JP6497782B2 - 試験装置、試験方法および試験プログラム - Google Patents
試験装置、試験方法および試験プログラム Download PDFInfo
- Publication number
- JP6497782B2 JP6497782B2 JP2016082838A JP2016082838A JP6497782B2 JP 6497782 B2 JP6497782 B2 JP 6497782B2 JP 2016082838 A JP2016082838 A JP 2016082838A JP 2016082838 A JP2016082838 A JP 2016082838A JP 6497782 B2 JP6497782 B2 JP 6497782B2
- Authority
- JP
- Japan
- Prior art keywords
- response
- authentication
- test
- packet
- security system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、試験装置、試験方法および試験プログラムに関する。
従来、機器に対し負荷を印加するためのパケットを送信し、パケット負荷試験を実施する方式が提案されている(例えば、非特許文献1)。
IXIA, "Denial of Service (DOS) Testing"
しかしながら、従来の方式には、認証のための応答要求を行う機器に対し、パケット負荷試験が行えないという問題があった。
例えば、DDoS攻撃ツールの進化にともない、DDoS対策製品等のセキュリティ機器は、TCP認証、HTTP認証、チャレンジレスポンス認証等の多段階防御機能の実装により、複数の認証でサーバを防御するように高度化してきている。
このようなセキュリティ機器またはサーバに対してパケット負荷試験を行う場合、従来の方式では、認証のための応答要求に応答がない場合、負荷を印加するためのパケットが廃棄され、目的とする試験を行うことができないことがあった。
本発明の試験装置は、防御対象の装置宛てに送信されたパケットの認証を行うセキュリティシステムによって防御された装置に対し、処理負荷を増加させる攻撃パケットを送信する送信部と、前記セキュリティシステムによって行われる前記攻撃パケットの認証に対応した応答要求を受信し、受信した応答要求を識別し、識別した応答要求に対し、前記攻撃パケットが前記セキュリティシステムによって正当なものであると認証されるように応答を行う応答部と、前記応答部の応答により前記セキュリティシステムによって正当なものであると認証された前記攻撃パケットが送信された前記セキュリティシステムまたは前記装置の処理負荷の状況を監視する監視部と、を有することを特徴とする。
また、本発明の試験方法は、試験装置によって実行される試験方法であって、防御対象の装置宛てに送信されたパケットの認証を行うセキュリティシステムによって防御された装置に対し、処理負荷を増加させる攻撃パケットを送信する送信工程と、前記セキュリティシステムによって行われる前記攻撃パケットの認証に対応した応答要求を受信し、受信した応答要求を識別し、識別した応答要求に対し、前記攻撃パケットが前記セキュリティシステムによって正当なものであると認証されるように応答を行う応答工程と、前記応答工程の応答により前記セキュリティシステムによって正当なものであると認証された前記攻撃パケットが送信された前記セキュリティシステムまたは前記装置の処理負荷の状況を監視する監視工程と、を含んだことを特徴とする。
また、本発明の試験プログラムは、防御対象の装置宛てに送信されたパケットの認証を行うセキュリティシステムによって防御された装置に対し、処理負荷を増加させる攻撃パケットを送信する送信ステップと、前記セキュリティシステムによって行われる前記攻撃パケットの認証に対応した応答要求を受信し、受信した応答要求を識別し、識別した応答要求に対し、前記攻撃パケットが前記セキュリティシステムによって正当なものであると認証されるように応答を行う応答ステップと、前記応答ステップの応答により前記セキュリティシステムによって正当なものであると認証された前記攻撃パケットが送信された前記セキュリティシステムまたは前記装置の処理負荷の状況を監視する監視ステップと、をコンピュータに実行させる。
本発明によれば、認証のための応答要求を行う機器に対し、パケット負荷試験を行うことができる。
以下に、本願に係る試験装置、試験方法および試験プログラムの実施形態を図面に基づいて詳細に説明する。なお、この実施形態により本発明が限定されるものではない。
[第1の実施形態の構成]
まず、図1を用いて、第1の実施形態に係る試験装置を有するネットワークの構成について説明する。図1は、第1の実施形態に係る試験装置を有するネットワークの構成の一例を示す図である。
まず、図1を用いて、第1の実施形態に係る試験装置を有するネットワークの構成について説明する。図1は、第1の実施形態に係る試験装置を有するネットワークの構成の一例を示す図である。
図1に示すように、ネットワーク1は、試験装置10a〜10d、および試験対象システム20を有する。また、試験対象システム20は、ネットワーク装置21、セキュリティ装置22、サーバ23および24を有する。ネットワーク1の各システム、および各装置は、例えば、有線または無線のLAN(Local Area Network)やVPN(Virtual Private Network)等の任意の種類の通信網によって接続されている。
なお、試験装置10b〜10dは、いずれも試験装置10aと同じ機能を有する装置である。試験装置10aは、試験パケット送受信機能、モニタリング機能および管理機能を有する。
試験パケット送受信機能は、セキュリティ耐性試験のための攻撃パケットを試験対象システム20に含まれる各装置に対し送信し、攻撃パケットに対して試験対象システム20から送信されるパケットを受信する機能である。また、モニタリング機能は、試験対象システム20の各装置の負荷の状況を監視する機能である。また、管理機能は、試験パケット送受信機能およびモニタリング機能に関する設定や、情報の取得および分析を行う機能である。
