JP7472997B2 - 試験装置、試験方法および試験プログラム - Google Patents

試験装置、試験方法および試験プログラム Download PDF

Info

Publication number
JP7472997B2
JP7472997B2 JP2022553414A JP2022553414A JP7472997B2 JP 7472997 B2 JP7472997 B2 JP 7472997B2 JP 2022553414 A JP2022553414 A JP 2022553414A JP 2022553414 A JP2022553414 A JP 2022553414A JP 7472997 B2 JP7472997 B2 JP 7472997B2
Authority
JP
Japan
Prior art keywords
test
packet
test target
target device
site
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2022553414A
Other languages
English (en)
Other versions
JPWO2022070425A1 (ja
Inventor
弘 倉上
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Publication of JPWO2022070425A1 publication Critical patent/JPWO2022070425A1/ja
Application granted granted Critical
Publication of JP7472997B2 publication Critical patent/JP7472997B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/50Testing arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/028Capturing of monitoring data by filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Environmental & Geological Engineering (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Description

本発明は、試験装置、試験方法および試験プログラムに関する。
従来、機器に対し負荷を印加するためのパケットを送信し、パケット負荷試験を実施する方式が提案されている(例えば、非特許文献1参照)。また、セキュリティシステムによって防御された対象装置に対してパケット負荷試験を実施する方式が提案されている(例えば、特許文献1参照)。
特開2020-129736号公報
IXIA, "Denial of Service (DOS) Testing"、[online]、[2020年9月15日検索]、インターネット<https://support.ixiacom.com/sites/default/files/resources/test-plan/dos_0.pdf>
しかしながら、従来の方式では、試験前に試験対象サイトの構成を把握できないため、試験パケットの送出先は既知のページに限定される。その結果、試験対象サイトに弱点があったとしても効果的に抽出できないという課題があった。
上述した課題を解決し、目的を達成するために、本発明の試験装置は、試験対象装置によって管理される試験対象サイトにアクセスして該試験対象サイトに関する情報を取得し、該情報に基づいて、前記試験対象装置の処理負荷を増大させるための試験設定を特定するサイト調査部と、前記試験対象装置に対して処理負荷を増加させるための試験パケットのセッション情報を管理するセッション管理部と、前記サイト調査部によって特定された試験設定に基づき、前記試験対象装置との間でシナリオに基づいて試験セッションを構築するとともに、前記試験パケットを生成する試験シナリオ部と、前記試験対象装置に対して処理負荷を増加させる試験パケットを送信する送信部と、を有することを特徴とする。
本発明によれば、試験対象サイトの処理負荷を増大させる攻撃が成功する可能性の高いURLやクエリを設定した効果的な攻撃種類のパケットを用いて、試験対象サイトの弱点を効果的に抽出する負荷試験を自動的に実施できる。
図1は、第1の実施形態に係る試験装置を有するネットワークの構成の一例を示す図である。 図2は、第1の実施形態に係る試験装置の構成の一例を示す図である。 図3は、多段階防御機能について説明するための図である。 図4は、第1の実施形態に係る試験装置によるパケット負荷試験について説明するためのシーケンス図である。 図5は、プログラムを実行するコンピュータを示す図である。
以下に、本願に係る試験装置、試験方法および試験プログラムの実施形態を図面に基づいて詳細に説明する。なお、この実施形態により本発明が限定されるものではない。
[第1の実施形態の構成]
まず、図1を用いて、第1の実施形態に係る試験装置を有するネットワークの構成について説明する。図1は、第1の実施形態に係る試験装置を有するネットワークの構成の一例を示す図である。
図1に示すように、ネットワーク1は、試験装置10、および試験対象システム20を有する。また、試験対象システム20は、ネットワーク装置21、セキュリティ装置22、サーバ23を有する。ネットワーク1の各システム、および各装置は、例えば、有線または無線のLAN(Local Area Network)やVPN(Virtual Private Network)等の任意の種類の通信網によって接続されている。
試験装置10は、インタフェース部11、試験パケット送受信部121、サイト調査部129、ログ解析部130、モニタリング部122、管理部123および記憶部13を有する(後述する図2参照)。
試験パケット送受信部121は、セキュリティ耐性試験のための試験パケットを試験対象システム20に含まれる各装置に対し送信し、試験パケットに対して試験対象システム20から送信されるパケットを受信する。モニタリング部122は、試験対象システム20の各装置の負荷の状況を監視する。また、管理部123は、試験パケット送受信部121およびモニタリング部122に関する設定や、情報の取得および分析を行う。
例えば、図1の例では、試験装置10によって管理部123の設定により試験パケット送受信部121及びモニタリング部122が実行される。なお、例えば、試験装置10を分散させ、試験パケット送受信部121、モニタリング部122および管理部123を複数の試験装置で分散して実行されるようにしてもよい。
また、サイト調査部129は、試験パケット送受信部121が試験パケットを送出する前に、試験対象システム20に対してWebブラウザを模擬してアクセスし、試験対象のサーバ構成を把握する。なお、サイト調査部129の処理の詳細については後述する。
ここで、図2を用いて、試験装置10について説明する。図2は、第1の実施形態に係る試験装置の構成の一例を示す図である。図2に示すように、試験装置10は、インタフェース部11、制御部12および記憶部13を有する。
インタフェース部11は、他の装置との間で通信制御を行うインタフェースである。例えば、インタフェース部11は、ネットワークを介して他の装置との間でパケットの送受信を行う。また、インタフェース部11は、例えばLANカード等のネットワークインタフェースカードである。
インタフェース部11は、試験パケット用インタフェース111、モニタリング用インタフェース112および管理用インタフェース113を有する。試験パケット用インタフェース111は、試験パケット送受信機能の実行にともなうパケットの送受信を行う。また、モニタリング用インタフェース112は、試験装置10のモニタリング部122の実行にともなうパケットの送受信を行う。また、管理用インタフェース113は、試験装置10の管理部123の実行にともなうパケットの送受信を行う。
制御部12は、試験装置10全体を制御する。例えば、制御部12は、CPU(Central Processing Unit)やMPU(Micro Processing Unit)、GPU(Graphical Processing Unit)などの電子回路やASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)などの集積回路である。制御部12は、試験パケット送受信部121、モニタリング部122、管理部123、サイト調査部129およびログ解析部130を有する。なお、モニタリング部122は、監視部の一例である。
