1 / 17

P2P 検知技術

P2P 検知技術. NetAgent. 日本の P2P の現状. WinMX と Winny によるファイル共有ネットワーク 主なコンテンツ アダルト画像動画 テレビの録画内容やDVDのコピー 商用アプリケーション 漏洩した名簿データ ゲームのROMイメージ. 問題の深刻度. ダウンロードした (違法ではない) 使用した      (違法) 商用ソフトウェアの使用など 共有(公開)した  (違法) Winny ではダウンロードするだけでも、ファイル断片もしくは全てを共有してしまう。. WinMX.

zarek
Download Presentation

P2P 検知技術

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. NetAgent P2P検知技術 NetAgent

  2. 日本のP2Pの現状 • WinMXとWinnyによるファイル共有ネットワーク • 主なコンテンツ • アダルト画像動画 • テレビの録画内容やDVDのコピー • 商用アプリケーション • 漏洩した名簿データ • ゲームのROMイメージ NetAgent

  3. 問題の深刻度 • ダウンロードした (違法ではない) • 使用した      (違法) • 商用ソフトウェアの使用など • 共有(公開)した  (違法) • Winnyではダウンロードするだけでも、ファイル断片もしくは全てを共有してしまう。 NetAgent

  4. WinMX • WinMX Peer 、OpenNapおよびプロトコルベースのファイル共有プログラム NetAgent

  5. WinMXの通信方法 • ディフォルトポート • 検索 UDP 6257 • ダウンロード TCP 6699 • プロトコルの特徴 • 暗号化されないので検知が容易 • ディフォルトポートが固定なのでQoSを掛けやすい • プロトコルが公開されているので、解析が容易 NetAgent

  6. WinMXの速度を規制しているプロバイダ • ・ J-COM・ ZAQ・ Yahoo!BB・ ODN・ OCN・ SO-NET・ hi-ho プロバイダーによる速度制限への対処法 http://members.at.infoseek.co.jp/ito0120/kaihi.htmlより引用 NetAgent

  7. WinMX検知方法 • Snortによる検知 • 速度制限対策クライアント用ルール alert tcp $HOME_NET any -> $EXTERNAL_NET 6699 (msg:"WinMX Download file"; content:"\" M"; offset:20; classtype:policy-violation ; rev:1;) alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"WinMX Download file"; content:"\" M"; offset:20; classtype:policy-violation ; rev:1;) PacketBlackHole IDS ルール http://www.packetblackhole.com/ids.html より NetAgent

  8. ダウンロードしたファイルの表示 PacketBlackHole grep:Shift-Jis/NetAgent NetAgent

  9. Winny • Winnyは高速性と匿名性の両立を目指したファイル共有ソフト。匿名BBS機能も有す。 NetAgent

  10. Winnyの通信方法 • ディフォルトポート • インストール時にランダムで決定される • 一時ポート間で通信が行われるため、ポートレベルではFTP passive転送と区別つかない。 • 通信内容 • 暗号化されているので、単純な検知が不可能 • 検索リンク TCPポート • 相手先にTCPをすることにより実現 • ダウンロード • Port0 NetAgent

  11. Winny検知方法 • 一時ポートと一時ポートでの接続 • 特定サイズの暗号化通信の連続 • 1対多の接続 NetAgent

  12. 検知の実際 • 通信統計で接続している数とサイズを調べる • 受け側のWinnyポートに数回接続する NetAgent

  13. 接続テスト Winnyの待ち受けポートにNULL接続 クラスタキーワードなどを含んで返答する NetAgent

  14. 判明している受信文字列 UP限界速度 クラスタキーワード 上流検索リンクに送信する内容 UP限界速度 クラスタキーワード 接続テストの内容 NetAgent

  15. 初期ノード • 初期ノードは解析可能 @64515f2d03008c100f8c04920c24bdb82ca4 @17ea34a57df6a2f6a1047c6b4f06d0ff08083054f6 @2b86988d4ed185d36bdaf7f821685bd82de149743146 @92acb69f0dbbaa902530a1f11b195f99f17a98 @30a1a8f6e9c643152f5051117370eefecd @9585aea4872b8cca49f7274a2d56e8aeb77816 @8831f8a322f6bd8cc91753a0ed3406faff57ff @35c69ad64e4a20d9753bf9304715420a8b67ec8c27f8 @373a8d564173e8c74418b1b34a92c1c57f557912a868 @cb1bd4a7c67f5f08cb554ec9c8fe2436a0165d15 @36673d74b744c978cb45f26e17b1f9e567 @3439594b87d4b5d9966ee0294561a9c7d2 @9a7316f7d7122e7686bac3acc4049022436fe6 @e0bc5e79284a0087ff5a798a4f53bdd2a6a537 @ce5cd61271ff19ee87e6dc31c486c4142916029a @3139360b072d17f666a431dffeaabd36d7 @905c2ddf25ea13363250b26541b11d3d4a2c99 @a4df8ddcc055f25212e3a6f3461b0d9987ef1d @9e234484d86ca722137f32e5c93299273e62dc @914a21238c813ceb9c5724581dd5 @4fd00dde764038d1a53f516a28ac74f6fca7aa0a33697a2742262fac @f1785467a2553993048ea4b1a9da708fc80ec4ab8f @f1785767a2563d91048da7b4a9db788fcb00c6ae8f @974cb8189cd966d97f29c8af333ff82289303a @03a2104a01465a9ac2533dc85da4cc5d169260ec10 210.162.130.71:19245 220.220.205.69:27015 192.168.116.2:2552 211.75.179.209:10765 172.16.57.51:28498 192.168.1.102:25833 192.168.1.2:6074 43.244.160.48:32667 192.168.1.2:7747 192.168.1.2:11677 218.90.191.132:6298 192.168.0.3:27116 221.154.55.188:1360 172.17.129.2:5358 218.121.80.50:32718 61.214.65.54:12315 規定:7805 211.199.229.254:7851 192.168.1.2:17652 219.104.183.113:3069 43.244.165.176:9135 192.168.116.2:32658 192.168.1.11:3298 218.141.62.99:12368 219.56.158.34:24403 61.22.210.100:29145 218.228.160.162:4662 61.204.109.237:31063 192.168.0.2:8366 y2k.zive.net:11903 81jthbwgpd.dyndns.org:16198 220.111.65.251:18251 61.248.150.208:8109 192.168.1.2:23223 61.116.191.253:8765 61.214.24.13:11419 218.41.23.210:25144 219.167.2.228:23613 61.44.72.101:9071 192.168.1.118:3241 192.168.0.2:7743 192.168.0.2:3466 NetAgent

  16. 共有しているファイル名を判別する • firewallにより、共有相手のアドレスを絞ることによって、PORT0から相手先の共有ファイル名の一部を見ることが可能。 NetAgent

  17. ネットエージェント株式会社 • 東京都墨田区錦糸3-5-8 SOAビル7F • TEL 03-5619-1243 FAX 03-5619-1244 • http://www.netagent.co.jp/ NetAgent

More Related