| 講演名 | 2021-03-02 Memcachedサーハ?を悪用したDRDoS攻撃の観測およひ?攻撃インフラの分析 金銅 瑞樹(横浜国大), 新谷 夏央(横浜国大), 牧田 大佑(NICT), 吉岡 克成(横浜国大), 松本 勉(横浜国大), |
|---|---|
| PDFダウンロードページ |  PDFダウンロードページへ |
| 抄録(和) | インターネットに公開されたMemcachedサービスは,DRDoS攻撃の強力なリフレクタとして悪用されていることが知られている.本稿では,ハニーポットおよび広域スキャン結果から得られたデータより,実際のMemcached攻撃の増幅率および公開されているMemcachedサービス数を分析した. 分析の結果,多くの攻撃の増幅率は数万倍にも及び,最大で約14万倍にも及ぶことがわかった.また,1万5千を超えるリフレクタが1,000以上のASに分散していた.さらに,Memcached攻撃の準備段階で攻撃者のIPアドレスが露見することに着目し,攻撃インフラの活動を分析した結果,観測した全攻撃の58%にあたる36万件を超える攻撃が,わずか7つのASに属する81IPアドレスによって担われていた.これらのASでは踏み台の探索,踏み台にキャッシュデータを送り攻撃を増大させる準備,実際のDRDoS攻撃といった様々な活動が行われていた. |
| 抄録(英) | Internet-facing Memcached services are known to have been misused as powerful reflectors of DRDoS attacks. In this paper, we first utilize high-interaction Memcached honeypots and Internet-wide scan results to analyze how high the amplification factors of Memcached attacks in the wild can be and how many open Memcached services there are. As a result, we report that the amplification factors of most attacks observed by the honeypots are indeed extremely high, up to about 140,000. Moreover, we find there are still over 15,000 reflectors in the wild scattering over 1,000 AS. We then analyze how the attack infrastructures are constructed and operated. We find that 81 IPs in 7 AS are responsible for over 360,000 attacks (58% of all attacks we observed), scanning and storing large payload on reflectors and actually performing attacks. |
| キーワード(和) | DRDoS攻撃 / Memcached / ハニーポット / 攻撃インフラ |
| キーワード(英) | DRDoS Attacks / Memcached / Honeypots / Attack Infrastructure |
| 資料番号 | ICSS2020-45 |
| 発行日 | 2021-02-22 (ICSS) |
| 研究会情報 | |
| 研究会 | ICSS / IPSJ-SPT |
|---|---|
| 開催期間 | 2021/3/1(から2日開催) |
| 開催地(和) | オンライン開催(ハイブリッド開催から変更) |
| 開催地(英) | Online |
| テーマ(和) | セキュリティ、トラスト、一般 |
| テーマ(英) | Security, Trust, etc. |
| 委員長氏名(和) | 高倉 弘喜(NII) |
| 委員長氏名(英) | Hiroki Takakura(NII) |
| 副委員長氏名(和) | 吉岡 克成(横浜国大) / 神谷 和憲(NTT) |
| 副委員長氏名(英) | Katsunari Yoshioka(Yokohama National Univ.) / Kazunori Kamiya(NTT) |
| 幹事氏名(和) | 笠間 貴弘(NICT) / 山田 明(KDDI labs.) |
| 幹事氏名(英) | Takahiro Kasama(NICT) / Akira Yamada(KDDI labs.) |
| 幹事補佐氏名(和) | 木藤 圭亮(三菱電機) / 山内 利宏(岡山大) |
| 幹事補佐氏名(英) | Keisuke Kito(Mitsubishi Electric) / Toshihiro Yamauchi(Okayama Univ.) |
| 講演論文情報詳細 | |
| 申込み研究会 | Technical Committee on Information and Communication System Security / Special Interest Group on Security Psychology and Trust |
|---|---|
| 本文の言語 | JPN |
| タイトル(和) | Memcachedサーハ?を悪用したDRDoS攻撃の観測およひ?攻撃インフラの分析 |
| サブタイトル(和) | |
| タイトル(英) | Study on analyzing Memcached DRDoS attacks and their infrastructures |
| サブタイトル(和) | |
| キーワード(1)(和/英) | DRDoS攻撃 / DRDoS Attacks |
| キーワード(2)(和/英) | Memcached / Memcached |
| キーワード(3)(和/英) | ハニーポット / Honeypots |
| キーワード(4)(和/英) | 攻撃インフラ / Attack Infrastructure |
| 第 1 著者 氏名(和/英) | 金銅 瑞樹 / Mizuki Kondo |
| 第 1 著者 所属(和/英) | 横浜国立大学(略称:横浜国大) Yokohama National University(略称:YNU) |
| 第 2 著者 氏名(和/英) | 新谷 夏央 / Natsuo Shintani |
| 第 2 著者 所属(和/英) | 横浜国立大学(略称:横浜国大) Yokohama National University(略称:YNU) |
| 第 3 著者 氏名(和/英) | 牧田 大佑 / Daisuke Makita |
| 第 3 著者 所属(和/英) | 情報通信研究機構(略称:NICT) National Institute of Information and Communications Technology(略称:NICT) |
| 第 4 著者 氏名(和/英) | 吉岡 克成 / Katsunari Yoshioka |
| 第 4 著者 所属(和/英) | 横浜国立大学(略称:横浜国大) Yokohama National University(略称:YNU) |
| 第 5 著者 氏名(和/英) | 松本 勉 / Tsutomu Matsumoto |
| 第 5 著者 所属(和/英) | 横浜国立大学(略称:横浜国大) Yokohama National University(略称:YNU) |
| 発表年月日 | 2021-03-02 |
| 資料番号 | ICSS2020-45 |
| 巻番号(vol) | vol.120 |
| 号番号(no) | ICSS-384 |
| ページ範囲 | pp.114-119(ICSS), |
| ページ数 | 6 |
| 発行日 | 2021-02-22 (ICSS) |