試験パケット送受信部121は、試験シナリオ部124、応答部125、アドレス分散部126、送信部127およびセッション管理部128を有する。
セッション管理部128は、サーバ23に対して処理負荷を増加させるための試験パケットのセッション情報を管理する。具体的には、セッション管理部128は、パケットの認証を行うセキュリティ装置22によって防御された試験対象装置のサーバ23とセッションを構築するためのセッション情報を取得する。例えば、セッション管理部128は、自試験装置が複数の試験装置の代表として動作する場合には、試験対象装置のサーバ23からセッション情報を取得し、他の試験装置にセッション情報を送信し、自試験装置が代表でない場合には、代表の試験装置からセッション情報を受信する。
具体的には、セッション管理部128は、Webサーバ等の試験対象システム20との間であらかじめログイン等認証処理を行い、サーバ23から受信したパケットよりセッション情報が入ったCookieを取得する。そして、セッション管理部128は、自試験装置10が複数試験装置の代表として動作する場合は、他の複数試験装置のセッション管理部128に対してサーバ23から取得したCookieを送信する。また、セッション管理部128は、自試験装置10が複数試験装置の代表ではない場合は、代表の試験装置からCookieを受信して、送信する試験パケットに適用する。
また、セッション管理部128は、例えば、自試験装置が複数の試験装置の代表として動作する場合である場合に、セッション情報の有効期限に基づいて、該有効期限が切れる前に試験対象装置のサーバ23からセッション情報を再度取得し、他の試験装置にセッション情報を送信する。つまり、セッション管理部128は、セッション情報の有効期限に基づいて有効期限が切れる前に再度サーバ23に対してログインしてCookieを取得することにより、セッション情報の有効期限内にサーバ23へのログイン処理を最小限に抑えたうえで、ログイン後にのみ表示可能なウェブページに対して試験対象システム20から攻撃試験を実施する。
試験シナリオ部124は、サイト調査部129によって特定された試験設定に基づき、サーバ23との間でシナリオに基づいて試験セッションを構築するとともに、試験パケットを生成する。具体的には、試験シナリオ部124は、サイト調査部129によって特定された攻撃が成功する可能性の高いURL、クエリおよび攻撃種類のうち少なくとも1つを用いて、サーバ23に対してシナリオに基づいてログインや検索等を実行する試験パケットを生成するとともに、セッション情報を維持した試験パケットを送信するためにサーバ23から受信したCookieに基づいた試験パケットを生成する。
例えば、試験シナリオ部124は、スクリプト等を用いて記述されたシナリオに基づき、Webサーバ等の試験対象システム20との間でHTTP及びHTTPSのセッションを構築した上で、試験対象システム20に対して試験パケットを生成する。また、試験シナリオ部124は、ログイン情報などのセッション情報を維持した試験パケットを送信するため、サーバ23または代表の試験装置から受信したCookieに基づいた試験パケットを生成する。
また、試験シナリオ部124は、試験パケットとして、GET及びPOST Flood以外に、サーバ23への複数アカウント作成・削除、複数アカウントからの頻繁なログイン・ログアウト、頻繁な検索実行の攻撃試験を実施するだけでなく、維持したセッション上でSlow READ等のTCPヘッダを変更する攻撃試験を実施する。
応答部125は、セキュリティ装置(セキュリティシステム)22によって行われる複数の段階の認証のうち、所定の段階の認証までの応答要求に対し、試験パケットがセキュリティ装置22によって正当なものであると認証されるように応答を行う。具体的には、応答部125は、所定の段階までの認証に対応した応答要求を受信するたびに、受信した応答要求を識別し、識別した応答要求に対し、試験パケットがセキュリティシステムによって正当なものであると認証されるように応答を行う。例えば、応答部125は、セキュリティ装置22によって行われるTCP認証、HTTP認証及びチャレンジレスポンス認証に対応した応答要求を受信し、受信した応答要求を識別し、識別した応答要求に適合する応答、すなわち攻撃パケットがセキュリティ装置22によって正当なものであると認証されるような応答を行う。
アドレス分散部126は、試験パケットが複数の送信元IPアドレスを用いるようにパケットを構築する。これにより、アドレス分散部126は、あらかじめ設定されたIPアドレスのリストに基づいて、送信する試験パケットの送信元IPアドレスを分散させる。一例として、アドレス分散部126は、試験パケットとして送信されるTCP SYNパケットに対して、IPアドレスリストに基づいて異なる送信元IPアドレスを割り当て、その後の同一TCPコネクションでは同一送信元IPアドレスを用いる事で、複数のTCPコネクションに対して異なる送信元IPアドレスで通信する。
また、アドレス分散部126は、モニタリング部122から試験対象システムのパケットフィルタ閾値が通知された場合、送信元IPアドレス数を制御して試験対象システムのパケットフィルタ閾値に該当しないよう送信元IPアドレスあたりの試験パケット送信を調整する。
送信部127は、防御対象の装置宛てに送信されたパケットの認証を行うセキュリティ装置22によって防御されたサーバ23に対し、処理負荷を増加させる試験パケットを送信する。また、例えば、送信部127は、試験対象装置のサーバ23に対して、試験パケットとともに、ウェブブラウザの操作により発生するパケットを送信するようにしてもよい。
例えば、送信部127は、試験パケットを送信するにあたり、セキュリティ装置22がパケットシグネチャによるパケット廃棄機能を有している場合、ユーザエージェント等のパケット情報により一般ブラウザではないと判別して廃棄されるのを防ぐため、ユーザエージェント等のパケット情報が一般ブラウザと同じになるよう設定する。一例として、一般ブラウザのパケット送信機能を利用してもよい。
サイト調査部129は、サーバ23によって管理される試験対象サイトにアクセスして該試験対象サイトに関する情報を取得し、該情報に基づいて、サーバ23の処理負荷を増大させるための試験設定を特定する。具体的には、サイト調査部129は、試験対象サイトに対してWebブラウザを模擬してアクセスし、試験対象サイトで使用されているアプリケーションおよびファイルを含むサイト構成の情報を取得し、サーバ23の処理負荷を増大させるための試験設定として、処理負荷を増大させる攻撃が成功する可能性の高いURL、クエリおよび攻撃種類のうち少なくとも1つを特定する。
以下では、サイト調査部129がサイト構成の情報を取得する方法について具体的に説明する。まず、サイト調査部129は、例えば、応答パケットのリモートIPアドレスを抽出してDNSを逆引きし、商用クラウドサービスやセキュリティ機器のドメインか試験対象サイトのドメインかを特定する。
次に、サイト調査部129は、例えば、GETリクエストやPOSTリクエストが実施可能なURL、ファイルアップロード可能なURL、ログインユーザ毎に作成するなどのキャッシュ対象外の動的ファイルの有無を特定するとともに、応答パケットのレスポンスヘッダ内サーバ情報よりWebサーバ種類等を取得する。
そして、サイト調査部129は、例えば、Webサーバ内のファイルを特定してキャッシュされないサイズの大きなファイルを抽出し、低速回線を模擬してタイムアウト値やセッション継続時間を測定する。さらに、サイト調査部129は、例えば、ログインID・パスワード・検索ページからの応答パケットより、DNSの逆引きで他社商用サービスを利用しているか否か、パケット内容からバリデート処理内容等を特定する。これらの処理に伴う応答速度も特定する。
続いて、Webサイトの処理負荷を増大させる攻撃が成功する可能性の高いURL・クエリ・攻撃種類による試験を試験パケット送受信部121が実行できるように試験設定を試験パケット送受信部121に送信する処理について具体的に説明する。例えば、サイト調査部129は、応答パケットのリモートIPアドレスが試験対象サイトのドメインの場合、送信先IPアドレスをリモートIPアドレスにしてSYN FloodなどのHTTPを用いない大量パケット試験を実行するための試験設定が、Webサイトの処理負荷を増大させる攻撃が成功する可能性の高い攻撃種類であると特定し、該試験設定を試験パケット送受信部121に送信する。
また、例えば、サイト調査部129は、HTTPを用いた試験として、キャッシュされないサイズの大きなファイルURLに対してタイムアウト値やWebサーバ最大接続数を反映したSlow READ試験設定を試験パケット送受信部121に送信するようにしてもよい。