例えば、図1の例では、試験装置10aによって管理機能が実行され、試験装置10bおよび10cによって試験パケット送受信機能が実行され、試験装置10dによってモニタリング機能が実行される。なお、例えば、試験装置10aによって、試験パケット送受信機能、モニタリング機能および管理機能のすべての機能が実行されるようにしてもよい。また、例えば、管理機能を実行する試験装置10aと、試験パケット送受信機能やモニタリング機能を実行する試験装置10b〜10dとの間における通信には、ネットワーク1内で用いられるHTTPやHTTPS等のプロトコルが用いられる。
ここで、図2を用いて、試験装置10aについて説明する。なお、試験装置10b〜10dの構成は、試験装置10aの構成と同様である。図2は、第1の実施形態に係る試験装置の構成の一例を示す図である。図2に示すように、試験装置10aは、インタフェース部11、制御部12および記憶部13を有する。
インタフェース部11は、他の装置との間で通信制御を行うインタフェースである。例えば、インタフェース部11は、ネットワークを介して他の装置との間でパケットの送受信を行う。また、インタフェース部11は、例えばLANカード等のネットワークインタフェースカードである。
インタフェース部11は、試験パケット用インタフェース111、モニタリング用インタフェース112および管理用インタフェース113を有する。試験パケット用インタフェース111は、試験パケット送受信機能の実行にともなうパケットの送受信を行う。また、モニタリング用インタフェース112は、試験装置10aのモニタリング機能の実行にともなうパケットの送受信を行う。また、管理用インタフェース113は、試験装置10aの管理機能の実行にともなうパケットの送受信を行う。
制御部12は、試験装置10a全体を制御する。制御部12は、例えば、CPU(Central Processing Unit)、MPU(Micro Processing Unit)等の電子回路や、ASIC(Application Specific Integrated Circuit)、FPGA(Field Programmable Gate Array)等の集積回路である。また、制御部12は、各種の処理手順を規定したプログラムや制御データを格納するための内部メモリを有し、内部メモリを用いて各処理を実行する。また、制御部12は、各種のプログラムが動作することにより各種の処理部として機能する。例えば、制御部12は、試験パケット送受信部121、モニタリング部122および管理部123を有する。なお、モニタリング部122は、監視部の一例である。
送信部125は、防御対象の装置宛てに送信されたパケットの認証を行うセキュリティ装置22によって防御されたサーバ23に対し、処理負荷を増加させる攻撃パケットを送信する。また、応答部126は、セキュリティ装置22によって行われる認証に対応した応答要求を受信し、受信した応答要求を識別し、識別した応答要求に適合する応答、すなわち攻撃パケットがセキュリティ装置22によって正当なものであると認証されるような応答を行う。また、モニタリング部122は、セキュリティ装置22によって正当なものであると認証された攻撃パケットが送信されたセキュリティ装置22またはサーバ23の処理負荷の状況を監視する。
また、応答部126は、セキュリティ装置22によって段階的に行われる認証のうち任意の段階までの認証に対応した応答要求を受信するたびに、受信した応答要求を識別し、識別した応答要求に適合する応答、すなわち攻撃パケットが前記セキュリティシステムによって正当なものであると認証されるような応答を行う。
また、応答部126は、TCP認証、HTTP認証およびチャレンジレスポンス認証のいずれかに対応した応答要求を受信した場合、受信した応答要求の種別として、TCP認証、HTTP認証およびチャレンジレスポンス認証のいずれに対応した応答要求であるかを識別する。
記憶部13は、HDD(Hard Disk Drive)、SSD(Solid State Drive)、光ディスク等の記憶装置である。なお、記憶部13は、RAM(Random Access Memory)、フラッシュメモリ、NVSRAM(Non Volatile Static Random Access Memory)等のデータを書き換え可能な半導体メモリであってもよい。記憶部13は、制御部12で実行されるOS(Operating System)や各種プログラムを記憶する。さらに、記憶部13は、プログラムの実行で用いられる各種情報を記憶する。
試験装置10a〜10dによれば、試験対象システム20に含まれる各装置のパケット負荷試験を行うことができる。ここで、セキュリティ装置22およびサーバ23のパケット負荷試験を行う場合を例に挙げて、試験装置10a〜10dによるパケット負荷試験について説明する。
まず、図3を用いて多段階防御機能について説明する。図3は、多段階防御機能について説明するための図である。図3に示すように、サーバ23にパケットを送信する場合、セキュリティ装置22による複数の段階の認証が行われる必要がある。セキュリティ装置22は、例えば、TCP認証、HTTP認証、およびチャレンジレスポンス認証を行う。
例えば、セキュリティ装置22は、サーバ23に対するパケットの送信を検知した場合、当該パケットに対し各段階の認証に対応した応答要求を行う。このとき、パケットの送信元が人によって操作される一般ブラウザであって、操作した人によって応答要求に適合した応答が行われれば、セキュリティ装置22は、パケットを認証し通過させる。
一方、送信されたパケットが、詐称した送信元によるSYN Flood攻撃を目的としたものである場合、セキュリティ装置22は、TCP認証の段階で当該パケットを廃棄する。このため、サーバ23のパケット負荷試験を目的とした攻撃ツールによってパケットが送信された場合であっても、セキュリティ装置22は所定の段階で当該パケットの送信が攻撃であることを検知し、当該パケットを廃棄する。
これにより、従来のパケット負荷試験を目的とした攻撃ツールでは、サーバ23やセキュリティ装置22のパケット負荷試験を行うことが難しかった。これに対し、第1の実施形態に係る試験装置によれば、サーバ23やセキュリティ装置22のパケット負荷試験を行うことが可能である。
ここで、図4を用いて、試験装置10a〜10dがサーバ23またはセキュリティ装置22のパケット負荷試験を行う場合の動作について説明する。図4は、第1の実施形態に係る試験装置によるパケット負荷試験について説明するためのシーケンス図である。図4の例では、試験装置10aが管理機能を実行し、試験装置10bが試験パケット送受信機能を実行することとする。
