+ All Categories
Home > Documents > IP GfGQGNFþ TTL FûG G O FþFÒG 3û Fþ1 9 · • p7 6ëh 2011/11/0614:55 hz2011/11/0617:10 •...

IP GfGQGNFþ TTL FûG G O FþFÒG 3û Fþ1 9 · • p7 6ëh 2011/11/0614:55 hz2011/11/0617:10 •...

Date post: 09-Sep-2020
Category:

Documents
Upload: others
View: 0 times
Download: 0 times
Download Report this document
Share this document with a friend
48
༞ᴗㄽ IP䝦䝑䝎䛾TTL䛻䜘䜛ᝏព䛾䛒䜛㏻ಙ䛾㆑ Discriminating malicious packets using TTL in the IP header ᒣ⏣ு ᪩✄⏣Ꮫ ᇶᖿ⌮ᕤᏛ㒊 ሗ⌮ᕤᏛ⛉
Transcript
Page 1: IP GfGQGNFþ TTL FûG G O FþFÒG 3û Fþ1 9 · • p7 6ëh 2011/11/0614:55 hz2011/11/0617:10 • g_g?gqgv xh (Ù7 s 2012 º3 v9 ¥ ip gfgqgnfþttl fûg g o fþfÒg 3û fþ1 918.

IP TTLDiscriminating malicious packets using TTL in the IP header

Page 2: IP GfGQGNFþ TTL FûG G O FþFÒG 3û Fþ1 9 · • p7 6ëh 2011/11/0614:55 hz2011/11/0617:10 • g_g?gqgv xh (Ù7 s 2012 º3 v9 ¥ ip gfgqgnfþttl fûg g o fþfÒg 3û fþ1 918.

• [1, 2]–

– DDoS

[1] Ironport. 2008 Internet Security Trends http://www.ironport.com/securitytrends/, 2008

[2] SECURELIST, Monthly Malware Statistics, February 2011, http://www.securelist.com/en/analysis/204792166/Monthly_Malware_Statistics_February_2011

2012 3 9 IP TTL 2

Page 3: IP GfGQGNFþ TTL FûG G O FþFÒG 3û Fþ1 9 · • p7 6ëh 2011/11/0614:55 hz2011/11/0617:10 • g_g?gqgv xh (Ù7 s 2012 º3 v9 ¥ ip gfgqgnfþttl fûg g o fþfÒg 3û fþ1 918.

2012 3 9 IP TTL 3

Page 4: IP GfGQGNFþ TTL FûG G O FþFÒG 3û Fþ1 9 · • p7 6ëh 2011/11/0614:55 hz2011/11/0617:10 • g_g?gqgv xh (Ù7 s 2012 º3 v9 ¥ ip gfgqgnfþttl fûg g o fþfÒg 3û fþ1 918.

Time To Live (TTL)

TTL = 128 TTL = 124TTL = 127 TTL = 126 TTL = 125

2012 3 9 IP TTL 4

Page 5: IP GfGQGNFþ TTL FûG G O FþFÒG 3û Fþ1 9 · • p7 6ëh 2011/11/0614:55 hz2011/11/0617:10 • g_g?gqgv xh (Ù7 s 2012 º3 v9 ¥ ip gfgqgnfþttl fûg g o fþfÒg 3û fþ1 918.

OS TTL

OS Protocol Initial TTL

Linux 2.4 kernel ICMP 255

BSDI BSD/ OS 3.1 and 4.0 ICMP 255

Windows Server 2008 ICMP, TCP, UDP 128

Windows 7 ICMP, TCP, UDP 128

2012 3 9 IP TTL 5

Windows 7 ICMP, TCP, UDP 128

Windows XP ICMP, TCP, UDP 128

Linux RedHat9 ICMP, TCP 64

FreeBSD5 ICMP 64

MacOS X (10.5.6) ICMP, TCP, UDP 64

AIX TCP 60

Albin Sebastian, http://www.binbert.com/blog/2009/12/default-

time-to-live-ttl-values, Dec 2012.

Page 6: IP GfGQGNFþ TTL FûG G O FþFÒG 3û Fþ1 9 · • p7 6ëh 2011/11/0614:55 hz2011/11/0617:10 • g_g?gqgv xh (Ù7 s 2012 º3 v9 ¥ ip gfgqgnfþttl fûg g o fþfÒg 3û fþ1 918.

TTL

t TTL

t OS TTLt0

OS TTL

0

2012 3 9 IP TTL 6

Page 7: IP GfGQGNFþ TTL FûG G O FþFÒG 3û Fþ1 9 · • p7 6ëh 2011/11/0614:55 hz2011/11/0617:10 • g_g?gqgv xh (Ù7 s 2012 º3 v9 ¥ ip gfgqgnfþttl fûg g o fþfÒg 3û fþ1 918.