また、例えば、サイト調査部129は、ファイルアップロード可能なURLやPOSTが許可されたURLを攻撃が成功する可能性の高いURLとして特定し、ファイルアップロード可能なURLやPOSTが許可されたURLに対して、タイムアウト値やWebサーバ最大接続数を反映したSlow POST試験設定、POST試験設定を試験パケット送受信部121に送信する。
また、例えば、サイト調査部129は、ログインページや検索ページが存在する場合、バリデートで最も応答時間が長いクエリ条件を特定し、該クエリ条件でログイン試験設定や検索試験設定を試験パケット送受信部121に送信する。そして、サイト調査部129は、例えば、GETを許容するURLに対して、タイムアウト値やWebサーバ最大接続数を反映したSlowloris試験設定やGET試験設定を試験パケット送受信部121に送信する。
例えば、サイト調査部129は、クエリは基本的にランダムにして設定してもよい。なお、応答パケットのリモートIPアドレスが他のドメインの場合、それぞれの試験を実行するかどうか試験実施者の判断を得た後、設定を試験パケット送受信部121に送信する。これらの処理により、他社サービスへの影響を避けたうえで、Webサイトの処理負荷を増大させる攻撃が成功する可能性の高いURL・クエリ・攻撃種類による試験を試験パケット送受信部121が実行できるようにする。
モニタリング部122は、セキュリティ装置22によって正当なものであると認証された攻撃パケットが送信されたセキュリティ装置22またはサーバ23のパケットフィルタ状況及び処理負荷の状況を監視する。そして、モニタリング部122は、試験パケットの種類および量と、パケットフィルタ状況及び処理負荷状況との相関を分析し、パケットフィルタを回避する試験パケット量及び処理負荷が高い認証機能を把握する。
モニタリング部122は、パケットフィルタ状況の監視として、送信元IPアドレス単位の単位時間あたり試験パケット数、バイト量、セッション数及び試験対象システムからの応答パケットを監視し、他の送信元IPアドレス試験パケットには応答パケットが来ているものの、試験パケットを送信しているのに応答パケットが来なくなった送信元IPアドレスを把握する。モニタリング部122は、当該送信元IPアドレスに対して応答パケットが来なくなった直前の時刻に送信していた試験パケット数、バイト量、セッション数、タイムスタンプを試験対象システムのパケットフィルタ閾値として記録し、制御部12に対して通知する。
ログ解析部130は、試験後、試験対象サイトを含む試験トラフィックが流れた経路上の各装置からログを解析する。例えば、ログ解析部130は、試験後、試験対象サイトを含む試験トラフィックが流れた経路上の各装置からログを収集し、試験パケットに対する各装置の反応を調べることにより、処理負荷が増加したり正常パケットを巻き込んで廃棄したりしていないか解析する。
記憶部13は、制御部の実行で用いられる各種情報を記憶する。例えば、記憶部13は、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、又は、ハードディスク、光ディスク等の記憶装置などである。
試験装置10によれば、試験対象システム20に含まれる各装置のパケット負荷試験を行うことができる。ここで、セキュリティ装置22およびサーバ23のパケット負荷試験を行う場合を例に挙げて、試験装置10によるパケット負荷試験について説明する。
試験対象システム20では、サーバ23にパケットを送信する際、セキュリティ装置22により正常なブラウザ通信は通過させてボットや攻撃ツールによる攻撃パケットを遮断する。例えば、セキュリティ装置22は、サーバ23に対するパケットの送信を検知した場合、当該パケットに対し認証要求を行う。例えばTCP認証、HTTP認証、およびチャレンジレスポンス認証を行う。さらに、セキュリティ装置22は、送信元IPアドレス単位の単位時間パケット数、バイト量、セッション数などを監視し、所定の閾値を超過した場合に当該送信元IPアドレスをブラックリストに登録する。これは、パケットの送信元が人によって操作される一般ブラウザであって、操作した人によって応答要求に適合した応答が行われる事、及び人によって操作される一般ブラウザが送信する単位時間パケット数やバイト量であれば所定の閾値に該当しない事に基づく。
また、サーバ23に対する処理負荷を試験するために、SYN FloodやGET Floodなど単純にパケットを送信するだけでは、サービス不能攻撃に対するサーバ処理の一部しか処理負荷を計測できない。
そして、従来の方式には、ログイン認証が必要な試験対象装置の場合、ログイン後にしかアクセスできないWebページを試験する際、試験セッション毎にログイン処理が必要になり、試験対象Webページだけでなくログインページの負荷も加わってしまうという問題があった。さらに、ログインページを監視していればWebサイト全体を守れてしまい、ログイン後にしかアクセスできないWebページに問題があっても、発見が困難という問題があった。
これにより、従来のパケット負荷試験を目的とした攻撃ツールでは、サーバ23内のログイン後にしかアクセスできないWebページやセキュリティ装置22の各段階の処理負荷を測るパケット負荷試験を行うことが難しかった。
まず、図3を用いて多段階防御機能について説明する。図3は、多段階防御機能について説明するための図である。図3に示すように、サーバ23にパケットを送信する場合、セキュリティ装置22による送信元パケット数制限や複数の段階の認証が行われる必要がある。セキュリティ装置22は、例えば、TCP認証、HTTP認証、チャレンジレスポンス認証、単位時間送信元パケット数制限、単位時間送信元バイト数制限、単位時間セッション数制限を行う。
例えば、セキュリティ装置22は、サーバ23に対するパケットの送信を検知した場合、当該パケットに対し、送信元IPアドレス毎にパケット数やセッション数等を監視し、パケットの送信元が人によって操作される一般ブラウザが送信するパケット数やセッション数等に基づいた閾値をクリアすれば、送信元パケット数制限機能を通過させる。例えば、セキュリティ装置22は、通過させる閾値をパケット数6個/秒以下、セッション数6セッション以下のように設定した場合、通過させる閾値を満たす送信元IPアドレスを一般ブラウザからの通信と判断して通過させる。
一方、送信されたパケットが、詐称した送信元によるSYN Flood攻撃を目的としたものである場合、セキュリティ装置22は、TCP認証の段階で当該パケットを廃棄する。このため、サーバ23のパケット負荷試験を目的とした攻撃ツールによってパケットが送信された場合であっても、セキュリティ装置22は所定の段階で当該パケットの送信が攻撃であることを検知し、当該パケットを廃棄する。さらに、TCP認証、HTTP認証、チャレンジ/レスポンスに応答可能な攻撃ツールが存在した場合でも、送信元パケット制限による単位時間あたりのパケット数制限、バイト数制限、セッション数制限により攻撃として判定される事で、当該送信元IPアドレスがブラックリスト登録されてパケット廃棄される。これらにより、従来のパケット負荷試験を目的とした攻撃ツールでは、サーバ23やセキュリティ装置22のパケット負荷試験を行うことが難しかった。
これに対し、第1の実施形態に係る試験装置10によれば、サーバ23やセキュリティ装置22のパケット負荷試験を適切に行うことが可能である。ここで、図4を用いて、試験装置10がサーバ23またはセキュリティ装置22のパケット負荷試験を行う場合の動作について説明する。なお、図4の例では、代表として動作する試験装置を試験装置10Aと記載し、代表でない試験装置を試験装置10Bと記載する。また、パケット負荷試験前に、試験装置10は、事前に、試験対象システム20に対してWebブラウザを模擬してアクセスし、試験対象のサーバ構成を把握しているものとする。
図4は、第1の実施形態に係る試験装置によるパケット負荷試験について説明するためのシーケンス図である。まず、試験装置10は、試験対象装置であるサーバ23に対してあらかじめログイン等の認証処理を行う(ステップS101)。続いて、サーバ23は、ログイン等の認証処理が成功すると、試験装置10に対してセッション情報を送信する(ステップS102)。
そして、試験装置10Aは、試験対象装置から受信したパケットよりセッション情報が入ったCookieを取得し、他の試験装置10Bのセッション管理部に対してサーバ23から取得したセッション情報(Cookie)を送信する(ステップS103)。そして、試験装置10Bは、代表の試験装置10AからCookieを受信して、送信する試験パケットに適用する。
次に、試験装置10A、10Bは、試験設定に基づいて、攻撃パケットおよびモニタリングの設定を行う。このとき、試験装置10A、10Bは、試験パケットとして、例えばHTTP接続後にサーバに大量にログインし、大量に検索を行う試験パケットを送信するように設定を行う。また、試験装置10A、10Bは、モニタリングとして、例えばサーバ23のpingやtracebackへの応答確認、またはHTTP応答確認を行うような設定を行う。