まず、試験装置10aは、攻撃パケットおよびモニタリングの設定を行う(ステップS201)。このとき、試験装置10aは、攻撃パケットとして、例えば大量HTTP GET攻撃、または大量HTTP POST攻撃を行うパケットを送信するように試験装置10bの設定を行う。また、試験装置10aは、モニタリングとして、例えばサーバ23のpingやtracebackへの応答確認、またはHTTP応答確認を行うように試験装置10bの設定を行う。
そして、試験装置10bの送信部125は、試験パケット用インタフェース111から攻撃パケットを送信する(ステップS202)。このとき、まず、送信部125は、サーバ23との間にTCPコネクションを確立するために、サーバ23のIPアドレスである10.0.0.1にTCP SYNパケットを送信する。
これに対し、セキュリティ装置22は、サーバ23宛てに送信されたSYNパケットが攻撃パケットであるか否かを判定するため、TCP認証応答要求を行う(ステップS203)。なお、TCPコネクションが確立される場合、SYNパケットの送信元に対してはSYN/ACKパケットが送信される。
ここで、例えば、攻撃ツールは、SYNパケットに対して不当なパケットが送信されてきた場合であっても、不当なパケットに適合した応答を行わず、再びSYNパケットを送信するといった行動を取ることが知られている。そこで、TCP認証を行う場合、セキュリティ装置22は、例えば、Cookieを入れたSYN/ACKパケット、不当なACK Sequenceナンバーを入れたSYN/ACKパケット、ACKパケット、RSTパケット等の不当なパケットを試験装置10bに送信する。そして、セキュリティ装置22は、送信した不当なパケットに適合した応答が返ってきた場合、TCP認証を通過させる。
ここで、応答部126は、セキュリティ装置22に対し、TCP認証応答要求に適合した応答を行う(ステップS204)。例えば、応答部126は、SYNパケットに対しCookieを入れたSYN/ACKパケットが送信されてきた場合、当該パケットがCookieを入れたSYN/ACKパケットであることを識別する。そして、応答部126は、当該Cookieの内容に基づいたSequenceナンバーを設定したACKパケットをセキュリティ装置22に送信する。なお、SYN Flood攻撃を目的とした攻撃ツールは、セキュリティ装置22からCookieを入れたSYN/ACKパケットが送信されてきた場合であっても、何も応答しないことが考えられる。
これにより、試験装置10bは、サーバ23との間でTCPコネクションを確立させることができ、送信部125によって送信された攻撃パケットがTCP認証段階で廃棄されることを防止することができる。そして、試験装置10bは、TCP認証より先の段階の認証を行う際のセキュリティ装置22や、サーバ23を対象にパケット負荷試験を行うことができる。
TCPコネクションが確立されると、送信部125は、サーバ23宛てにHTTP GETリクエストパケットを送信する。セキュリティ装置22は、サーバ23宛てに送信されたHTTP GETリクエストパケットが攻撃パケットであるか否かを判定するため、HTTP RedirectによるHTTP認証応答要求を行う(ステップS205)。
HTTP RedirectによるHTTP認証を行う場合、セキュリティ装置22は、例えば、試験装置10bに対し、HTTP Status Code 301、302、303、307等のリダイレクト応答を行う。そして、セキュリティ装置22は、リダイレクト応答に適合した応答が返ってきた場合、HTTP Redirectによる認証を通過させる。
ここで、応答部126は、セキュリティ装置22に対し、HTTP RedirectによるHTTP認証に適合した応答を行う(ステップS206)。例えば、応答部126は、セキュリティ装置22からの応答がリダイレクト応答であることを識別する。そして、応答部126は、リダイレクト応答のLocationヘッダで示されるURI(Uniform Resource Identifier)等の値に指定されたリダイレクト先にGETリクエストパケットを送信する。なお、リダイレクト応答に適合した応答を行わない攻撃ツールは、Locationヘッダを参照せず、リダイレクト先にGETリクエストパケットを送信しないことが考えられる。
さらに、セキュリティ装置22は、サーバ23宛てに送信されたHTTP GETリクエストパケットが攻撃パケットであるか否かを判定するため、HTTP CookieやJavaScript(登録商標)によるHTTP認証応答要求を行う(ステップS207)。
HTTP CookieやJavaScriptによるHTTP認証を行う場合、セキュリティ装置22は、例えば、試験装置10bに対し、JavaScriptで記述したプログラムによって、Cookieの記載内容を読み取り、読み取った結果を返す処理を実行することを要求する。そして、セキュリティ装置22は、所定時間内に当該プログラムの実行結果が返ってきた場合、HTTP Redirectによる認証を通過させる。
ここで、応答部126は、セキュリティ装置22に対し、HTTP CookieやJavaScriptによるHTTP認証に適合した応答を行う(ステップS208)。例えば、応答部126は、セキュリティ装置22から送信されたデータが、JavaScriptの実行命令であることを識別する。そして、応答部126は、JavaScriptで記述されたプログラムを実行した結果得られるCookieの記載内容をセキュリティ装置22に通知する。なお、JavaScriptおよびCookieによるHTTP認証に適合した応答を行わない攻撃ツールは、HTTP CookieやJavaScriptによるHTTP認証に対し何も応答しないことが考えられる。
これにより、試験装置10bは、HTTP認証を通過することができ、送信部125によって送信された攻撃パケットがHTTP認証段階で廃棄されることを防止することができる。そして、試験装置10bは、HTTP認証より先の段階の認証を行う際のセキュリティ装置22や、サーバ23を対象にパケット負荷試験を行うことができる。
さらに、HTTP認証がされた場合、送信部125は、サーバ23宛てにHTTP POSTリクエストパケットを送信する。セキュリティ装置22は、サーバ23宛てに送信されたHTTP POSTリクエストパケットが攻撃パケットであるか否かを判定するため、チャレンジレスポンス認証応答要求を行う(ステップS209)。
