新トレースバック方式InterTrackとは
InterTrackでのトレースバックの流れ
InterTrackの段階的トレースバックを図3に示します。InterTrackでは、Autonomous System(AS)単位に運用ドメインを集約して「初動調査」を行います。ASとは、現在のインターネットの経路制御で一番大きなホップ単位であり、BGPで主に用いられています。InterTrackの段階的トレースバックは「探査受付」「AS境界探査」「AS間探査」および「発信源探査」の4段階に分かれています。
まず「探査受付」では、検知システム(IDS)で検知した攻撃など、探索したいパケットからTraceback Client(TC)で探査要求を作成し、Decision Point(DP)に探査要求を渡します。
DPはInterTrack自体が「DoS攻撃の増幅装置」として悪用されるのを回避するゲートウェイとして、TCの認証とTCからのリクエスト受付をコントロールします。DPはTCから受け付けた探査要求をメッセージルーターに相当するInter-domain Traceback Manager(ITM)に転送します。
DPから探査要求を受け付けたITMは、トレースバックを開始するITM(Origin ITM )として、インターネット全体で一意に識別できるメッセージIDを探査要求に割り当てます。
次にOrigin ITMは、「AS境界探査」を実施するためBorder Traceback Manager (BTM)に探査要求を転送します。
探査要求を受け付けたBTMは制御しているトレースバックシステムを用いて、探査対象パケットのパケットハッシュが保存されているか否かを判定します。
また、トレースバックシステムの機能に応じて、転送ASパス上の隣接AS(転送元隣接ASと転送先隣接AS)の判定など、探査範囲を絞り込むための情報を探査結果に加えITMに返します(判定パターンの詳細は参考文献2を参照)。
「AS境界探査」の結果をもとにOrigin ITMは次の行動を決定します。外部ASから探索対象パケットが流入したと判定された場合、Origin ITMは「AS間探査」に移り、InterTrack上で隣接関係を結んでいるASのITM(隣接ITM)に対して探査要求を転送し、隣接ITMから探査結果が返されるのを待ちます。
隣接ITMから探査要求を受け付けたITMは、探査済みの探査要求か否かを検証した後「AS境界探査」に移ります。以降、端点に位置するASに至るまで再帰的に「AS境界探査」と「AS間探査」を繰り返していきます。
端点に到達した場合など「AS間探査」がこれ以上必要無い場合に、ITMは「AS境界探査」の結果と隣接ITMから返された「AS間探査」の結果を集約し、転送元の隣接ITMに探査結果を返します。探査要求と同様に探査結果はITM間で再帰的に集約され、最終的にOrigin ITMまで探査結果が返されます。その後DPを介してTCに探索結果が返されます。ここまでがInterTrackでの「初動調査」の流れです。
一方、「詳細調査」である「発信源探査」は「初動調査」と同時並行に独立して行われます。「AS境界探査」でAS内の詳細調査が必要であると判定された場合、ITMはAS内の各下位ドメインに設置されているDomain Traceback Manager(DTM)に対して探査通知を転送します。「発信源探査」の結果には各下位ドメインの機密情報やプライバシー情報が含まれます。InterTrackでは第三者による詳細情報の悪用を避けるため、DTMは探査結果を返さなくてよいという形にしています。
次回は実装と実験内容を紹介
さて、今回はネットワークをまたがるトレースバックの難しさと、その課題を解決するInterTrackの概要と処理の流れについて説明しました。
次回はInterTrackの実装について解説し、委託研究コンソーシアムで実施予定の実証実験に関して紹介したいと思います。
【参考文献】
「Telecom-ISAC Japan トレースバック研究ポータルサイト」(https://www.telecom-isac.jp/tb/)(アクセス:2009/01)
Hiroaki Hazeyama~et.al 「An autonomous architecture for inter-domain traceback across the borders of network operation.」In Proceedings of 11th IEEE Symposium on Computers and Communications (ISCC '06), pp. 378-385, June 2006.