TTL

TTL = 110

OS Initial TTL

Linux 2.4 kernel 255

BSDI BSD/ OS 3.1 and 4.0 255

Windows Server 2008 128

Windows 7 128

Windows XP 128

Linux RedHat9 64

FreeBSD5 64

MacOS X (10.5.6) 64

2012 3 9 IP TTL 7

110128 18

t0 t

t TTL

t0

OS TTL

MacOS X (10.5.6) 64

AIX 60

Page 8: IP GfGQGNFþ TTL FûG G O FþFÒG 3û Fþ1 9 · • p7 6ëh 2011/11/0614:55 hz2011/11/0617:10 • g_g?gqgv xh (Ù7 s 2012 º3 v9 ¥ ip gfgqgnfþttl fûg g o fþfÒg 3û fþ1 918.

30

TTL OS TTL 30

TTL

2012 3 9 IP TTL 8

Page 9: IP GfGQGNFþ TTL FûG G O FþFÒG 3û Fþ1 9 · • p7 6ëh 2011/11/0614:55 hz2011/11/0617:10 • g_g?gqgv xh (Ù7 s 2012 º3 v9 ¥ ip gfgqgnfþttl fûg g o fþfÒg 3û fþ1 918.

TTL

TTL = 12830

TTL = 98

2012 3 9 IP TTL 9

Page 10: IP GfGQGNFþ TTL FûG G O FþFÒG 3û Fþ1 9 · • p7 6ëh 2011/11/0614:55 hz2011/11/0617:10 • g_g?gqgv xh (Ù7 s 2012 º3 v9 ¥ ip gfgqgnfþttl fûg g o fþfÒg 3û fþ1 918.

TTL

TTL = 78TTL = 128

50

2012 3 9 IP TTL 10

Page 11: IP GfGQGNFþ TTL FûG G O FþFÒG 3û Fþ1 9 · • p7 6ëh 2011/11/0614:55 hz2011/11/0617:10 • g_g?gqgv xh (Ù7 s 2012 º3 v9 ¥ ip gfgqgnfþttl fûg g o fþfÒg 3û fþ1 918.

TTL IPOS TTL“Normal TTL”“Abnormal TTL”

2012 3 9 IP TTL 11

64 128 25530 98 225

30 30 30

Page 12: IP GfGQGNFþ TTL FûG G O FþFÒG 3û Fþ1 9 · • p7 6ëh 2011/11/0614:55 hz2011/11/0617:10 • g_g?gqgv xh (Ù7 s 2012 º3 v9 ¥ ip gfgqgnfþttl fûg g o fþfÒg 3û fþ1 918.

Abnormal TTL

TTL = 78TTL = 90TTL = 128 50

2012 3 9 IP TTL 12

TTL

Page 13: IP GfGQGNFþ TTL FûG G O FþFÒG 3û Fþ1 9 · • p7 6ëh 2011/11/0614:55 hz2011/11/0617:10 • g_g?gqgv xh (Ù7 s 2012 º3 v9 ¥ ip gfgqgnfþttl fûg g o fþfÒg 3û fþ1 918.

TTL

Abnormal TTL

2012 3 9 IP TTL 13

Page 14: IP GfGQGNFþ TTL FûG G O FþFÒG 3û Fþ1 9 · • p7 6ëh 2011/11/0614:55 hz2011/11/0617:10 • g_g?gqgv xh (Ù7 s 2012 º3 v9 ¥ ip gfgqgnfþttl fûg g o fþfÒg 3û fþ1 918.

• TTL

––

2012 3 9 IP TTL 14

Page 15: IP GfGQGNFþ TTL FûG G O FþFÒG 3û Fþ1 9 · • p7 6ëh 2011/11/0614:55 hz2011/11/0617:10 • g_g?gqgv xh (Ù7 s 2012 º3 v9 ¥ ip gfgqgnfþttl fûg g o fþfÒg 3û fþ1 918.

Abnormal TTL

2012 3 9 IP TTL 15

Page 16: IP GfGQGNFþ TTL FûG G O FþFÒG 3û Fþ1 9 · • p7 6ëh 2011/11/0614:55 hz2011/11/0617:10 • g_g?gqgv xh (Ù7 s 2012 º3 v9 ¥ ip gfgqgnfþttl fûg g o fþfÒg 3û fþ1 918.

Normal TTL

2012 3 9 IP TTL 16

Abnormal TTL

Page 17: IP GfGQGNFþ TTL FûG G O FþFÒG 3û Fþ1 9 · • p7 6ëh 2011/11/0614:55 hz2011/11/0617:10 • g_g?gqgv xh (Ù7 s 2012 º3 v9 ¥ ip gfgqgnfþttl fûg g o fþfÒg 3û fþ1 918.

1.

2. IP

3. TCP 3. TCP

4. IDS

2012 3 9 IP TTL 17

Page 18: IP GfGQGNFþ TTL FûG G O FþFÒG 3û Fþ1 9 · • p7 6ëh 2011/11/0614:55 hz2011/11/0617:10 • g_g?gqgv xh (Ù7 s 2012 º3 v9 ¥ ip gfgqgnfþttl fûg g o fþfÒg 3û fþ1 918.