チャレンジレスポンス認証を行う場合、セキュリティ装置22は、例えば、試験装置10bに対し、所定経路上におけるマウス移動やCAPTCHA(Completely Automated Public Turing test to tell Computers and Humans Apart)を要求する。そして、セキュリティ装置22は、マウス移動やCAPTCHAに適合した応答が返ってきた場合、チャレンジレスポンス認証による認証を通過させる。
ここで、応答部126は、セキュリティ装置22に対し、チャレンジレスポンス認証に適合した応答を行う(ステップS210)。例えば、応答部126は、セキュリティ装置22によってマウス移動経路が示されていることを識別する。そして、応答部126は、マウス移動経路として示された経路を読み取り、読み取った経路に沿ってマウスを移動させた際に発生する信号と同じ信号をセキュリティ装置22に送信する。
また、応答部126は、セキュリティ装置22によってCAPTCHAが示されていることを識別する。そして、応答部126は、画像テキスト化サービスやOCR等を用いてCAPTCHAをテキスト化したデータをセキュリティ装置22に送信する。なお、チャレンジレスポンス認証に適合した応答を行わない攻撃ツールは、マウス移動やCAPTCHAによるチャレンジレスポンス認証に対し何も応答しないことが考えられる。
これにより、試験装置10bは、チャレンジレスポンス認証を通過することができ、送信部125によって送信された攻撃パケットがチャレンジレスポンス認証段階で廃棄されることを防止することができる。そして、試験装置10bは、サーバ23を対象にパケット負荷試験を行うことができる。
試験装置10bがセキュリティ装置22による各認証を通過すると、モニタリングおよび分析が行われる(ステップS300)。このとき、送信部125は、サーバ23に攻撃パケットを送信し続ける。
一方で、モニタリング部122は、サーバ23にモニタリング応答要求を行う(ステップS301)。例えば、モニタリング部122は、試験装置10aによる設定に従い、サーバ23のpingやtracebackへの応答確認、またはHTTP応答確認を行う。
そして、サーバ23は、攻撃パケットを処理しつつ(ステップS302)、モニタリング応答要求に対して応答する(ステップS303)。そして、モニタリング部122は、モニタリング用インタフェース112からモニタリング結果を試験装置10aに送信する(ステップS304)。
さらに、試験装置10aは、モニタリング結果を分析し(ステップS305)、必要に応じて試験装置10aにシナリオ変更を指示する(ステップS306)。具体的には、試験装置10aは、試験装置10bから受信したモニタリング結果と、攻撃パケットの種類や量である試験トラフィックとの相関を取りながらサーバ23の応答時間や応答内容を分析する。サーバ23の応答時間変化や応答メッセージ、応答がなくなったときの試験トラフィック内容、応答が復活したときの試験トラフィック内容等を時系列で記録・分析し、処理負荷が高い機能を把握する。
シナリオ変更として、例えば、管理部123は、セキュリティ装置22またはサーバ23の処理負荷の状況に応じて、送信部125によって送信される攻撃パケットの量を変化させる。具体的には、管理部123は、セキュリティ装置22またはサーバ23の処理負荷が所定以上である場合、セキュリティ装置22またはサーバ23に送信部125によって送信される攻撃パケットの量を増加させる。
そして、処理負荷が高い機能を把握するとともに、試験トラフィックのシナリオを変化させ、そのときのサーバ23の応答時間変化や応答メッセージ、応答がなくなったときの試験トラフィック内容、応答が復活したときの試験トラフィック内容から処理負荷が高い機能の負荷が最大になる試験トラフィック条件を抽出する。
なお、試験装置10aおよび10bは、サーバ23以外の機器を含めた複数の試験対象機器について試験および分析を行い、試験対象機器の中から処理負荷が高い機器を把握するようにしてもよい。
例えば、試験装置10bがHTTP GET攻撃パケット量を増加させていくと、サーバ23の処理負荷が増加するとともにHTTP応答時間が増加していく。そして、試験装置10aは、サーバ23がサーバに接続できたもののウェブページを表示できないHTTP 404エラー応答を行うようになった時点の攻撃パケット量、およびサーバ23が応答することができなくなった時点の攻撃パケット量を記録する。これにより、サーバ23のHTTP GET攻撃への耐性を把握することができる。
また、HTTP GET攻撃パケットの量が増加すると、セキュリティ装置22が攻撃を検出して、当該攻撃パケットを廃棄し、サーバ23の処理負荷の増加が止まることがある。このとき、試験装置10aは、モニタリング結果から、サーバ23への攻撃パケットを増加させても、サーバ23の処理負荷が増加しないことを把握する。
さらに、試験装置10bだけでなく、試験装置10cおよび10dを含めた複数の試験装置から、サーバ23に対し、複数クエリのサービス不能攻撃パケット等をシナリオに沿って送信するようにしてもよい。これにより、送信元IPアドレス単位の攻撃対策やキャッシュ等の対策有効度を調査し、さらにモニタリングを行うことで、サービス不能になる限界、ボトルネック、およびそのときの試験トラフィックパターン等を把握することができる。
例えば、セキュリティ装置22が、送信元IPアドレス単位の攻撃元フィルタリングとして、試験装置10bのIPアドレスフィルタリングを行った場合、攻撃元と判定された試験装置10bからのモニタリング結果には、サーバ23からの応答が含まれなくなる。一方、試験装置10cおよび10dは、セキュリティ装置22からフィルタリングされていないため、試験装置10cおよび10dからのモニタリング結果には、サーバ23からの応答が含まれる。
例えば、試験装置10b〜10dからモニタリング結果を受信した試験装置10aは、試験装置10bからの攻撃パケット送信およびモニタリングが不可能になったことと、試験装置10cおよび10dからの攻撃パケット送信およびモニタリングは有効であること、HTTP GET攻撃の攻撃パケットを増加させてもサーバ23の処理負荷の増加は止まっていることを把握する。
このとき、試験装置10aは、試験装置10bによるモニタリングのみサーバ23からの応答がないことから、試験装置10bがフィルタリングされていると推定する。また、HTTP GET攻撃パケットを増加させてもサーバ23の処理負荷の増加は止まっていることより、セキュリティ装置22等で当該攻撃パケットは廃棄されていると推定する。