また、試験装置10A、10Bは、パケットフィルタ状況の監視として、送信元IPアドレス単位の単位時間あたり試験パケット数、バイト量、セッション数及び試験対象システムからの応答パケットを監視し、他の送信元IPアドレス試験パケットには応答パケットが来ているものの、試験パケットを送信しているのに応答パケットが来なくなった送信元IPアドレスを把握する。当該送信元IPアドレスに対して応答パケットが来なくなった直前の時刻に送信していた、応答パケットが来なくなった送信元IPアドレス、試験パケット数、バイト量、セッション数、タイムスタンプを試験対象システムのパケットフィルタ閾値として記録して制御部に対して通知するような設定を行う。
そして、試験装置10A、10Bの送信部127は、試験パケット用インタフェース111から試験パケットを送信する(ステップS104、S105)。このとき、まず、送信部127は、サーバ23との間にTCPコネクションを確立するために、サーバ23のIPアドレスである10.0.0.1にTCP SYNパケットを送信する。その後、試験装置10Aは、セッション情報の有効期限に基づいて有効期限が切れる前に再度試験対象装置に対して再度ログイン等の認証処理を行う(ステップS106)。そして、サーバ23は、ログイン等の認証処理が成功すると、試験装置10に対してセッション情報を送信する(ステップS107)。そして、試験装置10A、10Bの送信部127は、前述の処理と同様に、試験パケット用インタフェース111から試験パケットを送信する(ステップS108、S109)。
セキュリティ装置22は、試験装置10A、10BからSYNパケットを受信すると、サーバ23宛てに送信されたSYNパケットが攻撃パケットであるか否かを判定するため、TCP認証応答要求を行う。なお、TCPコネクションが確立される場合、SYNパケットの送信元に対してはSYN/ACKパケットが送信される。
ここで、例えば、攻撃ツールは、SYNパケットに対して不当なパケットが送信されてきた場合であっても、不当なパケットに適合した応答を行わず、再びSYNパケットを送信するといった行動を取ることが知られている。そこで、TCP認証を行う場合、セキュリティ装置22は、例えば、Cookieを入れたSYN/ACKパケット、不当なACK Sequenceナンバーを入れたSYN/ACKパケット、ACKパケット、RSTパケット等の不当なパケットを試験装置10に送信する。そして、セキュリティ装置22は、送信した不当なパケットに適合した応答が返ってきた場合、TCP認証を通過させる。
ここで、応答部125は、セキュリティ装置22に対し、TCP認証応答要求に適合した応答を行う。例えば、応答部125は、SYNパケットに対しCookieを入れたSYN/ACKパケットが送信されてきた場合、当該パケットがCookieを入れたSYN/ACKパケットであることを識別する。そして、応答部125は、当該Cookieの内容に基づいたSequenceナンバーを設定したACKパケットをセキュリティ装置22に送信する。なお、SYN Flood攻撃を目的とした攻撃ツールは、セキュリティ装置22からCookieを入れたSYN/ACKパケットが送信されてきた場合であっても、何も応答しないことが考えられる。
これにより、試験装置10は、サーバ23との間でTCPコネクションを確立させることができ、送信部127によって送信された試験パケットがTCP認証段階で廃棄されることを防止することができる。そして、試験装置10は、TCP認証より先の段階の認証を行う際のセキュリティ装置22や、サーバ23を対象にパケット負荷試験を行うことができる。
TCPコネクションが確立されると、送信部127は、サーバ23宛てにHTTPリクエストパケットを送信する。セキュリティ装置22は、サーバ23宛てに送信されたHTTPリクエストパケットが試験パケットであるか否かを判定するため、HTTP認証応答要求を行う。
ここで、応答部125は、セキュリティ装置22に対し、HTTPS認証に適合した応答を行う。例えば、応答部125は、セキュリティ装置22からの応答がリダイレクト応答であることを識別する。そして、応答部125は、リダイレクト応答のLocationヘッダで示されるURI(Uniform Resource Identifier)等の値に指定されたリダイレクト先にHTTPリクエストパケットを送信する。なお、リダイレクト応答に適合した応答を行わない攻撃ツールは、Locationヘッダを参照せず、リダイレクト先にHTTPリクエストパケットを送信しないことが考えられる。
さらに、セキュリティ装置22は、サーバ23宛てに送信されたHTTPリクエストリクエストパケットが攻撃パケットであるか否かを判定するため、HTTP CookieやJavaScript(登録商標)によるHTTP認証応答要求を行う。
HTTP CookieやJavaScriptによるHTTP認証を行う場合、セキュリティ装置22は、例えば、試験装置10に対し、JavaScriptで記述したプログラムによって、Cookieの記載内容を読み取り、読み取った結果を返す処理を実行することを要求する。そして、セキュリティ装置22は、所定時間内に当該プログラムの実行結果が返ってきた場合、HTTP認証を通過させる。
ここで、応答部125は、セキュリティ装置22に対し、HTTP CookieやJavaScriptによるHTTP認証に適合した応答を行う。例えば、応答部125は、セキュリティ装置22から送信されたデータが、JavaScriptの実行命令であることを識別する。そして、応答部125は、JavaScriptで記述されたプログラムを実行した結果得られるCookieの記載内容をセキュリティ装置22に通知する。なお、JavaScriptおよびCookieによるHTTP認証に適合した応答を行わない攻撃ツールは、HTTP CookieやJavaScriptによるHTTP認証に対し何も応答しないことが考えられる。
これにより、試験装置10は、HTTP認証を通過することができ、送信部127によって送信された攻撃パケットがHTTP認証段階で廃棄されることを防止することができる。そして、試験装置10は、HTTP認証より先の段階の認証を行う際のセキュリティ装置22や、サーバ23を対象にパケット負荷試験を行うことができる。
さらに、HTTP認証がされた場合、送信部127は、サーバ23宛てにHTTPリクエストパケットを送信する。セキュリティ装置22は、サーバ23宛てに送信されたHTTPリクエストパケットが攻撃パケットであるか否かを判定するため、チャレンジレスポンス認証応答要求を行う。
チャレンジレスポンス認証を行う場合、セキュリティ装置22は、例えば、試験装置10bに対し、所定経路上におけるマウス移動やCAPTCHA(Completely Automated Public Turing test to tell Computers and Humans Apart)を要求する。そして、セキュリティ装置22は、マウス移動やCAPTCHAに適合した応答が返ってきた場合、チャレンジレスポンス認証による認証を通過させる。
ここで、応答部125は、セキュリティ装置22に対し、チャレンジレスポンス認証に適合した応答を行う。例えば、応答部125は、セキュリティ装置22によってマウス移動経路が示されていることを識別する。そして、応答部125は、マウス移動経路として示された経路を読み取り、読み取った経路に沿ってマウスを移動させた際に発生する信号と同じ信号をセキュリティ装置22に送信する。
また、応答部125は、セキュリティ装置22によってCAPTCHAが示されていることを識別する。そして、応答部125は、画像テキスト化サービスやOCR等を用いてCAPTCHAをテキスト化したデータをセキュリティ装置22に送信する。なお、チャレンジレスポンス認証に適合した応答を行わない攻撃ツールは、マウス移動やCAPTCHAによるチャレンジレスポンス認証に対し何も応答しないことが考えられる。
これにより、試験装置10は、チャレンジレスポンス認証を通過することができ、送信部127によって送信された試験パケットがチャレンジレスポンス認証段階で廃棄されることを防止することができる。そして、試験装置10は、サーバ23を対象にパケット負荷試験を行うことができる。
単体の試験装置10から送信可能な試験パケットの送信元IPアドレスを増やすことにより、複数攻撃元からのサービス不能攻撃を模擬可能になるとともに、試験装置の制御部を複数用意せずに複数IPアドレスからの試験パケット送信が可能になり、試験リソースを削減できる。アドレス分散部126は、例えば、送信する試験パケットがTCP SYNパケットの時、管理部123から設定されたIPアドレスリストに基づいて前回のTCP SYNパケットとは異なる送信元IPアドレスを順次割り当て、当該TCPコネクションに対して同一送信元IPアドレスを割り当てることで、TCPコネクションのIPアドレス整合性を保ちながら複数の送信元IPアドレスにより試験パケットの送信が可能になる。
