|
早稲田大学
菅原 俊治
教授
機関別共同研究
Discovery Saga
論文分野別Discovery Saga
研究テーマDiscovery Saga
協賛企業
共同研究先:National Institute of Informatics/PRESTO JST
Unknown
共同研究数 1
Conference Paper
2011
IEEE : Institute of Electrical and Electronics Engineers
Analysis of spoofed IP traffic using time-to-live and identification fields in IP headers
(Last author)
IPヘッダ中のtime-to-liveと識別フィールドを用いたなりすましIPトラフィックの解析
Masayuki Ohta, Yoshiki Kanda, Kensuke Fukuda, Toshiharu Sugawara
【抄録】
Internet services are often exposed to many kinds of threats such as the distributed denial of service (DDoS), viruses, and worms. Since these threats cause an adverse effect on the social and economical activities on the Internet, the technologies for protecting Internet services from the threats are strongly required. Many researchers have analyzed network traffic to detect anomalous one using many packet features (e.g., TCP/IP headers). In this paper, we focus on the Time To Live (TTL) and Identification fields (IPID) of the IP header to understand the anomalous traffic behavior, since source IP addresses are often spoofed. We propose a method to distinguish a plausible spoofed IP address from others based on a sequence of TTL and IPID fields. We show that our method can extract a number of plausible spoofing packets from real dark net traces in which all of the packets were not normal. © 2011 IEEE.
【抄録日本語訳】
インターネットサービスは、分散型サービス拒否(DDoS)、ウイルス、ワームなど、さまざまな脅威にさらされることが多い。これらの脅威はインターネット上の社会・経済活動に悪影響を及ぼすため、インターネットサービスを脅威から保護する技術が強く求められている。これまで多くの研究者が、多くのパケット特徴量(TCP/IPヘッダなど)を用いてネットワークトラフィックを解析し、異常なトラフィックを検出してきた。本稿では、送信元IPアドレスが詐称されていることが多いことから、IPヘッダのTTL(Time To Live)とIPID(Identification Field)に着目し、異常なトラフィックの挙動を把握することを目的とする。本論文では、TTLとIPIDのフィールドの並びから、なりすましと思われるIPアドレスを区別する方法を提案する。本手法により、全てのパケットが正常でない実際のダークネットトレースから、もっともらしいなりすましパケットを多数抽出することができることを示す。© 2011 IEEE.