Internet Week 2015 DNSOPS-JP BoF
2015/11/19(木) 19:00 - 20:30 於 富士ソフトアキバプラザ
====
「DNS可視化と対策」 テリロジー籠谷さん
- サーバ運用に必要なこと(攻撃の対策において)
・可視化
概要把握
特異点特定
通信特定分析
生データ
・攻撃対策
脅威対応
可視化の部分が大きい。
- DNSトラフィック可視化の既存ツールは?
Munin、Cacti等・・・サーバ監視ツール
DSC・・・DNSのトラフィックを見えるが、まだ見れることが限定される
どれも足りない。掘り下げられるツールがほしい。
- 実現したいこと
・長期傾向から特異点を特定
・任意の時間帯で状況把握
・いろいろな切り口で表示
・特定の時間帯をじっくり解析
- 可視化ツールをつくってみた:momentum DNS viewer
・http://tapas.terilogy.com/projects/dns_viewer
・過去4週間のトラフィック傾向を一望して特異点を探せる
毎日のトラフィックグラフがカレンダー形式で表示
・特異点を見つけたら、見たい時間帯をズームイン
最小で1秒単位でトラフィック量を把握可能。スパイクも見れる。
・切り口を切替え
時系列・TOP10などで表示
・じっくり解析
当該時刻のPCAPファイルをクエリドメイン名などでフィルタした上で取得
・ツールの利用シーン
普段は、傾向を把握し早期の兆候把握。個別対応のための細かい情報を取得可能。
- デモ
可視化のデモ
・インターフェイス毎のトラフィックグラフから時間帯を指定して表示
→その時間帯を別の切り口で表示(レスポンスタイム、RCODE別等)
・長期ビューで過去4週間分を表示して異常を発見
→異常がありそうな時間帯を指定し、より細かい時間軸でのグラフへ
・水責め攻撃検出
ドメイン毎にランダムクエリ数を集計。クエリ数が多いドメインで
絞り込み、PCAPダウンロードしてWiresharkで閲覧。
====
「JP DNSで見た最近の変化」 JPRS 藤原さん
- JPRSはa.dns.jpのクエリログを過去11年分、a.dns.jp以外は
50時間分を取得している。
- JP DNSで観測できるIPアドレス数の変化
1日160万アドレス。a.dns.jpだけで80万から100万。微増傾向。
ちなみにRootだと1000万アドレスくらい。
- IPv6クエリ割合
AAAA クエリ、IPv6クエリいずれも増加傾向
- DNSSEC関係
JP DNSKEYクエリ数、DSクエリ数の集計
増えたり減ったりしている。大規模なISPのDNSキャッシュサーバが
DNSSEC検証を開始したりやめたりしているからではないか。
- DSレコードクエリが増加
JPゾーンのNegative cache TTLを900秒に短くしたらDSクエリが増えた。
DSレコードのクエリでJP DNSが溢れる懸念があり、それに関するI-D
(draft-fujiwara-dnsop-ds-query-increase) を書いたがその後減ったので放置。
みなさんDNSSEC検証をオンにしてDSクエリを送ってください。
DSクエリが増えて溢れるくらいが嬉しい。
- ソースポートランダム化しているリゾルバの数
リゾルバのIPアドレス毎に、1日毎のポート番号の数を見る。
・unknown(クエリが少なすぎてランダム化しているか不明) が多い、40%くらい。
・(Kaminsky attackの) 2008年より前からランダム化してる
リゾルバがあった。おそらくdjbdns。
・ランダム化していないリゾルバは順調に減っているが、
まだまだ残っている。
====
「DNSデータ・サイエンス」Nominum/Bruce Van Niceさん
- Nominumとは
Paul Mockapetris (RFC1034の著者)
Nominumの製品は40カ国で使用されている。
4億加入者にサービス。1.8兆トランザクション/日。
BIND9も開発した。
- 既存の脅威分析は不十分
・DDoSやマルウェアがカバーされてない
・既存フィードの限界
偽陽性率が高い。通信事業者としては使えない。
ダメなものを複数組み合わせても使えない。BAD+BAD ≠ GOOD。
・パターンと関係の発見
3.5TB/dayのデータ。3%はISPからのもの。
データはプライバシ保護のために匿名化。
・関連付けの技術
機械学習を利用して類似性検出し、似通った振る舞いの
ドメインのグループを視覚化。
関連付け技術でマルウェアを早期発見。ドメイン間の関係を検出。
例:新しいコアドメイン
ほぼリアルタイムで1日350万。多くがDGA(アルゴリズム生成)で有害なもの。
解決できない名前も多い
例:検出された群
有害なドメインの寿命はほぼ3日以内。
例:ブラウザハイジャック
