[論文レビュー] LZR: Identifying Unexpected Internet Services
本論文は、インターネットサービスが非標準ポート上に広く展開され、標準的なL7ハンドシェイクには応答しないものが多いことを明らかにし、LZRを導入して予期せぬサービスを効率的に識別・指紋付けする方法を提示し、迅速で広範なカバレッジを実現している。
Internet-wide scanning is a commonly used research technique that has helped uncover real-world attacks, find cryptographic weaknesses, and understand both operator and miscreant behavior. Studies that employ scanning have largely assumed that services are hosted on their IANA-assigned ports, overlooking the study of services on unusual ports. In this work, we investigate where Internet services are deployed in practice and evaluate the security posture of services on unexpected ports. We show protocol deployment is more diffuse than previously believed and that protocols run on many additional ports beyond their primary IANA-assigned port. For example, only 3% of HTTP and 6% of TLS services run on ports 80 and 443, respectively. Services on non-standard ports are more likely to be insecure, which results in studies dramatically underestimating the security posture of Internet hosts. Building on our observations, we introduce LZR ("Laser"), a system that identifies 99% of identifiable unexpected services in five handshakes and dramatically reduces the time needed to perform application-layer scans on ports with few responsive expected services (e.g., 5500% speedup on 27017/MongoDB). We conclude with recommendations for future studies.
研究の動機と目的
- IANA割り当て以外の予期せぬポートにわたって、インターネットサービスがどのように展開されているかを評価する。
- 標準外ポートでホストされるサービスのセキュリティ姿勢を評価する。
- インターネット全体スキャン中に予期せぬサービスを識別・指紋付けするための、高速でスケーラブルな方法を開発する。
- 将来の測定研究とオープンソースツール開発への推奨事項を提供する。
提案手法
- 37個の人気ポートおよび追加ポートにわたって、L4 TCP応答性とアプリケーション層(L7)ハンドシェイクを比較する大規模なインターネット全体スキャンを実施する。
- ハンドシェイク挙動からサーバー状態(データの受け入れとデータの acknowledgementを含む)を推定するTCP状態推定手法を開発する。
- スキャン結果に影響を与えるミドルボックスとファイアウォール保護を特徴づける(zero-window、接続拒否、動的ブロッキングなど)。
- LZR(Laser)を導入して話さないホストをフィルタリングし、予期せぬサービスを高効率で識別する(単一パケットで88%の指紋付け、5回のハンドシェイクで99%)
- 未割り当てポートおよび割り当て済みポート上の予期せぬサービスの分布とセキュリティを分析し、IoT機器の関与を含む。
実験結果
リサーチクエスチョン
- RQ1IANA割り当てポートと比べて、非標準ポート全体へのプロトコル展開はどれだけ散在しているか?
- RQ2予期せぬポートで稼働するサービスと期待されるポートでのサービスのセキュリティ姿勢はどうか?
- RQ3高速でスケーラブルなシステムは高精度かつ低オーバーヘッドで予期せぬインターネットサービスを識別・指紋付けできるか?
- RQ4TCPリブネスとL7ハンドシェイクの成功に影響を与える保護機構(ミドルボックス/ファイアウォール)は何で、スキャンへどのように影響するか?
主な発見
- HTTPサービスのうちポート80、TLSサービスのうちポート443はそれぞれ3.0%、6.4%しか稼働しておらず、プロトコル展開が非常に分散していることを明らかにしている。
- 37の人気ポートで、ポート別に見て最大96%のサービスが期待されるL7ハンドシェイクを完了しない。
- 人気ポートのサービスの平均16%、非人気ポートの40%がsyn-ack後にデータを acknowledgement しない。
- LZRは識別可能なサービスの88%を単一パケットで、識別可能な予期せぬサービスの99%を5回のハンドシェイクで指紋付けできる。
- 27017/MongoDBポートでは、LZRはスキャン時間を55倍短縮し、MongoDBサービスの99.6%を識別し、予期せぬプロトコルを持つ追加の23Kホストを発見する。
- 非標準ポートの予期せぬサービスはセキュリティ姿勢が弱い傾向にあり、IoT関連であることが多い(例:予期しないポート上のTLSはIoT機器に関連することが多い)。
![Figure 2 : Client Perspective of Server TCP State —We investigate L7 service liveness based on a modified version of the TCP state machine in RFC 793 [ 54 ] . We introduce two new states: “accepts data” and “acknowledges data” because an established connection cannot necessarily exchange data.](https://ar5iv.labs.arxiv.org/html/2301.04841/assets/x2.png)
より良い研究を、今すぐ始めましょう
論文設計から論文執筆まで、研究時間を劇的に削減しましょう。
クレジットカード登録不要
このレビューはAIが作成し、人間の編集者が確認しました。