ここで、試験装置10aは、HTTP GET攻撃から他の攻撃種類にシナリオを変化させ、また、フィルタリングされていない試験装置10cおよび10dから攻撃パケットを送信させ、サーバ23のセキュリティ耐性調査やボトルネック調査を行う。
これにより、複数の試験装置からのモニタリングによるサーバ23の応答が異なる原因が、ネットワーク装置21、セキュリティ装置22、もしくはサーバ23自身による試験装置へのフィルタ設定によるものであるのか、またはサーバ23の負荷によるものであるのかを判定する。
なお、試験装置10bは、認証を途中で中止し、セキュリティ装置22の任意の認証段階の処理に対する負荷試験を行うようにしてもよい。例えば、試験装置10bは、セキュリティ装置22によるTCP認証応答要求に対して適合する応答を行い、その後、セキュリティ装置22によるHTTP認証応答要求に対して適合する応答を行わないようにしてもよい。これにより、試験装置10bは、セキュリティ装置22のHTTP認証段階の処理に対する負荷試験を行うことができる。同様に、試験装置10bは、セキュリティ装置22の各認証段階について負荷試験を行うことで、ボトルネックとなる認証段階を特定することができる。
[第1の実施形態の処理]
図5および6を用いて、試験装置10aの処理の流れについて説明する。図5および6は、第1の実施形態に係る試験装置の処理の流れを示すフローチャートである。まず、図5に示すように、送信部125は、試験対象機器に攻撃パケットを送信する(ステップS11)。そして、応答部126は、攻撃パケットの送信に対する認証として要求された応答要求に適合する応答を行う(ステップS12)。
図5および6を用いて、試験装置10aの処理の流れについて説明する。図5および6は、第1の実施形態に係る試験装置の処理の流れを示すフローチャートである。まず、図5に示すように、送信部125は、試験対象機器に攻撃パケットを送信する(ステップS11)。そして、応答部126は、攻撃パケットの送信に対する認証として要求された応答要求に適合する応答を行う(ステップS12)。
応答部126による応答によって、目的の段階まで認証がされるまで、応答部126は応答要求に対して応答を行う(ステップS13、No)。そして、応答部126による応答によって、目的の段階まで認証がされた場合(ステップS13、Yes)、モニタリング部122および管理部123は、モニタリングおよび分析を行う(ステップS14)。
図6を用いて、モニタリング部122および管理部123によるモニタリングおよび分析の処理の流れについて説明する。図6に示すように、モニタリング部122は、攻撃パケットを受信している試験対象機器の処理負荷をモニタリングする(ステップS141)。このとき、モニタリング部122は、試験対象機器の処理負荷が所定以上となるまでモニタリングを続ける(ステップS142、No)。そして、試験対象機器の処理負荷が所定以上となった場合(ステップS142、Yes)、管理部123は、試験のシナリオを変更する(ステップS143)。
モニタリング部122は、さらに試験対象機器の処理負荷をモニタリングする(ステップS144)。管理部123は、モニタリング結果を分析し(ステップS145)、所定の条件が満たされた場合、分析を完了する(ステップS146、Yes)。例えば、試験対象機器からの応答がなくなった場合、管理部123は分析を完了する。所定の条件が満たされ分析が完了するまで(ステップS146、No)、モニタリング部122はモニタリングを続ける(ステップS144)。
[第1の実施形態の効果]
送信部125は、防御対象の装置宛てに送信されたパケットの認証を行うセキュリティ装置22によって防御されたサーバ23に対し、処理負荷を増加させる攻撃パケットを送信する。また、応答部126は、セキュリティ装置22によって行われる認証に対応した応答要求を受信し、受信した応答要求を識別し、識別した応答要求に適合する応答、すなわち攻撃パケットがセキュリティ装置22によって正当なものであると認証されるような応答を行う。また、モニタリング部122は、セキュリティ装置22によって正当なものであると認証された攻撃パケットが送信されたセキュリティ装置22またはサーバ23の処理負荷の状況を監視する。
このように、第1の実施形態に係る試験装置によれば、認証に対応した応答要求に適した応答を行うことで認証を通過したうえで、試験対象の機器に負荷を印加し、セキュリティ耐性の試験を行うことが可能となる。また、複数の段階の認証や複数の機器を試験対象とすることで、ボトルネックを特定することが可能となる。
また、応答部126は、セキュリティ装置22によって段階的に行われる認証のうち任意の段階までの認証に対応した応答要求を受信するたびに、受信した応答要求を識別し、識別した応答要求に適合する応答、すなわち攻撃パケットが前記セキュリティシステムによって正当なものであると認証されるような応答を行う。これにより、セキュリティ装置22の任意の段階の試験を行うことが可能となる。
また、応答部126は、TCP認証、HTTP認証およびチャレンジレスポンス認証のいずれかに対応した応答要求を受信した場合、受信した応答要求の種別として、TCP認証、HTTP認証およびチャレンジレスポンス認証のいずれに対応した応答要求であるかを識別する。これにより、種別が異なる複数の認証が行われる場合であっても、試験を行うことが可能となる。
送信部125は、Webサーバであるサーバ23に、攻撃パケットとともに、Webブラウザの操作により発生するパケットを送信する。これにより、実際に攻撃が行われる場合に近い状況での試験を行うことが可能となる。
管理部123は、セキュリティ装置22またはサーバ23の処理負荷の状況に応じて、送信部125によって送信される攻撃パケットの量を変化させる。試験対象機器の処理負荷に応じた動作を把握することが可能となる。
管理部123は、セキュリティ装置22またはサーバ23の処理負荷が所定以上である場合、セキュリティ装置22またはサーバ23に送信部125によって送信される攻撃パケットの量を増加させる。これにより、試験対象機器の処理負荷の限界を把握することが可能となる。
[その他の実施形態]