ネットワークにより感染率は変わる 1%〜20%。
例:アドトラッカー
既知のアドトラッカーのドメインをシードとして、
さらにそれと関係するドメインを検出。
例:ボットネットクラスタ
例:DNSトンネリング
DNSトンネリングを検出するアルゴリズム。
まとめ:
・DNSデータを解析することで、多くのことがわかる。
・DDoS、ボット、マルウェア、アドウェア、
トンネル・・・もっと多くの発見があるでしょう。
====
「DNS backscatter」 NII福田さん
・センサーをインターネットに置く活動してる
・悪意がある活動を見つける。ポートスキャン、攻撃、スパム
・DNS逆引きを使って悪い人を同定して攻撃を検出
SMTPサーバへの攻撃・・・スパマーのホスト名
ファイアウォールへの攻撃・・・ ポートスキャナのホスト名
Webサーバ・・・Webクローラのホスト名
を利用して悪意がある振る舞いを検出。
例:スパムを送信されると、権威サーバへ逆引きクエリが来る
それを解析して悪意ある活動を検出
・クエリの特徴でメールとスパムは分離できる。機械学習を使って認識可能。
・M-rootのデータを利用して実験
heartbreed検出
スパマーを検出
・いいところ
逆引きだけなのでデータが多くない。
逆引きのトラフィックを解析するため、プライバシフレンドリ。
デプロイ可能
正確
====
「顧客向け参照用DNS管理者の憂鬱
〜無償だと思っていたDNSBLが有償だったら〜」 IIJ島村さん
- IIJでは共用のDNSキャッシュサーバを運用中
(小規模法人顧客、FTTHユーザ、ホスティングユーザ向け)
- ある日DNSBL事業者(の日本代理店)から料金請求メール。
DNSBLへクエリを行っているソースIPアドレスとして上記のDNSサーバが記載。
IIJのメールサービスではそのDNSBLは使ってない。なんで?
- tcpdumpしてみた
ホスティングサービスやトランジットサービスの顧客がそのDNSBLを参照していた。
1顧客で最大20qps。全体で200qps程度。
そのDNSBLの利用条件の無償利用の条件を超えている・・・
- DNSBL事業者(の日本代理店) との会話
曰く、
・大量クエリを出してるところに契約のお願いしてる。IIJだけでなく他ISPにも。
・有償契約をしてもらえない場合はクエリを遮断する。
(どんな方法で遮断するのか?)
・どの範囲で、どういう手段で遮断するかは未定(よくわかっていない)。
・10月から遮断する。
- IIJの対応
有償契約はしない。大量クエリを送ってる顧客には個別で対応依頼
(自前で参照用DNSを立てるなど)。
その結果、クエリは結構減った。
- X-Day 10/1
特に問題なし。問題のDNSBLはちゃんと引けている。対応してクエリ減ったから?
- 他のISP担当者に聞いてみた
同じ通知が来たISPは何社かあるが、やはり遮断されてない模様。
- いったい何だったのか。みなさんもお気をつけください。
====
「nginxを利用したDNS over TLS対応」 滝澤さん
- DNSプライバシのためスタブリゾルバとフルリゾルバ間をTLSで暗号化。
・Unbound自体にDNS over TLS機能あり。
スタブ(フォワーダ)、フルリゾルバサービス側どちらにもなれる。
- UnboundのTLS機能ではなく、nginxのTLSプロクシ機能で
DNS over TLSやってみよう
・nginxのstreamモジュールでTCPおよびTLSプロクシが可能。
・サーバ(フルリゾルバ)側のnginxで、クライアント(スタブリゾルバ)
からのTLSコネクションを受けてUnboundの53/tcpへフォワード。
- ベンチマークしてみた
Unbound - Unbound UDPクエリ: 82,000qps
Unbound - Unbound TCPクエリ: 71,000qps
TLS Unbound - TLS Unbound (nginx未使用): 1,000qps
TLS offのnginx経由のUnbound同士: 69,000qps
片方をTLS onのnginx経由のUnbound、もう片方をTLS Unbound:
2,100qps
両方をTLSオンnginx: 15,000qps
TLSセッション再利用をオンなnginx: 44,000qps
Unbound自身のTLS周りの性能はよくない。nginx経由でTLSすると性能向上。
TLSセッション再利用するとさらに性能向上(TLSハンドシェイクは重い)。
====
「APRICOT 2106参加支援プログラム」 高田さん
APRICOT2016 2016/2/15〜 NZで開催
参加する若者に旅費・宿泊料を支援。
資格: 応募締切(12/8) 時点で 18歳以上30歳以下。
資格がある方はぜひ。職場の若者にも声かけてみて!
====