P2P 検知技術

1. NetAgent P2P検知技術 NetAgent

2. 日本のP2Pの現状 • WinMXとWinnyによるファイル共有ネットワーク • 主なコンテンツ • アダルト画像動画 • テレビの録画内容やＤＶＤのコピー • 商用アプリケーション • 漏洩した名簿データ • ゲームのＲＯＭイメージ NetAgent

3. 問題の深刻度 • ダウンロードした　（違法ではない） • 使用した　　　　　　（違法） • 商用ソフトウェアの使用など • 共有（公開）した　 （違法） • Winnyではダウンロードするだけでも、ファイル断片もしくは全てを共有してしまう。 NetAgent

4. WinMX • WinMX Peer 、OpenNapおよびプロトコルベースのファイル共有プログラム NetAgent

5. WinMXの通信方法 • ディフォルトポート • 検索 UDP 6257 • ダウンロード　TCP 6699 • プロトコルの特徴 • 暗号化されないので検知が容易 • ディフォルトポートが固定なのでQoSを掛けやすい • プロトコルが公開されているので、解析が容易 NetAgent

6. WinMXの速度を規制しているプロバイダ • ・　Ｊ－ＣＯＭ・　ＺＡＱ・　Ｙａｈｏｏ！ＢＢ・　ＯＤＮ・　ＯＣＮ・　ＳＯ－ＮＥＴ・　ｈｉ－ｈｏ プロバイダーによる速度制限への対処法 http://members.at.infoseek.co.jp/ito0120/kaihi.htmlより引用 NetAgent

7. WinMX検知方法 • Snortによる検知 • 速度制限対策クライアント用ルール alert tcp $HOME_NET any -> $EXTERNAL_NET 6699 (msg:"WinMX Download file"; content:"\" M"; offset:20; classtype:policy-violation ; rev:1;) alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"WinMX Download file"; content:"\" M"; offset:20; classtype:policy-violation ; rev:1;) PacketBlackHole IDS ルール http://www.packetblackhole.com/ids.html　より NetAgent

8. ダウンロードしたファイルの表示 PacketBlackHole grep:Shift-Jis/NetAgent NetAgent

9. Winny • Winnyは高速性と匿名性の両立を目指したファイル共有ソフト。匿名BBS機能も有す。 NetAgent

10. Winnyの通信方法 • ディフォルトポート • インストール時にランダムで決定される • 一時ポート間で通信が行われるため、ポートレベルではFTP passive転送と区別つかない。 • 通信内容 • 暗号化されているので、単純な検知が不可能 • 検索リンク TCPポート • 相手先にTCPをすることにより実現 • ダウンロード • Port0 NetAgent

11. Winny検知方法 • 一時ポートと一時ポートでの接続 • 特定サイズの暗号化通信の連続 • 1対多の接続 NetAgent

12. 検知の実際 • 通信統計で接続している数とサイズを調べる • 受け側のWinnyポートに数回接続する NetAgent

13. 接続テスト Ｗｉｎｎｙの待ち受けポートにNULL接続 クラスタキーワードなどを含んで返答する NetAgent

14. 判明している受信文字列 UP限界速度 クラスタキーワード 上流検索リンクに送信する内容 UP限界速度 クラスタキーワード 接続テストの内容 NetAgent

15. 初期ノード • 初期ノードは解析可能 @64515f2d03008c100f8c04920c24bdb82ca4 @17ea34a57df6a2f6a1047c6b4f06d0ff08083054f6 @2b86988d4ed185d36bdaf7f821685bd82de149743146 @92acb69f0dbbaa902530a1f11b195f99f17a98 @30a1a8f6e9c643152f5051117370eefecd @9585aea4872b8cca49f7274a2d56e8aeb77816 @8831f8a322f6bd8cc91753a0ed3406faff57ff @35c69ad64e4a20d9753bf9304715420a8b67ec8c27f8 @373a8d564173e8c74418b1b34a92c1c57f557912a868 @cb1bd4a7c67f5f08cb554ec9c8fe2436a0165d15 @36673d74b744c978cb45f26e17b1f9e567 @3439594b87d4b5d9966ee0294561a9c7d2 @9a7316f7d7122e7686bac3acc4049022436fe6 @e0bc5e79284a0087ff5a798a4f53bdd2a6a537 @ce5cd61271ff19ee87e6dc31c486c4142916029a @3139360b072d17f666a431dffeaabd36d7 @905c2ddf25ea13363250b26541b11d3d4a2c99 @a4df8ddcc055f25212e3a6f3461b0d9987ef1d @9e234484d86ca722137f32e5c93299273e62dc @914a21238c813ceb9c5724581dd5 @4fd00dde764038d1a53f516a28ac74f6fca7aa0a33697a2742262fac @f1785467a2553993048ea4b1a9da708fc80ec4ab8f @f1785767a2563d91048da7b4a9db788fcb00c6ae8f @974cb8189cd966d97f29c8af333ff82289303a @03a2104a01465a9ac2533dc85da4cc5d169260ec10 210.162.130.71:19245 220.220.205.69:27015 192.168.116.2:2552 211.75.179.209:10765 172.16.57.51:28498 192.168.1.102:25833 192.168.1.2:6074 43.244.160.48:32667 192.168.1.2:7747 192.168.1.2:11677 218.90.191.132:6298 192.168.0.3:27116 221.154.55.188:1360 172.17.129.2:5358 218.121.80.50:32718 61.214.65.54:12315 規定:7805 211.199.229.254:7851 192.168.1.2:17652 219.104.183.113:3069 43.244.165.176:9135 192.168.116.2:32658 192.168.1.11:3298 218.141.62.99:12368 219.56.158.34:24403 61.22.210.100:29145 218.228.160.162:4662 61.204.109.237:31063 192.168.0.2:8366 y2k.zive.net:11903 81jthbwgpd.dyndns.org:16198 220.111.65.251:18251 61.248.150.208:8109 192.168.1.2:23223 61.116.191.253:8765 61.214.24.13:11419 218.41.23.210:25144 219.167.2.228:23613 61.44.72.101:9071 192.168.1.118:3241 192.168.0.2:7743 192.168.0.2:3466 NetAgent

16. 共有しているファイル名を判別する • firewallにより、共有相手のアドレスを絞ることによって、PORT0から相手先の共有ファイル名の一部を見ることが可能。 NetAgent

17. ネットエージェント株式会社 • 東京都墨田区錦糸3-5-8 SOAビル7F • TEL 03-5619-1243 FAX 03-5619-1244 • http://www.netagent.co.jp/ NetAgent