モニタリング部122は、試験装置10から送信された試験パケット及び試験パケットへの試験対象システム20からの応答パケットに対して、試験パケットに対する試験対象システム20のパケットフィルタ状況のモニタリングおよび分析を行う。モニタリング部122は、パケットフィルタ状況の監視として、送信元IPアドレス単位の単位時間あたり試験パケット数、バイト量、セッション数及び試験対象システムからの応答パケットを監視し、他の送信元IPアドレス試験パケットには応答パケットが来ているものの、試験パケットを送信しているのに応答パケットが来なくなった送信元IPアドレスを把握する。モニタリング部122は、当該送信元IPアドレスに対して応答パケットが来なくなった直前の時刻に送信していた、応答パケットが来なくなった送信元IPアドレス、試験パケット数、バイト量、セッション数、タイムスタンプを試験対象システム20のパケットフィルタ閾値として記録して制御部12に対して通知するような設定を行う。
制御部12のアドレス分散部126は、モニタリング部122から試験対象システム20のパケットフィルタ閾値が通知された場合、送信元IPアドレス数を制御して試験対象システムのパケットフィルタ閾値に該当しないよう送信元IPアドレスあたりの試験パケット送信を調整する。例えば、応答パケットが来なくなりパケットフィルタされたと判断した送信元IPアドレスからの送信を一定時間停止し、まだパケットフィルタされていない新たな送信元IPアドレスから試験パケットを送信するとともに、送信元IPアドレス単位のパケット送信をパケットフィルタに該当しない範囲に絞って実施する。
これにより、試験装置10は、図3で示す送信元パケット制限を通過することができ、送信部127によって送信された試験パケットが送信元パケット制限段階で廃棄されることを防止することができる。そして、試験装置10は、サーバ23を対象にパケット負荷試験を行うことができる。
サーバ23を対象としたパケット負荷試験として、SYN FloodやGET Floodなど単純にパケットを送信するだけでは、サービス不能攻撃に対するサーバ処理の一部しか処理負荷を計測できない。そこで、試験シナリオ部124は、スクリプト等を用いて記述されたシナリオに基づき、Webサーバ等の試験対象システム20との間でHTTP及びHTTPSのセッションを構築した上で、サーバ23に対してログイン情報などのセッション情報を維持した試験パケットを送信するため、サーバ23から受信したCookieに基づいた試験パケットを生成する。試験パケットとして、GET及びPOST Flood以外に、サーバ23への複数アカウント作成・削除、複数アカウントからの頻繁なログイン・ログアウト、頻繁な検索実行の攻撃試験を実施するだけでなく、維持したセッション上でSlow READ等のTCPヘッダを変更する攻撃試験を実施する。
これにより、サーバ23に対して、HTTP GETパケット処理負荷やHTTP POSTパケット処理負荷などの単純なサーバ処理負荷を計測するだけでなく、サーバ23のログイン情報暗号化および復号化処理負荷、検索処理負荷、およびデータベース処理負荷などの負荷試験を行うことができる。
一方で、モニタリング部122は、サーバ23にモニタリング応答要求を行う。例えば、モニタリング部122は、試験装置10による設定に従い、サーバ23のpingやtracebackへの応答確認、またはHTTP応答確認を行う。
そして、サーバ23は、攻撃パケットを処理しつつ、モニタリング応答要求に対して応答する。そして、モニタリング部122は、モニタリング用インタフェース112からモニタリング結果を試験装置10に送信する。
さらに、試験装置10は、モニタリング結果を分析し、必要に応じて試験装置10にシナリオ変更を指示する。具体的には、試験装置10は、受信したモニタリング結果と、攻撃パケットの種類や量である試験トラフィックとの相関を取りながらサーバ23の応答時間や応答内容を分析する。サーバ23の応答時間変化や応答メッセージ、応答がなくなったときの試験トラフィック内容、応答が復活したときの試験トラフィック内容等を時系列で記録・分析し、処理負荷が高い機能を把握する。
シナリオ変更として、例えば、管理部123は、セキュリティ装置22またはサーバ23の処理負荷の状況に応じて、送信部127によって送信される試験パケットの量を変化させる。具体的には、管理部123は、セキュリティ装置22またはサーバ23の処理負荷が所定以上である場合、セキュリティ装置22またはサーバ23に送信部127によって送信される試験パケットの量を増加させる。
そして、処理負荷が高い機能を把握するとともに、試験トラフィックのシナリオを変化させ、そのときのサーバ23の応答時間変化や応答メッセージ、応答がなくなったときの試験トラフィック内容、応答が復活したときの試験トラフィック内容から処理負荷が高い機能の負荷が最大になる試験トラフィック条件を抽出する。なお、試験装置10は、サーバ23以外の機器を含めた複数の試験対象機器について試験および分析を行い、試験対象機器の中から処理負荷が高い機器を把握するようにしてもよい。
例えば、試験装置10がログイン攻撃パケット量を増加させていくと、サーバ23の処理負荷が増加するとともにHTTP応答時間が増加していく。そして、試験装置10は、サーバ23がサーバに接続できたもののウェブページを表示できないHTTP 404エラー応答を行うようになった時点の攻撃パケット量、およびサーバ23が応答することができなくなった時点の攻撃パケット量を記録する。これにより、サーバ23のログイン攻撃への耐性を把握することができる。
また、試験パケットの量が増加すると、セキュリティ装置22が攻撃を検出して、当該攻撃パケットを廃棄し、サーバ23の処理負荷の増加が止まることがある。このとき、試験装置10は、モニタリング結果から、サーバ23への攻撃パケットを増加させても、サーバ23の処理負荷が増加しないことを把握する。この場合、アドレス分散部126の処理により異なる送信元IPアドレスからパケットフィルタ閾値に該当しない範囲で試験パケットを送信して、処理負荷が増加するか試験することができる。
そして、単体の試験装置10だけでなく、複数の試験装置から、サーバ23に対し、サービス不能攻撃パケット等をシナリオに沿って送信するようにしてもよい。その際、当該試験装置が複数試験装置の代表として動作する場合は複数試験装置に対して試験シナリオを同期して実行・停止する指示を行う。例えば、セッション管理部128は、自試験装置が複数の試験装置の代表として動作する場合には、他の試験装置に対してシナリオを同期して実行または停止する指示を行うようにしてもよい。これにより、大量の送信元IPアドレス単位の攻撃対策やキャッシュ等の対策有効度を調査し、さらにモニタリングを行うことで、サービス不能になる限界、ボトルネック、およびそのときの試験トラフィックパターン等を把握することができる。
これにより、複数の試験装置からのモニタリングによるサーバ23の応答が異なる原因が、ネットワーク装置21、セキュリティ装置22、もしくはサーバ23自身による試験装置へのフィルタ設定によるものであるのか、またはサーバ23の負荷によるものであるのかを判定する。
なお、試験装置10は、認証を途中で中止し、セキュリティ装置22の任意の認証段階の処理に対する負荷試験を行うようにしてもよい。例えば、試験装置10は、セキュリティ装置22によるTCP認証応答要求に対して適合する応答を行い、その後、セキュリティ装置22によるHTTP認証応答要求に対して適合する応答を行わないようにしてもよい。これにより、試験装置10は、セキュリティ装置22のHTTP認証段階の処理に対する負荷試験を行うことができる。同様に、試験装置10は、セキュリティ装置22の各認証段階について負荷試験を行うことで、ボトルネックとなる認証段階を特定することができる。
[第1の実施形態の効果]
第1の実施形態に係る試験装置10は、サーバ23によって管理される試験対象サイトにアクセスして該試験対象サイトに関する情報を取得し、該情報に基づいて、サーバ23の処理負荷を増大させるための試験設定を特定する。そして、試験装置10は、サーバ23に対して処理負荷を増加させるための試験パケットのセッション情報を管理する。続いて、試験装置10は、特定した試験設定に基づき、サーバ23との間でシナリオに基づいて試験セッションを構築するとともに、試験パケットを生成する。そして、試験装置10は、サーバ23に対して処理負荷を増加させる試験パケットを送信する。このため、試験装置10で、試験対象サイト毎に、弱点を把握して効果的にパケット負荷試験を行うことが可能である。つまり、試験装置10は、試験対象サイトの処理負荷を増大させる攻撃が成功する可能性の高いURLやクエリを設定した効果的な攻撃種類のパケットを用いて、試験対象サイトの弱点を効果的に抽出する負荷試験を自動的に実施できる。
