ワーム感染ノード送信パケットの可視化について
更新日:2007年2月28日
ワームとは:
自身が独立したプログラムで、感染行動を伴う狭義のコンピューターウィルスとは区別されますが、ネットワークを介して他のコンピュータに入り込み自己増殖するのを特徴としています。
2001年を皮切りにNimdaやCodeRedなどの高度な機能を持ったネットワークワーム(以降、単にワームと呼びます)の出現により、ネットワークのインフラや企業イントラネットは幾度と無く脅威に晒されてきました。 ここ最近は、新しいワームによる大規模なインシデントは発生していないものの、過去に大流行したワームに感染したノード(*1)による感染活動は今もなお続いているのが現状です。
今回は,未だにネットワークに流れ続けているワームのパケット(*2)の可視化を試みます。
通常ワームは自己を増殖させるために感染先ノードの探索を行います。 この探索の方法には幾つかのパターンが存在するといわれ、論文などで公開されている既知の情報によりますと、過去の代表的なワームは下記のとおりに分類されます。
(1)感染ノードの近隣ネットワークを重点的に探索するタイプ
(2)近隣ネットワークに限らず広域な範囲を探索するタイプ
また、感染先ノードのIPアドレスを決定するにあたり、ランダムに選ぶタイプや、規則性を持って選ぶタイプなどがあることも知られています。
ここでは実際にワームに感染させたノードをクローズドな実験環境で観測し、そこで得られた観測データを、独自に開発したツールを用いて可視化しました。
このツールは、ノードが送信したパケットの宛先IPアドレスを、4つのオクテット(*3)に分解し、それぞれのオクテットの値を対応する直線の回転角に変換して表示します。
グローバルサイン:
重要な電子文書にデジタル署名。広報にも役立っています
