のIP情報を 中継ルータ群のIP情報を復元可能 現在のIP情報にXOR ・距離情報++ 2012/6/13 ORC 最終審査会 4
  • 5. 確率的パケットマーキング(PPM)方式の概略 (Savageらの手法) 宛先ホストで 受け取るデータ 経路情報の 復元 ○ A+B d=3 ○ C+D ○ B+C ○ A+B ○ B+C d=2 ○ + ○ + ○ + D C B ○ C+D d=1 D d=0 D C B A グラフになぞらえ ルータそのものの情報ではなく、 ノード情報ではなく 「どのルータ間を通ったか」の情報が エッジ情報をあつめることから マーキングされる “Edge Sampling” と言われる 2012/6/13 ORC 最終審査会 5
  • 6. 【提案】透過型確率的パケットマーキング装置 既存ルータのソフトウェア/ハードウェア入れ 2つの実現形態 替えを必要とせず 既存ルータをPPM対応させる 透過型PPMリピータ Ethernetでの中継(ヘッダ書き A B 換え)を行なわない(Ethernet レベルでも透過) A TPPM装置 B 透過型PPM ブリッジ・スイッチ 新たなルータ設置ではなく Ethernetでの中継(ヘッダ書き IPレベルで透過的に 換え)を行なう 代理でPPMを行なう装置を配置 (Ethernetレベルでは非透過) A○ B + のマークを1度で行えるためEdge Samplingに適している ネットワーク中継機器として2台以上の代理マーキングも可能 2012/6/13 ORC 最終審査会 6
  • 7. 透過型PPMブリッジの実装 既存ライブラリ等を 利用せず フルスクラッチで LinuxカーネルにPPM機能を実装 Ethernetフレームのプロトコル番号を見て、IPパケットの該当部分を上書き マーキング後のIPヘッダチェックサム再計算の効率化 カーネル上でIPレイヤ処理での計算を呼び出さず、Ethernetフレーム処理 部分にIPヘッダのチェックサム再計算を記載することで効率化 マーキング設定の柔軟性向上 sysfsを用いることでユーザランド • リピータ/ブリッジ・スイッチ 機能切り替え • マーキングタイプ (ユーザが設定できるエリア)か (未実装) • マーキングアルゴリズム らカーネルパラメータを設定でき るように変更 (Savage, Goodrich, 金岡) ARP観測による自動設定に向けた対応 EthernetフレームのみにPPM対応するよう、分岐命令を用いた実装 分岐を増やすことによりARP対応が容易に可能 2012/6/13 ORC 最終審査会 7
  • 8. 透過型PPMブリッジの性能評価 パケット 透過型 パケット 受信器 PPMブリッジ 送信器 スループット 評価はいずれも (Mbps) Apacheのabを使用 PPMなし 890.5715 IBM xSeries 306m 送受信器の間に PPMあり 891.6879 CPU Pentium4 531 透過型PPMブリッジが1台 (3.0GHz) 有意な差はない RAM 2GB OS Debian GNU/Linux (6.0.1) スループット (Mbps) NIC Broadcom 5721 送受信器の間に PPMなし 890.5112 透過型PPMブリッジが2台 PPMあり 891.7197 2012/6/13 ORC 最終審査会 8
  • 9. 透過型PPMブリッジの性能評価(+α) 10Gbpsカードでの性能評価 9,238,122,764 bps = 8.6Gbps 10,000,000,000 9,000,000,000 8,000,000,000 7,000,000,000 6,000,000,000 スループット 5,000,000,000 (bps) 4,000,000,000 3,000,000,000 2,000,000,000 1,000,000,000 0 -300 200 700 1200 1700 パケットサイズ (byte) 2012/6/13 ORC 最終審査会 9
  • 11. 本日のトポロジ 7+1台の 透過型PPMブリッジ パケット 受信器 Data Flow 5台の パケット 送信器 Trace back!! *仮想環境を利用せずすべて実機で構成 2012/6/13 ORC 最終審査会 11
  • 12. 経路情報再構成スクリプト 2012/6/13 ORC 最終審査会 12
  • 13. 経路情報再構成可視化ツール 2012/6/13 ORC 最終審査会 13
  • 14. 透過型PPMブリッジの本質と応用シーン • PPM研究自体は「DoS対策」 透過型 • PPMそのものの本質は「直近で流れていたパ PPMブリッジ ケットの経路を明らかにする」 • 経路情報を復元するトリガはDoS攻撃でな くて良い • トリガ自身は本システムはスコープ外 応用シーン • 仮想環境等の複雑化した組織内ネットワークでの 経路やネットワーク機器管理 • 特定ASやAS群におけるボットネットの活性化 2012/6/13 ORC 最終審査会 14
  • 15. おまけ:@SRCHACK.ORGさま チーム@SRCHACK.ORGの方が 6/7の2次審査で 我々の実装に興味を持ち… カーネルパッチをこちらから 提供さしあげたところ… なんと、透過型PPMが動く WHR-HP-AG300Hが できあがってしまった!! 今現在、動いています!! 2012/6/13 ORC 最終審査会 15
  • 16. これは、 われわれを@SRCHACK.ORGさんへと 導く暗示だったのか!!!? Tシャツ謹呈の図 2012/6/13 ORC 最終審査会 16
  • 17. まとめ  透過型確率的パケットマーキング(PPM) 本会場にて 装置の提案 • 透過型PPMブリッジ • 透過型PPMリピータ 実機による ネットワーク 環境  透過型PPMブリッジの開発 • Linuxカーネルを修正することで 軽量に実現 経路情報復元  周辺機能の充実化 可視化ツール • マーキングデータから ライブデモ 経路情報を復元するperlスクリプト • 経路情報の復元状況を可視化するツール 2012/6/13 ORC 最終審査会 17