-
- いいね!0
Yoshikazu GOTO
@goto_ipv6
池上さん:商用のNWシステムで、こういったシステムを入れられたらと思っている。性能試験で、サーバーについて使われたということがあった。さらに NWやストレージも、というのが最初のモチベーション。 #janog #janog43_room
2019-01-24 16:07:39
Yoshikazu GOTO
@goto_ipv6
相川さん:私の方は、今までとっていなかった情報も含めて相関関係を見れたらというのだった。 #janog #janog43_room
2019-01-24 16:08:01
Yukihiro Kikuchi
@yukihirokikuchi
松崎さん: IIJ松崎と申します。今回はダークネットの話をするわけですが、きれいな写真を。 今のインターネットはきれい? 沖縄の写真の状況なのか 地獄谷なのか、どっちだと思いますか? もしかしたら草原かも。嫁さんが 前回のJANOGで登壇して、子供生まれました #janog #janog43_hall
2019-01-24 16:08:59
Yukihiro Kikuchi
@yukihirokikuchi
松崎さん: インターネットは危ない状況なのかも? お昼寝できるような緩やかなネットワークなのかも ダークネットの観測から見てみようというのが今回 #janog #janog43_hall
2019-01-24 16:09:31
Yoshikazu GOTO
@goto_ipv6
『初心者歓迎! Light Lighting Talk大会』です。 janog.gr.jp/meeting/janog4… ※ストリーミングはないので Twitter へも書きません。 #janog #janog43_room
2019-01-24 16:09:58
Yukihiro Kikuchi
@yukihirokikuchi
松崎さん: PPP-EXP pool protection project (ググりにくい名前に) なんとか不正経路広告によって在庫を不正利用から守る実験、 インターネットで経路広告(RPKIROA AS0)を利用 経路広告しているPrefixに関しては何もしない #janog #janog43_hall
2019-01-24 16:10:53
Yukihiro Kikuchi
@yukihirokikuchi
松崎さん: ダークネット: 定義: 経路は広報されている、自発な通信は行わない。ただ流入されるパケットは受信するようなネットワーク #janog #janog43_hall
2019-01-24 16:11:31
Yukihiro Kikuchi
@yukihirokikuchi
松崎さん: 通常のIPv4のネットワークと同じように見えるので、パケットを見ることでどんなパケットが来ているかがわかる 通信を試みるパケット:スキャンとか 反射してくるパケット:間違いとか、spoofingの反射パケット これらは皆さんのネットワークにも届いている #janog #janog43_hall
2019-01-24 16:12:28
Yukihiro Kikuchi
@yukihirokikuchi
松崎さん: 通信を試みる>何かあると思って 反射してくるパケット:Spoofingの跳ね返し スキャンがあるのでは?>スキャンのテクニック Syn/ACKでOSとかアプリケーションの異なるふるまいにより類推するテクニックが山ほどあるので、スキャンを意図したものか判定が難しい #janog #janog43_hall
2019-01-24 16:13:48
Yukihiro Kikuchi
@yukihirokikuchi
松崎さん: 言えること、言えないこと> パケットを受信した以上のことは推測です ほかのダークネット観測>NICTERでは日ごとのデータを公開 (一部のみ) 比較するときに便利 #janog #janog43_hall
2019-01-24 16:14:42
Yukihiro Kikuchi
@yukihirokikuchi
松崎さん: 1/10 00:00 - 24:00 までのデータ 6億パケット 2578パケット/日ぐらい とりあえずpcapファイルで全キャプチャ だいたいTCPでした。 #janog #janog43_hall
2019-01-24 16:15:24
Yukihiro Kikuchi
@yukihirokikuchi
松崎さん: TCP 95% UDP 1% IP6 0.1% #janog #janog43_hall
2019-01-24 16:15:49
Yukihiro Kikuchi
@yukihirokikuchi
松崎さん: TCP flagはだいたいSYN 98% 残りはSYN/ACK 2% 残りはバラエティに富んでいる。組み合わせいろいろ #janog #janog43_hall
2019-01-24 16:16:35
Yukihiro Kikuchi
@yukihirokikuchi
松崎さん:データが化けてるのか、スキャニングテクニックを試しているのか。ECEとかCWRとかの人たちは本当のクライアントなのかも? #janog #janog43_hall
2019-01-24 16:17:34
Yukihiro Kikuchi
@yukihirokikuchi
松崎さん:宛先ポート 参考までに>23番ポートが多い 他22番、80メジャーなのが並ぶ UDPは389 4776など #janog #janog43_hall
2019-01-24 16:18:07
Yukihiro Kikuchi
@yukihirokikuchi
松崎さん: 送信元ホストごと数えてみた。面白いのは丸一日で3パケットとか10パケット程度の人が数万とかのオーダーでいる。一方執拗に大量にパケットを送ってくる人も。 1000万パケットを送ってくる人が1とか 両極端に伸びている #janog #janog43_hall
2019-01-24 16:19:23
Yukihiro Kikuchi
@yukihirokikuchi
松崎さん:少数のパケットを送ってくる人は? >UDPでなんやら試した後にTCPのパケット UDPのパケットをよく見てみると BitTorrentのように見える #janog #janog43_hall
2019-01-24 16:20:12
Yukihiro Kikuchi
@yukihirokikuchi
松崎さん:他Protocolは何かわからないが、何かのP2Pっぽい。 つまりP2Pのアプリに間違ったノード情報が入っている可能性が高い #janog #janog43_hall
2019-01-24 16:22:46
Yukihiro Kikuchi
@yukihirokikuchi
松崎さん: 大量のパケットを送る人たち まんべんなく投げていたり 8IPで系統だって探していたりする。 TOP1はPort23 中ぐらいのところに生存していた。これを見ていくと事業としてネットワークをスキャンする人がいたり。 #janog #janog43_hall
2019-01-24 16:24:25
Yukihiro Kikuchi
@yukihirokikuchi
松崎さん: 日本ではなかなかできそうにない事業モデル。この手のモデルが立ち上がるたびに網羅的かつ定期的なスキャンの受信が増える>これが違法なものかどうか、脅威なのかどうかは調べにくい #janog #janog43_hall
2019-01-24 16:25:06
Yukihiro Kikuchi
@yukihirokikuchi
松崎さん: IPv6 over IPv4 packetも中を見てみると、ルータ探索を行っているっぽい。 www134.cs.uic.edu アクセスしてみるとISATAPの調査プロジェクトとしてわかる #janog #janog43_hall
2019-01-24 16:26:14
Yukihiro Kikuchi
@yukihirokikuchi
松崎さん: 受信側の分散ぐわい>中央値は2285ぐらいにある。 一部のホストが大量のパケットを受信 かわいそうな人たち なんだろう>P2Pのやつ。世界中の人たちから被弾 #janog #janog43_hall
2019-01-24 16:27:22
法林浩之
@hourin
#JANOG のさくらインターネット展示ブースでは、ノベルティグッズとしてシミ取りペンを配布中。飲み物をこぼしたときに拭くためのペンです。今日の懇親会に参加される方はぜひお持ちくださいw #novecon pic.twitter.com/zEfQSEt6Uo
2019-01-24 16:28:06
拡大