Skip to content

進捗報告

05/07

進捗ほぼないです

SSD

  • 速度は300MB/s(10倍くらい)になった
  • hping3 flood(送信元ランダム)でdropped packetsはなし
    • iperf3でのテストも特に問題なし
    • ストレージのI/Oによるボトルネックはほぼ解消されてそう

研究指導計画

  • 5月15日〆
    • 来週MTGまでにSlack等に下書きを出しておく

聞きたいこと

  • 実験方法
    • 別のサーバーでキャプチャしたpcapを持ってきて処理する形になるんでしょうか
  • 今年のワークショップ
    • やるとしたらいつぐらいでしょうか

04/30

ntopng

  • 起動から10分間試用可能
    • 再起動でリセット
  • nProbeは25000フローまでが試用だそう

動作テスト

開く

テスト環境の構成

  • スイッチに繋いでPCと1Gbpsでリンク
graph LR
        %% ノードの定義
        PC1["PC<br/>(192.168.0.100)"]
        SW["NetGear GS105E<br/>"]
        PC2["Raspberry Pi<br/>(192.168.0.130)"]

        PC1 ---|1Gbps| SW
        SW ---|1Gbps| PC2

実施ログ

  1. iperf3でラズパイ→PCへTCP通信

    • ペイロードサイズが1500弱くらいの場合
    • 80k packets/secくらい?
    • Dropped Packetsは0.03%

  2. ペイロードを500Bytesにした場合

    • 200k packets/secくらい?
    • ちょくちょくCPU使用率がCore 0: 80-90% その他:50% くらいまで上がるように
    • Dropped Packetsが6%くらいに上昇

  3. hping3によるテスト

    • 送信元IPランダムで大量のパケット(ペイロードなし)を送りつけた場合
    • 5mbpsくらい?(10k packets/secくらい)
    • CPU使用率は低い
    • Dropped Packetsが50%くらいに
    • Geminiいわく、新しいフローの情報をUSBメモリに書き出そうとしてI/Oで詰まってるらしい?

Raspberry Pi

  • 今は自前のUSBメモリにOSを入れて使ってます
  • I/O速度と寿命を考えたらM.2 SSD + M.2用アダプタ 構成が必要?
    • Freenove M.2 NVMe Adapter V2 for Raspberry Pi 5
    • M.2 Hat+ (公式)
      • 2230/2242 (ちっちゃいサイズ)のみ

04/23

題目

  • 組織内サーバの継続的なセキュリティ状況把握のための低侵襲的手法に関する研究

方向性

  • 組織内で動いているサーバーの情報収集
    • 十分に管理されていない
      • 放置されている
      • 勝手に立てられている
    • ソフトウェア名, バージョン情報等
  • パッシブなモニタリング(ntopng等)とHTTPリクエスト等によるアクティブな手法を組み合わせ、あまりサーバーに負荷をかけずにデータを取る
  • 研究用のデータはどこで取るんでしょうか

やること

  • 先行事例など調べる
  • とりあえず家でntopngを動かしてみる

02/26

修士の研究テーマで気になったもの

↓研究テーマ案 (2025年度版)からのコピペ

M-1. low invasiveness / Passive finger printing for Server side

概要
  • 大学のような研究機関の組織内のネットワークで動いているサーバは、集中管理されていない場合がまだまだ多い。
  • 管理されていないサーバは、OSやアプリが更新されておらず、脆弱性を抱えていることに気づかれない場合が多々ある。
  • OpenVASやNessusなどの脆弱性スキャナをサーバに対してかけるのは、負荷が高いため、事前にスキャナをかけるための調整が必要であり、気軽に実施できない。
  • DNSだけではなく、nDPIライブラリやSnort, ntopngなどの、パケットモニタリングで判る知見に基づいた finger printing で得られる情報だけでも、運用管理上有用な情報が得られるのではないか。
  • さらに、正当な通信を追加で[実施する(低侵襲性)ことはやっても良いはず (例えば、Webサービスをしているなら、そのページを低レートで見るのは問題ないはず)
目標
  1. passive monitoring + low invasiveness probing による、対象サーバの finger printing の実現
  2. 実装して評価したい。
関連研究
  • 福田くんの修論
  • 山岡(和)くんの修論
  • 横山くんの卒論

E-1. Flow-aware wireless APs

概要
  • 同じESSIDにつながっている無線LAN端末間の通信は、プライバシーの観点から相互に見えないようにする プライバシーセパレータ機能 がある。
  • 単一の無線APにつながっている端末間は、無線LANが、インフラストラクチャモードで動いているので、無線AP側の処理で実現できる。
  • 複数の無線APの間でローミングができる環境 (本学のKITnetXなど) で同様の機能を実現するには、同一ESSID提供下の無線APの通信を集約して処理する必要がでてくる。
  • 一般に、中央制御コントローラにトラフィックを集める構成にするが、ここに負荷が集中してしまう問題がある。
目標
  1. 無線APの有線側のネットワークでフロー単位での処理をすることで、複数無線APをまたがるようなプライバシーセパレータを実現したい。
    • 単純に端末間の通信を禁止するだけだと、multicast や broadcast が端末間でやりとりすることを前提にしているプロトコル (IPv6など) を動かすと、無線AP側からはすべての端末に送ることができるが、端末からの通信は、無線APにしか届かないため、正しく機能しないと予想される。
  2. 必要な multicast や broadcast は想定通り処理し、unicast はプライバシーセパレータによる分離ができるような構成を、一般的な無線APとOpenFlowスイッチで実現できないか。
    1. 本気でやるなら、associated clientをopenvswitchのポート単位の区別があるとして扱えるように、hostapdとかとちゃんと連携するopenvswitchdの実装をやりたい。
関連研究