1, 2

– 2011/12/10 01:40 2011/12/13 01:40

– 13

3, 4

– Normal TTL

• 2011/11/06 15:00 2011/11/15 17:00

• 7

– Abnormal TTL

• 2011/11/06 14:55 2011/11/06 17:10

• 7

2012 3 9 IP TTL 18

Page 19: IP GfGQGNFþ TTL FûG G O FþFÒG 3û Fþ1 9 · • p7 6ëh 2011/11/0614:55 hz2011/11/0617:10 • g_g?gqgv xh (Ù7 s 2012 º3 v9 ¥ ip gfgqgnfþttl fûg g o fþfÒg 3û fþ1 918.

1.

• 10

2012 3 9 IP TTL 19

• 10

Page 20: IP GfGQGNFþ TTL FûG G O FþFÒG 3û Fþ1 9 · • p7 6ëh 2011/11/0614:55 hz2011/11/0617:10 • g_g?gqgv xh (Ù7 s 2012 º3 v9 ¥ ip gfgqgnfþttl fûg g o fþfÒg 3û fþ1 918.

1.

[%]

123123123123 39.276 39.276 39.276 39.276

445445445445 3.916 3.916 3.916 3.916

[%]

445445445445 17.536 17.536 17.536 17.536

80808080 1.437 1.437 1.437 1.437

53535353 0.852 0.852 0.852 0.852

Normal TTL Abnormal TTL

2012 3 9 IP TTL 20

80808080 1.321 1.321 1.321 1.321

53535353 0.638 0.638 0.638 0.638

22222222 0.283 0.283 0.283 0.283

443443443443 0.179 0.179 0.179 0.179

161161161161 0.131 0.131 0.131 0.131

23232323 0.118 0.118 0.118 0.118

135135135135 0.081 0.081 0.081 0.081

25252525 0.034 0.034 0.034 0.034

53535353 0.852 0.852 0.852 0.852

22222222 0.383 0.383 0.383 0.383

443443443443 0.159 0.159 0.159 0.159

25252525 0.118 0.118 0.118 0.118

139139139139 0.053 0.053 0.053 0.053

110110110110 0.020 0.020 0.020 0.020

81818181 0.017 0.017 0.017 0.017

0000 0.015 0.015 0.015 0.015

※ephemeral port

Page 21: IP GfGQGNFþ TTL FûG G O FþFÒG 3û Fþ1 9 · • p7 6ëh 2011/11/0614:55 hz2011/11/0617:10 • g_g?gqgv xh (Ù7 s 2012 º3 v9 ¥ ip gfgqgnfþttl fûg g o fþfÒg 3û fþ1 918.

2. IP

• IP

IP

2012 3 9 IP TTL 21

• IP

TTL

Page 22: IP GfGQGNFþ TTL FûG G O FþFÒG 3û Fþ1 9 · • p7 6ëh 2011/11/0614:55 hz2011/11/0617:10 • g_g?gqgv xh (Ù7 s 2012 º3 v9 ¥ ip gfgqgnfþttl fûg g o fþfÒg 3û fþ1 918.

1 Spamhaus Block List

IP

2 Exploits Block List

IP

3 Policy Block List

SMTP

IP

http://www.spamhaus.org2012 3 9 IP TTL 22

Page 23: IP GfGQGNFþ TTL FûG G O FþFÒG 3û Fþ1 9 · • p7 6ëh 2011/11/0614:55 hz2011/11/0617:10 • g_g?gqgv xh (Ù7 s 2012 º3 v9 ¥ ip gfgqgnfþttl fûg g o fþfÒg 3û fþ1 918.

2. IP (TCP)

60

70

80

90

100

掲載率

掲載率

掲載率

掲載率[%][%][%][%]

Abnormal TTL

2012 3 9 IP TTL 23

0

10

20

30

40

50

60

ブラックリスト

ブラックリスト

ブラックリスト

ブラックリスト掲載率

掲載率

掲載率

掲載率

TTL

Page 24: IP GfGQGNFþ TTL FûG G O FþFÒG 3û Fþ1 9 · • p7 6ëh 2011/11/0614:55 hz2011/11/0617:10 • g_g?gqgv xh (Ù7 s 2012 º3 v9 ¥ ip gfgqgnfþttl fûg g o fþfÒg 3û fþ1 918.

3. TCP

2012 3 9 IP TTL 24

Page 25: IP GfGQGNFþ TTL FûG G O FþFÒG 3û Fþ1 9 · • p7 6ëh 2011/11/0614:55 hz2011/11/0617:10 • g_g?gqgv xh (Ù7 s 2012 º3 v9 ¥ ip gfgqgnfþttl fûg g o fþfÒg 3û fþ1 918.