例えば、試験装置10では、試験対象サイトに対してWebブラウザを模擬してアクセスし、試験対象サイトで使用されているアプリケーションやファイル等サイト構成を調査し、処理負荷を増大させる攻撃が成功する可能性の高いURL・クエリ・攻撃種類を抽出する。そして、試験装置10は、抽出したURL・クエリ・攻撃種類に基づき、サーバ23に対してシナリオに基づいてログインや検索等を実行する試験パケットを生成する。そして、試験装置10は、試験後、試験対象サイトを含む試験トラフィックが流れた経路上の各装置からログを収集し、試験パケットに対する各装置の反応を調べることにより、処理負荷が増加したり正常パケットを巻き込んで廃棄したりしていないか解析することが可能である。
また、第1の実施形態に係る試験装置10は、パケットの認証を行うセキュリティ装置22によって防御された試験対象装置であるサーバ23とセッションを構築するためのセッション情報を取得する。そして、試験装置10は、取得したセッション情報を用いて試験パケットを生成し、該試験パケットをサーバ23に送信する際、所定のシナリオに基づいて試験セッションを生成し、サーバ23に対し、処理負荷を増加させる試験パケットを送信する。このため、試験装置10は、ログイン認証が必要な試験対象装置に対して適切に試験を行うが可能である。つまり、第1の実施形態に係る試験装置10は、セッション情報の有効期限内にサーバへのログイン処理を最小限に抑えたうえで、ログイン後にのみ表示可能なウェブページに対して試験対象システムから攻撃試験を実施することが可能である。
また、第1の実施形態に係る試験装置10のセッション管理部128は、自試験装置が複数の試験装置の代表として動作する場合には、サーバ23からセッション情報を取得し、他の試験装置にセッション情報を送信し、自試験装置が代表でない場合には、代表の試験装置からセッション情報を受信する。このため、複数の試験装置10が、ログイン認証が必要な試験対象装置に対して適切に試験を行うが可能である。
また、第1の実施形態に係る試験装置10のセッション管理部128は、自試験装置が複数の試験装置の代表として動作する場合である場合に、セッション情報の有効期限に基づいて、該有効期限が切れる前に試験対象装置のサーバ23からセッション情報を再度取得し、他の試験装置にセッション情報を送信する。このため、試験装置10は、セッションの有効期限に基づき定期的に1つの試験装置10から1度ログインするだけで、ログイン後にのみ表示可能なウェブページに対して複数の試験装置から負荷試験を行うことが可能である。
また、第1の実施形態に係る試験装置10によれば、認証に対応した応答要求に適した応答を行うことで認証を通過したうえで、送信元IPアドレス単位のパケットフィルタを回避したうえ、試験対象の機器の復号化処理やデータベース等複数個所に負荷を印加し、セキュリティ耐性の試験を行うことが可能となる。また、複数の段階の認証や複数の機器を試験対象とすることで、ボトルネックを特定することが可能となる。
また、応答部125は、セキュリティ装置22によって段階的に行われる認証のうち任意の段階までの認証に対応した応答要求を受信するたびに、受信した応答要求を識別し、識別した応答要求に適合する応答、すなわち試験パケットがセキュリティシステムによって正当なものであると認証されるような応答を行う。これにより、第1の実施形態に係る試験装置10は、セキュリティ装置22の任意の段階の試験を行うことが可能となる。
また、送信部127は、Webサーバであるサーバ23に、試験パケットとともに、Webブラウザの操作により発生するパケットを送信する。これにより、第1の実施形態に係る試験装置10は、実際に攻撃が行われる場合に近い状況での試験を行うことが可能となる。
また、管理部123は、セキュリティ装置22またはサーバ23の処理負荷の状況に応じて、送信部127によって送信される攻撃パケットの量を変化させる。これにより、第1の実施形態に係る試験装置10は、試験対象機器の処理負荷に応じた動作を把握することが可能となる。
また、管理部123は、セキュリティ装置22またはサーバ23の処理負荷が所定以上である場合、セキュリティ装置22またはサーバ23に送信部127によって送信される試験パケットの内容を変化させる。これにより、第1の実施形態に係る試験装置10は、試験対象機器の処理負荷の限界を把握することが可能となる。
[その他の実施形態]
サーバ23がDNSサーバ等のWebサーバ以外のサーバである場合や、ネットワーク装置21やセキュリティ装置22に対する調査を行う場合、試験装置は、試験対象機器がサービスしているプロトコル、アプリケーションに従ったサービス不能攻撃パケットと正常パケットを送信する。このとき、セキュリティ装置22がTCP再送要求等のDNS認証等の要求を送信する場合があるが、試験装置は、要求に従ったパケットを送信する。これにより、追加の認証が行われる場合であっても、試験対象機器のセキュリティ耐性調査やボトルネック調査を進めることができる。
[システム構成等]
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行われる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、本実施の形態において説明した各処理のうち、自動的に行われるものとして説明した処理の全部または一部を手動的に行うこともでき、あるいは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的に行うこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
[プログラム]
また、上記実施形態において説明した試験装置が実行する処理について、コンピュータが実行可能な言語で記述したプログラムを作成することもできる。例えば、実施形態に係る試験装置が実行する処理について、コンピュータが実行可能な言語で記述したプログラムを作成することもできる。この場合、コンピュータがプログラムを実行することにより、上記実施形態と同様の効果を得ることができる。以下に、プログラムを実行するコンピュータの一例を説明する。
図5は、プログラムを実行するコンピュータを示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011及びRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1100に挿入される。シリアルポートインタフェース1050は、例えばマウス1051、キーボード1052に接続される。ビデオアダプタ1060は、例えばディスプレイ1061に接続される。
ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち各装置の各処理を規定するプログラムは、コンピュータにより実行可能なコードが記述されたプログラムモジュール1093として実装される。プログラムモジュール1093は、例えばハードディスクドライブ1090に記憶される。例えば、装置における機能構成と同様の処理を実行するためのプログラムモジュール1093が、ハードディスクドライブ1090に記憶される。なお、ハードディスクドライブ1090は、SSD(Solid State Drive)により代替されてもよい。
また、上述した実施の形態の処理で用いられるデータは、プログラムデータ1094として、例えばメモリ1010やハードディスクドライブ1090に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して実行する。
なお、プログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、プログラムモジュール1093及びプログラムデータ1094は、ネットワーク、WANを介して接続された他のコンピュータに記憶されてもよい。そして、プログラムモジュール1093及びプログラムデータ1094は、他のコンピュータから、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
1 ネットワーク
10 試験装置
11 インタフェース部
12 制御部
13 記憶部
20 試験対象システム
21 ネットワーク装置
22 セキュリティ装置
23 サーバ
111 試験パケット用インタフェース
112 モニタリング用インタフェース
113 管理用インタフェース
121 試験パケット送受信部
122 モニタリング部
123 管理部
124 試験シナリオ部
125 応答部
126 アドレス分散部
127 送信部
128 セッション管理部
129 サイト調査部
130 ログ解析部

