4. 確率的パケットマーキング(PPM)方式の概略
(Savageらの手法)
基本的な手法 例
目的は 攻撃者 中継ルータ群 被害者
「攻撃者までの経路
(中継ルータ群のIPアドレス X A B C D Y
とその順序)を知る」
A A B A +B d=3
確率 p
B B +C B +C d=2
・自分のIP情報を書き込む C C +D C +D d=1
・距離情報0にセット
D D d=0
確率 1-p
Yが受け取る情報
・もし距離情報が0だったら
順番にXORすることで
自分のIP情報を
中継ルータ群のIP情報を復元可能
現在のIP情報にXOR
・距離情報++
2012/6/13 ORC 最終審査会 4
5. 確率的パケットマーキング(PPM)方式の概略
(Savageらの手法)
宛先ホストで
受け取るデータ 経路情報の
復元
○
A+B d=3
○
C+D ○
B+C ○
A+B
○
B+C d=2 ○
+ ○
+ ○
+
D C B
○
C+D d=1
D d=0 D C B A
グラフになぞらえ
ルータそのものの情報ではなく、 ノード情報ではなく
「どのルータ間を通ったか」の情報が エッジ情報をあつめることから
マーキングされる “Edge Sampling”
と言われる
2012/6/13 ORC 最終審査会 5
6. 【提案】透過型確率的パケットマーキング装置
既存ルータのソフトウェア/ハードウェア入れ 2つの実現形態
替えを必要とせず
既存ルータをPPM対応させる 透過型PPMリピータ
Ethernetでの中継(ヘッダ書き
A B 換え)を行なわない(Ethernet
レベルでも透過)
A TPPM装置 B 透過型PPM
ブリッジ・スイッチ
新たなルータ設置ではなく Ethernetでの中継(ヘッダ書き
IPレベルで透過的に 換え)を行なう
代理でPPMを行なう装置を配置 (Ethernetレベルでは非透過)
A○ B
+ のマークを1度で行えるためEdge Samplingに適している
ネットワーク中継機器として2台以上の代理マーキングも可能
2012/6/13 ORC 最終審査会 6