TCP

Windows 7

Windows Vista

2012 3 9 IP TTL 25

Linux

Mac OS X 10.7

OS

Page 26: IP GfGQGNFþ TTL FûG G O FþFÒG 3û Fþ1 9 · • p7 6ëh 2011/11/0614:55 hz2011/11/0617:10 • g_g?gqgv xh (Ù7 s 2012 º3 v9 ¥ ip gfgqgnfþttl fûg g o fþfÒg 3û fþ1 918.

MacOS X 10.7

3

OS

???MWSWindows 7

Linux 2.6

2012 3 9 IP TTL 26

OS

MWS

TCP

Page 27: IP GfGQGNFþ TTL FûG G O FþFÒG 3û Fþ1 9 · • p7 6ëh 2011/11/0614:55 hz2011/11/0617:10 • g_g?gqgv xh (Ù7 s 2012 º3 v9 ¥ ip gfgqgnfþttl fûg g o fþfÒg 3û fþ1 918.

OSMWS

MWS

※MWS

2012 3 9 IP TTL 27

TCP

OS

, , , , “TCP

, vol.52, no.6, pp.2009–2018, June, 2011.

Page 28: IP GfGQGNFþ TTL FûG G O FþFÒG 3û Fþ1 9 · • p7 6ëh 2011/11/0614:55 hz2011/11/0617:10 • g_g?gqgv xh (Ù7 s 2012 º3 v9 ¥ ip gfgqgnfþttl fûg g o fþfÒg 3û fþ1 918.

OS

TCP

MWS

2012 3 9 IP TTL 28

, , , , “TCP, , vol.52, no.6, pp.2009–2018,

June, 2011.

Page 29: IP GfGQGNFþ TTL FûG G O FþFÒG 3û Fþ1 9 · • p7 6ëh 2011/11/0614:55 hz2011/11/0617:10 • g_g?gqgv xh (Ù7 s 2012 º3 v9 ¥ ip gfgqgnfþttl fûg g o fþfÒg 3û fþ1 918.

3

OS

2012 3 9 IP TTL 29

OS

MWS

TCP

Page 30: IP GfGQGNFþ TTL FûG G O FþFÒG 3û Fþ1 9 · • p7 6ëh 2011/11/0614:55 hz2011/11/0617:10 • g_g?gqgv xh (Ù7 s 2012 º3 v9 ¥ ip gfgqgnfþttl fûg g o fþfÒg 3û fþ1 918.

3. TCP

• TCP p0f [3]

TCP

2012 3 9 IP TTL 30

1. OS

2. OS

3. MWS

3

[3] the new p0f, projecthttp://lcamtuf.coredump.cx/p0f.shtml

Page 31: IP GfGQGNFþ TTL FûG G O FþFÒG 3û Fþ1 9 · • p7 6ëh 2011/11/0614:55 hz2011/11/0617:10 • g_g?gqgv xh (Ù7 s 2012 º3 v9 ¥ ip gfgqgnfþttl fûg g o fþfÒg 3û fþ1 918.

3. TCP

7%7%

Normal TTL Abnormal TTL

2012 3 9 IP TTL 31

KNOWN

UNKNOWN

MWS

OS

OS

45%29%

26%86%

7%

Page 32: IP GfGQGNFþ TTL FûG G O FþFÒG 3û Fþ1 9 · • p7 6ëh 2011/11/0614:55 hz2011/11/0617:10 • g_g?gqgv xh (Ù7 s 2012 º3 v9 ¥ ip gfgqgnfþttl fûg g o fþfÒg 3û fþ1 918.

4. Snort

• ,

(IDS) Snort

2012 3 9 IP TTL 32

(IDS) Snort

• Normal TTL Abnormal TTL

Page 33: IP GfGQGNFþ TTL FûG G O FþFÒG 3û Fþ1 9 · • p7 6ëh 2011/11/0614:55 hz2011/11/0617:10 • g_g?gqgv xh (Ù7 s 2012 º3 v9 ¥ ip gfgqgnfþttl fûg g o fþfÒg 3û fþ1 918.

4. Snort

TTL [%]

2012 3 9 IP TTL 33

Normal TTL 67,849,218 34,440 0.05

Abnormal TTL 69,169,306 1,658,923 2.40

<<

Page 34: IP GfGQGNFþ TTL FûG G O FþFÒG 3û Fþ1 9 · • p7 6ëh 2011/11/0614:55 hz2011/11/0617:10 • g_g?gqgv xh (Ù7 s 2012 º3 v9 ¥ ip gfgqgnfþttl fûg g o fþfÒg 3û fþ1 918.

4

Abnormal TTL Normal TTL

2012 3 9 IP TTL 34

Page 35: IP GfGQGNFþ TTL FûG G O FþFÒG 3û Fþ1 9 · • p7 6ëh 2011/11/0614:55 hz2011/11/0617:10 • g_g?gqgv xh (Ù7 s 2012 º3 v9 ¥ ip gfgqgnfþttl fûg g o fþfÒg 3û fþ1 918.