サーバ23がWebサーバである場合、送信部125は、サーバ23に、攻撃パケットとともに、Webブラウザの操作により発生するパケットを送信してもよい。具体的に、送信部125は、一般ユーザが通常用いるブラウザを用いてサーバ23に対して正常な通信を実施するとともに、通常のブラウザを用いたTCPおよびHTTP/HTTPSに対するサービス不能攻撃パケットを送信してもよい。これにより、サーバ23のサービス不能攻撃対策機能やHTTP/HTTPSトラフィック処理性能、サービス不能攻撃耐性とボトルネックを調査することができる。
サーバ23がWebサーバである場合、送信部125は、サーバ23に、攻撃パケットとともに、Webブラウザの操作により発生するパケットを送信してもよい。具体的に、送信部125は、一般ユーザが通常用いるブラウザを用いてサーバ23に対して正常な通信を実施するとともに、通常のブラウザを用いたTCPおよびHTTP/HTTPSに対するサービス不能攻撃パケットを送信してもよい。これにより、サーバ23のサービス不能攻撃対策機能やHTTP/HTTPSトラフィック処理性能、サービス不能攻撃耐性とボトルネックを調査することができる。
また、サーバ23がDNSサーバ等のWebサーバ以外のサーバである場合や、ネットワーク装置21やセキュリティ装置22に対する調査を行う場合、試験装置10aは、試験対象機器がサービスしているプロトコル、アプリケーションに従ったサービス不能攻撃パケットと正常パケットを送信する。このとき、セキュリティ装置22がTCP再送要求等のDNS認証等の要求を送信する場合があるが、試験装置10aは、要求に従ったパケットを送信する。これにより、追加の認証が行われる場合であっても、試験対象機器のセキュリティ耐性調査やボトルネック調査を進めることができる。
[システム構成等]
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、本実施形態において説明した各処理のうち、自動的に行われるものとして説明した処理の全部または一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部または一部を公知の方法で自動的に行うこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
[プログラム]
一実施形態として、試験装置は、パッケージソフトウェアやオンラインソフトウェアとして上記の試験を実行する試験プログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記の試験プログラムを情報処理装置に実行させることにより、情報処理装置を試験装置として機能させることができる。ここで言う情報処理装置には、デスクトップ型またはノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)等の移動体通信端末、さらには、PDA(Personal Digital Assistant)等のスレート端末等がその範疇に含まれる。
一実施形態として、試験装置は、パッケージソフトウェアやオンラインソフトウェアとして上記の試験を実行する試験プログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記の試験プログラムを情報処理装置に実行させることにより、情報処理装置を試験装置として機能させることができる。ここで言う情報処理装置には、デスクトップ型またはノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)等の移動体通信端末、さらには、PDA(Personal Digital Assistant)等のスレート端末等がその範疇に含まれる。
また、試験装置は、ユーザが使用する端末装置をクライアントとし、当該クライアントに上記の試験に関するサービスを提供するサーバ装置として実装することもできる。例えば、試験装置は、試験対象システムの情報を入力とし、試験結果を出力とする試験サービスを提供するサーバ装置として実装される。この場合、試験装置は、Webサーバとして実装することとしてもよいし、アウトソーシングによって上記の試験に関するサービスを提供するクラウドとして実装することとしてもかまわない。
図7は、プログラムが実行されることにより試験装置が実現されるコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011およびRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1100に挿入される。シリアルポートインタフェース1050は、例えばマウス1110、キーボード1120に接続される。ビデオアダプタ1060は、例えばディスプレイ1130に接続される。
ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、試験装置の各処理を規定するプログラムは、コンピュータにより実行可能なコードが記述されたプログラムモジュール1093として実装される。プログラムモジュール1093は、例えばハードディスクドライブ1090に記憶される。例えば、試験装置における機能構成と同様の処理を実行するためのプログラムモジュール1093が、ハードディスクドライブ1090に記憶される。なお、ハードディスクドライブ1090は、SSDにより代替されてもよい。
また、上述した実施形態の処理で用いられる設定データは、プログラムデータ1094として、例えばメモリ1010やハードディスクドライブ1090に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して実行する。
なお、プログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、プログラムモジュール1093およびプログラムデータ1094は、ネットワーク(LAN、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶されてもよい。そして、プログラムモジュール1093およびプログラムデータ1094は、他のコンピュータから、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
1 ネットワーク
10a、10b、10c、10d 試験装置
11 インタフェース部
12 制御部
13 記憶部
20 試験対象システム
21 ネットワーク装置
22 セキュリティ装置
23、24 サーバ
111 試験パケット用インタフェース