Claims (9)

  1. 試験対象装置によって管理される試験対象サイトにアクセスして該試験対象サイトに関する情報を取得し、該情報に基づいて、前記試験対象装置の処理負荷を増大させるための試験設定を特定するサイト調査部と、
    前記試験対象装置に対して処理負荷を増加させるための試験パケットのセッション情報を管理するセッション管理部と、
    前記サイト調査部によって特定された試験設定に基づき、前記試験対象装置との間でシナリオに基づいて試験セッションを構築するとともに、前記試験パケットを生成する試験シナリオ部と、
    前記試験対象装置に対して処理負荷を増加させる試験パケットを送信する送信部と、を有し、
    前記サイト調査部は、前記試験対象サイトに対してWebブラウザを模擬してアクセスし、前記試験対象サイトで使用されているアプリケーションおよびファイルを含むサイト構成の情報を取得し、前記試験対象装置の処理負荷を増大させるための試験設定として、処理負荷を増大させる攻撃が成功する可能性の高いURL、クエリおよび攻撃種類のうち少なくとも1つを特定する、
    ことを特徴とする試験装置。
  2. 試験対象装置によって管理される試験対象サイトにアクセスして該試験対象サイトに関する情報を取得し、該情報に基づいて、前記試験対象装置の処理負荷を増大させるための試験設定を特定するサイト調査部と、
    前記試験対象装置に対して処理負荷を増加させるための試験パケットのセッション情報を管理するセッション管理部と
    前記サイト調査部によって特定された試験設定に基づき、前記試験対象装置との間でシナリオに基づいて試験セッションを構築するとともに、前記試験パケットを生成する試験シナリオ部と、
    前記試験対象装置に対して処理負荷を増加させる試験パケットを送信する送信部と、を有し、
    前記セッション管理部は、自試験装置が複数の試験装置の代表として動作する場合には、前記試験対象装置から前記セッション情報を取得し、他の試験装置に前記セッション情報を送信し、自試験装置が代表でない場合には、代表の試験装置から前記セッション情報を受信する、
    ことを特徴とする試験装置。
  3. 前記試験シナリオ部は、前記サイト調査部によって特定された攻撃が成功する可能性の高いURL、クエリおよび攻撃種類のうち少なくとも1つを用いて、前記試験対象装置に対して前記シナリオに基づいて前記試験パケットを生成するとともに、前記セッション情報を維持した前記試験パケットを送信するために前記試験対象装置から受信したCookieに基づいた試験パケットを生成することを特徴とする請求項に記載の試験装置。
  4. 前記試験パケットが複数の送信元IPアドレスを用いるようにパケットを構築するアドレス分散部と、
    パケットの認証を行うセキュリティ装置によって行われる複数の段階の認証のうち、所定の段階の認証までの応答要求に対し、前記試験パケットが前記セキュリティ装置によって正当なものであると認証されるように応答を行う応答部と、
    前記所定の段階における、前記試験パケットが送信された前記セキュリティ装置のパケットフィルタ状況及び処理負荷を監視し、前記試験パケットの種類および量と、前記パケットフィルタ状況及び処理負荷状況との相関を分析し、パケットフィルタを回避する試験パケット量及び処理負荷が高い認証機能を把握する監視部と、
    試験後、試験対象サイトを含む試験トラフィックが流れた経路上の各装置からログを解析するログ解析部と、
    をさらに有することを特徴とする請求項1または2に記載の試験装置。
  5. 前記セッション管理部は、自試験装置が複数の試験装置の代表として動作する場合である場合に、前記セッション情報の有効期限に基づいて、該有効期限が切れる前に前記試験対象装置から前記セッション情報を再度取得し、他の試験装置に前記セッション情報を送信することを特徴とする請求項に記載の試験装置。
  6. 試験装置によって実行される試験方法であって、
    試験対象装置によって管理される試験対象サイトにアクセスして該試験対象サイトに関する情報を取得し、該情報に基づいて、前記試験対象装置の処理負荷を増大させるための試験設定を特定するサイト調査工程と、
    前記試験対象装置に対して処理負荷を増加させるための試験パケットのセッション情報を管理するセッション管理工程と、
    前記サイト調査工程によって特定された試験設定に基づき、前記試験対象装置との間でシナリオに基づいて試験セッションを構築するとともに、前記試験パケットを生成する試験シナリオ工程と、
    前記試験対象装置に対して処理負荷を増加させる試験パケットを送信する送信工程と、を含み、
    前記サイト調査工程は、前記試験対象サイトに対してWebブラウザを模擬してアクセスし、前記試験対象サイトで使用されているアプリケーションおよびファイルを含むサイト構成の情報を取得し、前記試験対象装置の処理負荷を増大させるための試験設定として、処理負荷を増大させる攻撃が成功する可能性の高いURL、クエリおよび攻撃種類のうち少なくとも1つを特定する、
    ことを特徴とする試験方法。
  7. 試験対象装置によって管理される試験対象サイトにアクセスして該試験対象サイトに関する情報を取得し、該情報に基づいて、前記試験対象装置の処理負荷を増大させるための試験設定を特定するサイト調査ステップと、
    前記試験対象装置に対して処理負荷を増加させるための試験パケットのセッション情報を管理するセッション管理ステップと、
    前記サイト調査ステップによって特定された試験設定に基づき、前記試験対象装置との間でシナリオに基づいて試験セッションを構築するとともに、前記試験パケットを生成する試験シナリオステップと、
    前記試験対象装置に対して処理負荷を増加させる試験パケットを送信する送信ステップと、をコンピュータに実行させ
    前記サイト調査ステップは、前記試験対象サイトに対してWebブラウザを模擬してアクセスし、前記試験対象サイトで使用されているアプリケーションおよびファイルを含むサイト構成の情報を取得し、前記試験対象装置の処理負荷を増大させるための試験設定として、処理負荷を増大させる攻撃が成功する可能性の高いURL、クエリおよび攻撃種類のうち少なくとも1つを特定する、
    ことを特徴とする試験プログラム。
  8. 試験装置によって実行される試験方法であって、
    試験対象装置によって管理される試験対象サイトにアクセスして該試験対象サイトに関する情報を取得し、該情報に基づいて、前記試験対象装置の処理負荷を増大させるための試験設定を特定するサイト調査工程と、
    前記試験対象装置に対して処理負荷を増加させるための試験パケットのセッション情報を管理するセッション管理工程と、
    前記サイト調査工程によって特定された試験設定に基づき、前記試験対象装置との間でシナリオに基づいて試験セッションを構築するとともに、前記試験パケットを生成する試験シナリオ工程と、
    前記試験対象装置に対して処理負荷を増加させる試験パケットを送信する送信工程と、を含み、
    前記セッション管理工程は、自試験装置が複数の試験装置の代表として動作する場合には、前記試験対象装置から前記セッション情報を取得し、他の試験装置に前記セッション情報を送信し、自試験装置が代表でない場合には、代表の試験装置から前記セッション情報を受信する、
    ことを特徴とする試験方法。
  9. 試験対象装置によって管理される試験対象サイトにアクセスして該試験対象サイトに関する情報を取得し、該情報に基づいて、前記試験対象装置の処理負荷を増大させるための試験設定を特定するサイト調査ステップと、
    前記試験対象装置に対して処理負荷を増加させるための試験パケットのセッション情報を管理するセッション管理ステップと、
    前記サイト調査ステップによって特定された試験設定に基づき、前記試験対象装置との間でシナリオに基づいて試験セッションを構築するとともに、前記試験パケットを生成する試験シナリオステップと、
    前記試験対象装置に対して処理負荷を増加させる試験パケットを送信する送信ステップと、をコンピュータに実行させ、
    前記セッション管理ステップは、自試験装置が複数の試験装置の代表として動作する場合には、前記試験対象装置から前記セッション情報を取得し、他の試験装置に前記セッション情報を送信し、自試験装置が代表でない場合には、代表の試験装置から前記セッション情報を受信する、
    ことを特徴とする試験プログラム。
JP2022553414A 2020-10-02 2020-10-02 試験装置、試験方法および試験プログラム Active JP7472997B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2020/037646 WO2022070425A1 (ja) 2020-10-02 2020-10-02 試験装置、試験方法および試験プログラム