• Abnormal TTL

––

• IPv6

H. Stern, “The Rise and Fall of Reactor Mailer,” Proc. MIT Spam Conference 2009, Mar 2009.

2012 3 9 IP TTL 35

Page 36: IP GfGQGNFþ TTL FûG G O FþFÒG 3û Fþ1 9 · • p7 6ëh 2011/11/0614:55 hz2011/11/0617:10 • g_g?gqgv xh (Ù7 s 2012 º3 v9 ¥ ip gfgqgnfþttl fûg g o fþfÒg 3û fþ1 918.

ご清聴ご清聴ありがとうございました

2012 3 9 IP TTL 36

Page 37: IP GfGQGNFþ TTL FûG G O FþFÒG 3û Fþ1 9 · • p7 6ëh 2011/11/0614:55 hz2011/11/0617:10 • g_g?gqgv xh (Ù7 s 2012 º3 v9 ¥ ip gfgqgnfþttl fûg g o fþfÒg 3û fþ1 918.

2012 3 9 IP TTL 37

Page 38: IP GfGQGNFþ TTL FûG G O FþFÒG 3û Fþ1 9 · • p7 6ëh 2011/11/0614:55 hz2011/11/0617:10 • g_g?gqgv xh (Ù7 s 2012 º3 v9 ¥ ip gfgqgnfþttl fûg g o fþfÒg 3û fþ1 918.

IP Time To Live

• IP 8

• TTL

1 TTL 01 TTL 0

2012 3 9 IP TTL 38

Page 39: IP GfGQGNFþ TTL FûG G O FþFÒG 3û Fþ1 9 · • p7 6ëh 2011/11/0614:55 hz2011/11/0617:10 • g_g?gqgv xh (Ù7 s 2012 º3 v9 ¥ ip gfgqgnfþttl fûg g o fþfÒg 3û fþ1 918.

Abnormal TTL

Case a.

– e.g.

Case b.

– e.g. traceroute– e.g. traceroute

– e.g. Firewalk

Case c.

– e.g. TTL

2012 3 9 IP TTL 39

Page 40: IP GfGQGNFþ TTL FûG G O FþFÒG 3û Fþ1 9 · • p7 6ëh 2011/11/0614:55 hz2011/11/0617:10 • g_g?gqgv xh (Ù7 s 2012 º3 v9 ¥ ip gfgqgnfþttl fûg g o fþfÒg 3û fþ1 918.

2

1

/16

2012 3 9 IP TTL 40

Page 41: IP GfGQGNFþ TTL FûG G O FþFÒG 3û Fþ1 9 · • p7 6ëh 2011/11/0614:55 hz2011/11/0617:10 • g_g?gqgv xh (Ù7 s 2012 º3 v9 ¥ ip gfgqgnfþttl fûg g o fþfÒg 3û fþ1 918.

2. IP (TCP)

60

70

80

90

100

掲載率

掲載率

掲載率

掲載率[%][%][%][%]

2012 3 9 IP TTL 41

0

10

20

30

40

50

60

ブラックリスト

ブラックリスト

ブラックリスト

ブラックリスト掲載率

掲載率

掲載率

掲載率

TTL

Page 42: IP GfGQGNFþ TTL FûG G O FþFÒG 3û Fþ1 9 · • p7 6ëh 2011/11/0614:55 hz2011/11/0617:10 • g_g?gqgv xh (Ù7 s 2012 º3 v9 ¥ ip gfgqgnfþttl fûg g o fþfÒg 3û fþ1 918.

2. IP (UDP)

掲載率

掲載率

掲載率

掲載率[%][%][%][%]

2012 3 9 IP TTL 42

ブラックリスト

ブラックリスト

ブラックリスト

ブラックリスト掲載率

掲載率

掲載率

掲載率

Page 43: IP GfGQGNFþ TTL FûG G O FþFÒG 3û Fþ1 9 · • p7 6ëh 2011/11/0614:55 hz2011/11/0617:10 • g_g?gqgv xh (Ù7 s 2012 º3 v9 ¥ ip gfgqgnfþttl fûg g o fþfÒg 3û fþ1 918.

2. IP ICMP

掲載率

掲載率

掲載率

掲載率[%][%][%][%]

2012 3 9 IP TTL 43

ブラックリスト

ブラックリスト

ブラックリスト

ブラックリスト掲載率

掲載率

掲載率

掲載率

Page 44: IP GfGQGNFþ TTL FûG G O FþFÒG 3û Fþ1 9 · • p7 6ëh 2011/11/0614:55 hz2011/11/0617:10 • g_g?gqgv xh (Ù7 s 2012 º3 v9 ¥ ip gfgqgnfþttl fûg g o fþfÒg 3û fþ1 918.

CPU

• Srizbi Reactor Mailer

FKM

2012 3 9 IP TTL 44

Page 45: IP GfGQGNFþ TTL FûG G O FþFÒG 3û Fþ1 9 · • p7 6ëh 2011/11/0614:55 hz2011/11/0617:10 • g_g?gqgv xh (Ù7 s 2012 º3 v9 ¥ ip gfgqgnfþttl fûg g o fþfÒg 3û fþ1 918.