112 モニタリング用インタフェース
113 管理用インタフェース
121 試験パケット送受信部
122 モニタリング部
123 管理部
125 送信部
126 応答部
10a、10b、10c、10d 試験装置
11 インタフェース部
12 制御部
13 記憶部
20 試験対象システム
21 ネットワーク装置
22 セキュリティ装置
23、24 サーバ
111 試験パケット用インタフェース
112 モニタリング用インタフェース
113 管理用インタフェース
121 試験パケット送受信部
122 モニタリング部
123 管理部
125 送信部
126 応答部
Claims (8)
- 防御対象の装置宛てに送信されたパケットの認証を行うセキュリティシステムによって
防御された装置に対し、処理負荷を増加させる攻撃パケットを送信する送信部と、
前記セキュリティシステムによって行われる複数の段階の認証のうち、所定の段階の認
証までの応答要求に対し、前記攻撃パケットが前記セキュリティシステムによって正当な
ものであると認証されるように応答を行う応答部と、
前記所定の段階における、前記攻撃パケットが送信された前記セキュリティシステムの
処理負荷の状況を監視し、前記攻撃パケットの種類および量と、前記処理負荷の状況との相関を分析し、処理負荷が高い認証機能を把握する監視部と、
を有することを特徴とする試験装置。 - 前記応答部は、前記所定の段階までの認証に対応した応答要求を受信するたびに、受信
した応答要求を識別し、識別した応答要求に対し、前記攻撃パケットが前記セキュリティ
システムによって正当なものであると認証されるように応答を行うことを特徴とする請求
項1に記載の試験装置。 - 前記応答部は、TCP認証、HTTP認証およびチャレンジレスポンス認証のいずれか
に対応した応答要求を受信した場合、受信した応答要求の種別として、TCP認証、HT
TP認証およびチャレンジレスポンス認証のいずれに対応した応答要求であるかを識別し
、識別した種別の認証において正当なものであると認証されるように応答を行うことを特
徴とする請求項2に記載の試験装置。 - 前記送信部は、Webサーバである前記装置に、前記攻撃パケットとともに、Webブ
ラウザの操作により発生するパケットを送信することを特徴とする請求項1に記載の試験
装置。 - 前記セキュリティシステムの処理負荷の状況に応じて、前記送信部によって送信される
前記攻撃パケットの量を変化させる管理部をさらに有することを特徴とする請求項1に記
載の試験装置。 - 前記管理部は、前記セキュリティシステムの処理負荷が所定以上である場合、前記セキ
ュリティシステムに前記送信部によって送信される前記攻撃パケットの量を増加させるこ
とを特徴とする請求項5に記載の試験装置。 - 試験装置によって実行される試験方法であって、
防御対象の装置宛てに送信されたパケットの認証を行うセキュリティシステムによって
防御された装置に対し、処理負荷を増加させる攻撃パケットを送信する送信工程と、
前記セキュリティシステムによって行われる複数の段階の認証のうち、所定の段階の認
証までの応答要求に対し、前記攻撃パケットが前記セキュリティシステムによって正当な
ものであると認証されるように応答を行う応答工程と、
前記所定の段階における、前記攻撃パケットが送信された前記セキュリティシステムの
処理負荷の状況を監視し、前記攻撃パケットの種類および量と、前記処理負荷の状況との相関を分析し、処理負荷が高い認証機能を把握する監視工程と、
を含んだことを特徴とする試験方法。 - 防御対象の装置宛てに送信されたパケットの認証を行うセキュリティシステムによって
防御された装置に対し、処理負荷を増加させる攻撃パケットを送信する送信ステップと、
前記セキュリティシステムによって行われる複数の段階の認証のうち、所定の段階の認
証までの応答要求に対し、前記攻撃パケットが前記セキュリティシステムによって正当な
ものであると認証されるように応答を行う応答ステップと、
前記所定の段階における、前記攻撃パケットが送信された前記セキュリティシステムの
処理負荷の状況を監視し、前記攻撃パケットの種類および量と、前記処理負荷の状況との相関を分析し、処理負荷が高い認証機能を把握する監視ステップと、
をコンピュータに実行させるための試験プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016082838A JP6497782B2 (ja) | 2016-04-18 | 2016-04-18 | 試験装置、試験方法および試験プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016082838A JP6497782B2 (ja) | 2016-04-18 | 2016-04-18 | 試験装置、試験方法および試験プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2017195432A JP2017195432A (ja) | 2017-10-26 |
| JP6497782B2 true JP6497782B2 (ja) | 2019-04-10 |
Family
ID=60156149
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2016082838A Active JP6497782B2 (ja) | 2016-04-18 | 2016-04-18 | 試験装置、試験方法および試験プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6497782B2 (ja) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7222260B2 (ja) * | 2019-02-07 | 2023-02-15 | 日本電信電話株式会社 | 試験装置 |
| CN110380932B (zh) * | 2019-07-17 | 2021-11-12 | 中国工商银行股份有限公司 | 用于安全设备的测试方法和装置、以及测试系统 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005184471A (ja) * | 2003-12-19 | 2005-07-07 | Fujitsu Ltd | 通信機器の負荷計測方法及び装置 |
