|
本課題では、IPv6インターネットにおけるネットワークスキャン検出手法に関する研究を行った。IPv6ではIPアドレスの数が2^128とIPv4に比べると格段に大きいことから、IPv4のような全アドレス空間へのスキャンは現実的ではない。そのため、既存のダークネットやハニーポット等のネットワークセンサにおいても、そのアドレスがスキャナーに認知されない限り、スキャンを効率的に検出することが困難であった。
本課題のゴールは、このような状況において、どのようにネットワークスキャンを検出するかにあったが、我々はネットワークセンサのIPアドレスを積極的にインターネット上に公開することでネットワークスキャンを誘引する手法を開発した。IPv4アドレス逆引きアドレスやウェブサーバ名の公開と言った複数のアドレス公開手法を実装し、センサネットワークのアドレスを公開を行い、約1年間にわたりセンサにネットワークスキャンを誘引させることに成功した。さらに、検出したスキャンを解析することで、アドレスの公開から集中的なスキャンの到来までを可視化・確認することに成功した。とりわけ、IPv4アドレス逆引きによるアドレス公開が最も多くのスキャンを誘引できたことから、スキャナが使用するヒットリスト作成は比較的単純な方法が用いられていることを確認できた。さらに、多くのスキャナーは既存のアドレスヒットリストを利用して継続的なスキャンを行っていることを明らかにした。
|