Normal TTL

ICMP PING NMAP 1,211,825,939

Experimental Tcp Options found 158,495,513

Bad Traffic Same Src/Dst IP 6,793,931

ICMP Filtered Sweep 4,501,196

ICMP L3retriever Ping 3,153,346

2012 3 9 IP TTL 45

ICMP L3retriever Ping 3,153,346

ICMP PING CyberKit 2.2 Windows 1,832,286

ICMP superscan echo 1,380,471

TCP Filtered Portsweep 1,071,781

TCP Filtered Distributed Portscan 746,593

TCP Portsweep 615,631

Page 46: IP GfGQGNFþ TTL FûG G O FþFÒG 3û Fþ1 9 · • p7 6ëh 2011/11/0614:55 hz2011/11/0617:10 • g_g?gqgv xh (Ù7 s 2012 º3 v9 ¥ ip gfgqgnfþttl fûg g o fþfÒg 3û fþ1 918.

Abnormal TTL

ICMP PING NMAP 1,183,100,342

Experimental Tcp Options found 134,417,917

Bad Traffic Same Src/Dst IP 5,782,901

ICMP Filtered Sweep 3,651,514

ICMP L3retriever Ping 2,816,113

2012 3 9 IP TTL 46

ICMP L3retriever Ping 2,816,113

ICMP PING CyberKit 2.2 Windows 1,832,286

ICMP superscan echo 1,155,422

TCP Filtered Portsweep 832,897

TCP Filtered Distributed Portscan 746,593

BAD-TRAFFIC udp port 0 traffic 281,317

Page 47: IP GfGQGNFþ TTL FûG G O FþFÒG 3û Fþ1 9 · • p7 6ëh 2011/11/0614:55 hz2011/11/0617:10 • g_g?gqgv xh (Ù7 s 2012 º3 v9 ¥ ip gfgqgnfþttl fûg g o fþfÒg 3û fþ1 918.

10000000

100000000

1000000000

TTL

2012 3 9 IP TTL 47

1

10

100

1000

10000

100000

1000000

TTL

Page 48: IP GfGQGNFþ TTL FûG G O FþFÒG 3û Fþ1 9 · • p7 6ëh 2011/11/0614:55 hz2011/11/0617:10 • g_g?gqgv xh (Ù7 s 2012 º3 v9 ¥ ip gfgqgnfþttl fûg g o fþfÒg 3û fþ1 918.

Hop-Count Filtering :TTL IP

Host A IP A

TTL

IP A 110

IP B 235

2012 3 9 IP TTL 48

Host B IP B

Host A’ IP C

C. Jin, H. Wang, and K. G. Shin, “Hop-count filtering: An effective defense against spoofed DDoS traffic,”

Proceedings of the 10th ACM Conference on Computer and Communications Security (CCS ’03), pp.30–

41, New York, America, Oct. 2003.


Recommended
CERTIFICATE OF REGISTRATION...ISO 14001:2015 GlG[GFGoG GVGEGGGTGnFÿ W0 Fþ1 0É$Ï6 ( VFû4:#ÝFåG G FéF¹ u d F¸'ö d F¸ ( d F¸ È4( 0¿ d F¸ 7Á ¼ d F¸7Á ¼3û d F¸+Ò/æ

CERTIFICATE OF REGISTRATION...ISO 14001:2015 GlG[GFGoG GVGEGGGTGnFÿ W0 Fþ1 0É$Ï6 ( VFû4:#ÝFåG G FéF¹ u d F¸'ö d F¸ ( d F¸ È4( 0¿ d F¸ 7Á ¼ d F¸7Á ¼3û d F¸+Ò/æ

Documents

¹ B º Ø e Û4 6ä1n&É% M0t - 京都大学...1n*O g  ¹3û H 1n " ) 4 G 2 4 3û º 4

¹ B º Ø e Û4 6ä1n&É% M0t - 京都大学...1n*O g  ¹3û H 1n " ) 4 G 2 4 3û º 4

Documents

2A í u2A1* » ¹3û Ù ] i - Gifu Prefecture · 2020. 9. 28. · 2A í u2A1* » ¹3û Ù ] i '¨>/'v )r N '¨ ² 4:#Ý >/>, 2A í u2A1* » ¹3û Ù ] i>& è W ¹3û Ù ] i \ 8 :

2A í u2A1* » ¹3û Ù ] i - Gifu Prefecture · 2020. 9. 28. · 2A í u2A1* » ¹3û Ù ] i '¨>/'v )r N '¨ ² 4:#Ý >/>, 2A í u2A1* » ¹3û Ù ] i>& è W ¹3û Ù ] i \ 8 :

Documents

7ü ¸%4 º3û ó ² P'Ç 1...>/ Ê j b º3û >75 F ó ² _4(2 3û/ M S u b  £ í £'z#Õ \ Q b 1¤* _ P M ó ² M*ñ í È h$Î q · b N4 3û Û2 _ > E  £ í £'z#Õ

