メモ: ZMap: Fast Internet-wide Scanning and Its Security Applications

USENIX Security 2013のメモ

情報セキュリティの分野において世界的に有名な学会の1つであるUSENIX Securityの2013年開催のものから、気になった論文にざーっと目を通したので、その内容をメモも兼ねてまとめておきます。論文をしっかり読み込む暇は無かったので、おおまかなまとめになっていたり、間違いが含まれる可能性もあります。論文、発表資料、講演のビデオも公開されているので、詳しくはそちらを御覧ください。この内容をあてにして何か間違えたり恥かいたりしても、一切責任はとりません。(一度に載せようと思ったんですが、なんかダルくなったんで、順次アップロードしていきます)

ZMap: Fast Internet-wide Scanning and Its Security Applications

Zakir Durumeric, Eric Wustrow, and J. Alex Halderman, University of Michigan

インターネットでサービスを提供しているソフトウェアやプロトコルの脆弱性が発見された時、「ではそのソフトウェアやプロトコルを使っているホストは世界に何台ぐらいあって、それは全体の何%か?」というような調査がここ何年かのメジャーなセキュリティ系の学会で発表されてきた。その際の調査方法は基本的に総当り方式で、インターネットの2の32乗(約42億)個のアドレス全てにアクセスして調査していた。通常のOSが提供しているプロトコルスタックを使って調査をしようとすると膨大な時間(長いと数ヶ月単位)の時間がかかってしまうが、これを秒間数万台規模で調査できるようにしたのが著者らが提案したツール ZMap である。

基本的な戦略は、OSの標準スタックを使うのではなく自前でプロトコルに従ったパケットを生成し、libpcapのようなパケットキャプチャによって受信した内容をこれまた自前で解釈するというもの。これによって最小限のやりとりのみで必要となる情報を引き出し、時間あたりの調査数を大幅に高めている。また、実際に調査を実施して既存手法との比較をしたり、送信間隔を短く(最終的には1.4M packet/sec 程度で送信)しても応答が減るようなことは無いということを示している。ソースコードも公開されているので、他の研究でも応用範囲は広そうである。

Comments