Publications (2)

Publication Number Publication Date
JPWO2022070425A1 JPWO2022070425A1 (ja) 2022-04-07
JP7472997B2 true JP7472997B2 (ja) 2024-04-23

Family

ID=80950112

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2022553414A Active JP7472997B2 (ja) 2020-10-02 2020-10-02 試験装置、試験方法および試験プログラム

Country Status (3)

Country Link
US (1) US20230318956A1 (ja)
JP (1) JP7472997B2 (ja)
WO (1) WO2022070425A1 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2024100759A1 (ja) * 2022-11-08 2024-05-16 日本電信電話株式会社 試験装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012191375A (ja) 2011-03-10 2012-10-04 Hitachi Ltd ネットワークシステム、及び、管理サーバ
CN111200537A (zh) 2018-11-20 2020-05-26 贵州白山云科技股份有限公司 一种网络节点验收的方法和系统
JP2020129736A (ja) 2019-02-07 2020-08-27 日本電信電話株式会社 試験装置

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012191375A (ja) 2011-03-10 2012-10-04 Hitachi Ltd ネットワークシステム、及び、管理サーバ
CN111200537A (zh) 2018-11-20 2020-05-26 贵州白山云科技股份有限公司 一种网络节点验收的方法和系统
JP2020129736A (ja) 2019-02-07 2020-08-27 日本電信電話株式会社 試験装置

Also Published As

Publication number Publication date
US20230318956A1 (en) 2023-10-05
WO2022070425A1 (ja) 2022-04-07
JPWO2022070425A1 (ja) 2022-04-07

Similar Documents

Publication Publication Date Title
Ndatinya et al. Network forensics analysis using Wireshark
Wang et al. Your state is not mine: A closer look at evading stateful internet censorship
Pa et al. {IoTPOT}: analysing the rise of {IoT} compromises
Durumeric et al. {ZMap}: Fast internet-wide scanning and its security applications
JP6315640B2 (ja) 通信先対応関係収集装置、通信先対応関係収集方法及び通信先対応関係収集プログラム
KR101095447B1 (ko) 분산 서비스 거부 공격 차단 장치 및 방법
US8418233B1 (en) Rule based extensible authentication
US20160366171A1 (en) Extraction criterion determination method, communication monitoring system, extraction criterion determination apparatus and extraction criterion determination program
CN110557358A (zh) 蜜罐服务器通信方法、SSLStrip中间人攻击感知方法及相关装置
Sargent et al. On the potential abuse of IGMP
JP7472997B2 (ja) 試験装置、試験方法および試験プログラム
WO2020162181A1 (ja) 試験装置
Nasser et al. Provably curb man-in-the-middle attack-based ARP spoofing in a local network
Calzarossa et al. Analysis of header usage patterns of HTTP request messages
JP6497782B2 (ja) 試験装置、試験方法および試験プログラム
Chen et al. Detecting Internet worms at early stage
JP7318730B2 (ja) 試験装置、試験方法および試験プログラム
GUDEKLI et al. DNS Tunneling Effect on DNS Packet Sizes
Joshi et al. Network forensic tools
WO2024100759A1 (ja) 試験装置
Vlasenko et al. Methods of counteraction of bypassing two-factor authentication using reverse proxy
Amiruddin et al. Conformity Analysis of HTTP Strict Transport Security (HSTS) Configuration and Implementation Using Bettercap Tools
Miao et al. Hunting for Hidden RDP-MITM: Analyzing and Detecting RDP MITM Tools Based on Network Features
Mehto et al. Performance measurement of web services under UDP attack using GENI testbed
Huber Host-based systemic network obfuscation system for windows

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20230116

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20231226

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20240201

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240312

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240325

R150 Certificate of patent or registration of utility model

Ref document number: 7472997

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150