7ü ¸%4 º3û ó ² P'Ç 1...>/ Ê j b º3û >75 F ó ² _4(2 3û/ M S u b  £ í £'z#Õ \ Q b 1¤* _ P M ó ² M*ñ í È h$Î q · b N4 3û Û2 _ > E  £ í £'z#Õ

Documents

7 K æ 2( q - Kitakyushu · 2020. 9. 6. · ç ô >0 º Ø 7 K æ _2( q æ 3û d Ó 1¤ ¦ d æ æ &%T º3û d Ó1¤ ¦ d >&% >' q 3û d Ó1¤ ¦ rSc æ &%T º3û d Ó1¤ ¦ _6õM

7 K æ 2( q - Kitakyushu · 2020. 9. 6. · ç ô >0 º Ø 7 K æ _2( q æ 3û d Ó 1¤ ¦ d æ æ &%T º3û d Ó1¤ ¦ d >&% >' q 3û d Ó1¤ ¦ rSc æ &%T º3û d Ó1¤ ¦ _6õM

Documents

¹µ P K4 bÅî»2 3û A /ãb Ì#' 9library.jsce.or.jp/Image_DB/committee/steel_structure/... · 2014. 10. 17. · 5ð Ë"' U ÜÈ\¹µ P K4 bÅî»2 3û A /ãb Ì#' 9 The reappearance

¹µ P K4 bÅî»2 3û A /ãb Ì#' 9library.jsce.or.jp/Image_DB/committee/steel_structure/... · 2014. 10. 17. · 5ð Ë"' U ÜÈ\¹µ P K4 bÅî»2 3û A /ãb Ì#' 9 The reappearance

Documents

(ò*ÙFûG FåFçFÔ B (GAGwG G@G FûG>GxGOGyGxGOG ... · (ò*Ùfûg fåfçfÔ b (gagwg g@g fûg>gxgogygxgog 4ßgfg9gxg4gng"gegwggf¹)Ä)t vfþ(ý,æfþ q jg" dfçf¸75+¯ Ýg"&gfçf¸"

(ò*ÙFûG FåFçFÔ B (GAGwG G@G FûG>GxGOGyGxGOG ... · (ò*Ùfûg fåfçfÔ b (gagwg g@g fûg>gxgogygxgog 4ßgfg9gxg4gng"gegwggf¹)Ä)t vfþ(ý,æfþ q jg" dfçf¸75+¯ Ýg"&gfçf¸"

Documents

Ë ' ¬ 0 G ® Ã E Ì v ù 0 » j < - C Ë ' ¬ 0 G ® Ã E Ì v » ÷ r · 2019. 9. 9. · ° Û* b À7 c G b0[8o _ | ~ p Û /6× @/ : >1 3û Û æ 3û Û æ c ¿4 Ó'g b

Ë ' ¬ 0 G ® Ã E Ì v ù 0 » j < - C Ë ' ¬ 0 G ® Ã E Ì v » ÷ r · 2019. 9. 9. · ° Û* b À7 c G b0[8o _ | ~ p Û /6× @/ : >1 3û Û æ 3û Û æ c ¿4 Ó'g b

Documents

ó ¶ wb2 » i8® - city.yasugi.shimane.jp · î >, 3û 0£ pppppppppppppppppppppppp ppp >/>, 8 bb s f ² ó pppppppppppppppppppppp ppp >0>,2 »>2/² pppppppppppppppppppppppp ppp

ó ¶ wb2 » i8® - city.yasugi.shimane.jp · î >, 3û 0£ pppppppppppppppppppppppp ppp >/>, 8 bb s f ² ó pppppppppppppppppppppp ppp >0>,2 »>2/² pppppppppppppppppppppppp ppp

Documents

2015年11月5日...2015/11/5 16 " )H h活 P S Q ö V W 3û V 3û >Ó>Ý>â º>ß v V )¼ )¼ )¼ )¼ S G /² )¼ D D D! D" D!H D 3,362 3,657 7,019 3,608 7,250 245 183 256 439 248 500

2015年11月5日...2015/11/5 16 " )H h活 P S Q ö V W 3û V 3û >Ó>Ý>â º>ß v V )¼ )¼ )¼ )¼ S G /² )¼ D D D! D" D!H D 3,362 3,657 7,019 3,608 7,250 245 183 256 439 248 500

Documents

[1 I 2( A Ô ¶%&k K 2 Ç ¥ °#. Û 1 °#. >&3û&à>*1 °#. >' lg1 °#. >& … · 2019. 5. 10. · ± Ûb d b&É% M G\[1 I 2( A Ô ¶%&k K 2 Ç ¥ °#. Û 1 °#. >&3û&à>*1 °#.

[1 I 2( A Ô ¶%&k K 2 Ç ¥ °#. Û 1 °#. >&3û&à>*1 °#. >' lg1 °#. >& … · 2019. 5. 10. · ± Ûb d b&É% M G\[1 I 2( A Ô ¶%&k K 2 Ç ¥ °#. Û 1 °#. >&3û&à>*1 °#.