| JP5488305B2 (ja) * | 2010-07-28 | 2014-05-14 | 富士通株式会社 | 試験プログラム、試験装置、および試験方法 |
| JPWO2014045417A1 (ja) * | 2012-09-21 | 2016-08-18 | 富士通株式会社 | 情報処理装置、および負荷試験方法 |
-
2016
- 2016-04-18 JP JP2016082838A patent/JP6497782B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2017195432A (ja) | 2017-10-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5886422B2 (ja) | プロトコルフィンガープリント取得および評価相関のためのシステム、装置、プログラム、および方法 | |
| Izhikevich et al. | {LZR}: Identifying unexpected internet services | |
| US9124626B2 (en) | Firewall based botnet detection | |
| EP3108401B1 (en) | System and method for detection of malicious hypertext transfer protocol chains | |
| Alzahrani et al. | Generation of DDoS attack dataset for effective IDS development and evaluation | |
| WO2017139489A1 (en) | Automated honeypot provisioning system | |
| JP2019021294A (ja) | DDoS攻撃判定システムおよび方法 | |
| KR101252812B1 (ko) | 네트워크 보안 장치 및 그를 이용한 패킷 데이터 처리방법 | |
| JP7388613B2 (ja) | パケット処理方法及び装置、デバイス、並びに、コンピュータ可読ストレージ媒体 | |
| JP2018026747A (ja) | 攻撃検知装置、攻撃検知システムおよび攻撃検知方法 | |
| Yamada et al. | RAT-based malicious activities detection on enterprise internal networks | |
| JP6592196B2 (ja) | 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム | |
| CN114301647A (zh) | 态势感知中漏洞信息的预测防御方法、装置及系统 | |
| Kumar et al. | Raptor: advanced persistent threat detection in industrial iot via attack stage correlation | |
| US10721148B2 (en) | System and method for botnet identification | |
| JP6497782B2 (ja) | 試験装置、試験方法および試験プログラム | |
| US11943250B2 (en) | Test device | |
| Mohammad et al. | DDoS attack mitigation using entropy in SDN-IoT environment | |
| Wibowo et al. | Smart Home Security Analysis Using Arduino Based Virtual Private Network | |
| KR20130009130A (ko) | 좀비 피씨 및 디도스 대응 장치 및 방법 | |
| Bansal et al. | Analysis and Detection of various DDoS attacks on Internet of Things Network | |
| US20230318956A1 (en) | Testing device, testing method, and testing program | |
| DeLaughter et al. | Context Matters: Accurately Measuring the Efficacy of Denial-of-Service Mitigations | |
| US10182071B2 (en) | Probabilistic tracking of host characteristics | |
| JP7318730B2 (ja) | 試験装置、試験方法および試験プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20171004 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20180809 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180821 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20181003 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20181106 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190129 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20190205 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190307 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190308 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6497782 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |