ページの本文へ

Hitachi

Hitachi Incdent Response Team

HIRT-PUB07004:ワームが送信するパケットの動きをみてみよう

ワーム感染ノード送信パケットの可視化について

ワームとは:
自身が独立したプログラムで、感染行動を伴う狭義のコンピューターウィルスとは区別されますが、ネットワークを介して他のコンピュータに入り込み自己増殖するのを特徴としています。

はじめに

2001年を皮切りにNimdaやCodeRedなどの高度な機能を持ったネットワークワーム(以降、単にワームと呼びます)の出現により、ネットワークのインフラや企業イントラネットは幾度と無く脅威に晒されてきました。 ここ最近は、新しいワームによる大規模なインシデントは発生していないものの、過去に大流行したワームに感染したノード(*1)による感染活動は今もなお続いているのが現状です。

今回は,未だにネットワークに流れ続けているワームのパケット(*2)の可視化を試みます。

感染先ノード探索活動の種類

通常ワームは自己を増殖させるために感染先ノードの探索を行います。 この探索の方法には幾つかのパターンが存在するといわれ、論文などで公開されている既知の情報によりますと、過去の代表的なワームは下記のとおりに分類されます。

(1)感染ノードの近隣ネットワークを重点的に探索するタイプ

  • Blaster
  • Nimdar
  • Zotob

(2)近隣ネットワークに限らず広域な範囲を探索するタイプ

  • CodeRed
  • SQLSlammer

また、感染先ノードのIPアドレスを決定するにあたり、ランダムに選ぶタイプや、規則性を持って選ぶタイプなどがあることも知られています。

ワーム感染ノードの送信パケットの可視化

ここでは実際にワームに感染させたノードをクローズドな実験環境で観測し、そこで得られた観測データを、独自に開発したツールを用いて可視化しました。

図:ワーム可視化ツールのしくみ

このツールは、ノードが送信したパケットの宛先IPアドレスを、4つのオクテット(*3)に分解し、それぞれのオクテットの値を対応する直線の回転角に変換して表示します。


*1
ネットワークに接続されている機器。ここではコンピュータを指す
*2
データ通信の際、データを細かく分割して伝送するためのデータの単位
*3
情報量の単位のひとつであり、1オクテットは8bit(ビット)に相当

3ページ中1ページ