Documents

u d ¦ ¹3û Ù ] i - NEXCO 東日本 · >/>+>1 >/>+>/ % $× u d ¦ ¹3û Ù ] i>& è W ¹3û Ù ] i \ 8 : >' c ¾ ¥ 9×3ÿ4(2° 4 ' &k>& è W \ &k \ 8 : >' @$Î @ M u d ¦

u d ¦ ¹3û Ù ] i - NEXCO 東日本 · >/>+>1 >/>+>/ % $× u d ¦ ¹3û Ù ] i>& è W ¹3û Ù ] i \ 8 : >' c ¾ ¥ 9×3ÿ4(2° 4 ' &k>& è W \ &k \ 8 : >' @$Î @ M u d ¦

Documents

GGGkG GR 0¿FûG G FïFú o Í p4Fû ¥FáFö · 2020. 1. 17. · gggkg gr 0¿fûg g fïfú o Í p4fû ¥fáfö hz3 3Æfúgggkg grfþ fÛg gggmgfg0gng g0gxg gxg f÷hz "i 8 < q

GGGkG GR 0¿FûG G FïFú o Í p4Fû ¥FáFö · 2020. 1. 17. · gggkg gr 0¿fûg g fïfú o Í p4fû ¥fáfö hz3 3Æfúgggkg grfþ fÛg gggmgfg0gng g0gxg gxg f÷hz "i 8 < q

Documents

¹3û&É% - seibundoh.co.jp · ¯ l } ² c ¤ ê õ ¥ Û4 m ( ¶ ¡ &É% ¡ m&É i ¹3û ¹3û gggkg gr *fb ¹3û ¹3û 3 /fø4 ·h h ¹3û b £f· 4 gggkg gr *fg /*ñ *f fÄ ¼4('

¹3û&É% - seibundoh.co.jp · ¯ l } ² c ¤ ê õ ¥ Û4 m ( ¶ ¡ &É% ¡ m&É i ¹3û ¹3û gggkg gr *fb ¹3û ¹3û 3 /fø4 ·h h ¹3û b £f· 4 gggkg gr *fg /*ñ *f fÄ ¼4('

Documents

B ý * ý ý - pref.ibaraki.jp · B ý * ý ý G b0°6 c>*'¨ G g1 7T1 (3û 4E ò b) Ý p6 K S v b [ M '¨ G g1 7T1 (3û 4E ò c>* ç ô º>5 v ¥ _ õ @ 6 ¢ \ ^ ¹ B º4E

B ý * ý ý - pref.ibaraki.jp · B ý * ý ý G b0°6 c>*'¨ G g1 7T1 (3û 4E ò b) Ý p6 K S v b [ M '¨ G g1 7T1 (3û 4E ò c>* ç ô º>5 v ¥ _ õ @ 6 ¢ \ ^ ¹ B º4E

Documents

H H p )0£ Shape Accel Array - shinkawa.co.jp · ]1¤ ÊFþ ) ]FÛG 200m&ì Ø7³G Fï'à dFûSAAG" Ù0¿FçF¸ ]Fþ 8×FûG G Fþ )G" FçFï [F÷FéF¹ Shape Accel Array 0 1 Â

H H p )0£ Shape Accel Array - shinkawa.co.jp · ]1¤ ÊFþ ) ]FÛG 200m&ì Ø7³G Fï'à dFûSAAG" Ù0¿FçF¸ ]Fþ 8×FûG G Fþ )G" FçFï [F÷FéF¹ Shape Accel Array 0 1 Â

Documents

G0GFG0Fþ ¶ Ç 2( FûG G ¥ Y ·#Ø 2(Fþ Â - RETIO · 2016. 12. 27. · strictly confidential rjc research inc. g0gfg0fþ ¶ Ç 2( fûg g ¥ y ·#Ø 2(fþ Â 4 ' &krjcgxgcg go

G0GFG0Fþ ¶ Ç 2( FûG G ¥ Y ·#Ø 2(Fþ Â - RETIO · 2016. 12. 27. · strictly confidential rjc research inc. g0gfg0fþ ¶ Ç 2( fûg g ¥ y ·#Ø 2(fþ Â 4 ' &krjcgxgcg go

Documents

ÇFþ vG Fþ0£ FøGEGmGsGzG GEGuG FûG G 4J7´1 2Fþ · 2015. 12. 9. · Çfþ vg fþ0£ føgegmgsgzg gegug fûg g 4j7´1 _ 2fþ g \'g { fûfÚfág 4j7´ /9 g8ghgwgag gcg gvg" [fûg

ÇFþ vG Fþ0£ FøGEGmGsGzG GEGuG FûG G 4J7´1 2Fþ · 2015. 12. 9. · Çfþ vg fþ0£ føgegmgsgzg gegug fûg g 4j7´1 _ 2fþ g \'g { fûfÚfág 4j7´ /9 g8ghgwgag gcg gvg" [fûg

Documents