TOP > 研究成果 > AmpPot: Honeypot for Monitoring Amplification DDoS Attack


日本語 | English

AmpPot: Honeypot for Monitoring Amplification DDoS Attack



  • 2016/04/12: DRDoS関連研究のページを新設
  • 2016/03/18: 電子情報通信学会総合大会にてAmpPotの成果を発表しました。
  • 2015/11/04: "AmpPot: Monitoring and Defending Amplification DDoS Attacks"がRAID2015に採録されました.
  • 2016/04/12: Released AmpPot web site.
  • 2016/03/18: Presented our AmpPot work at IEICE General Conference.
  • 2015/11/04: "AmpPot: Monitoring and Defending Amplification DDoS Attacks" was accepted on RAID2015.





近年,インターネット上に存在する機器を利用して攻撃対象に大量のパケッ トを送りつけることによりサービスを妨害する,DRDoS攻撃 (Distributed Reflection Denial-of-Service Attack) が大きな問題となっています.この ような脅威に対抗するため,我々は,AmpPot(DRDoSハニーポット)と呼ばれ るDRDoS攻撃の観測システムを開発し,DRDoS攻撃の継続的な観測・分析を行っ ています.

Recently, amplification DDoS attack (a.k.a Distributed Reflection Denial-of-Service attack, DRDoS attack) --- a kind of Denial-of-Service attack that abuses a lot of network devices and floods the bandwidth of a target --- has become a major threat on the Internet. To confront this threat, we are developing an observation system of amplification DDoS attacks called AmpPot (DRDoS Honeypot) to observe and analyze and analysis of this type of attacks.

図1. AmpPotの概要
Figure 1. Overview of AmpPot

当研究室では,2012年10月よりAmpPotを用いたDRDoS攻撃の観測を行っています. AmpPotが観測した攻撃数の推移を図2に示します.時期により私達が観測に使用する AmpPotの数は異なりますが,ここ2〜3年でDRDoS攻撃の数が急増しており,インター ネット上の大きな脅威となっていることがわかります.

We have been observing amplification DDoS attacks using AmpPots since October, 2012. Figure 2 shows the number of attacks that our AmpPots observed. The number of our AmpPot sensors varies depending on the period, but the number of attacks have been rapidly increasing for the past few years and this trend shows that amplification DDoS attack has become a major threat on the Internet.

図2. AmpPotが観測したDRDoS攻撃数の推移
Figure 2. The number of amplification DDoS attacks that AmpPots observed.

当研究室では,DRDoS攻撃を継続的に観測・分析することにより,DRDoS攻撃の傾向の 把握や,観測技術を応用したDRDoS攻撃対策技術の研究開発を実施しています.

By observing and analyzing amplfication DDoS attacks continuously, we aim to understand the trends of attacks and to develop countermeasures against the attacks using these technologies.


Alert System

当研究室では,AmpPotの技術を応用したDRDoS攻撃アラートシステムを開発・運用 しており,日本国内の複数の組織に情報の提供を実施しています.

We are developing alerting system of amplifcation DDoS attacks using AmpPot technologies, and are providing its attack information to number of ogranizations in Japan.

図3. DRDoSアラートシステムの構成
Figure 3. Amplification DDoS alert system
図4. アラート数の推移
Figure 4. The number of amplification DDoS attack alerts.




The following datasets are available.

1. MWS Dataset 2015

AmpPotのPCAPファイルをMWS Datasetの枠組みで提供しています.データセットには ,2015年5月31日から6月6日までの7日間分のデータが含まれます.

We provide PCAP files of AmpPot in MWS Dataset. This dataset includes PCAP files for 7 days from May 31st, 2015 to June 6th, 2015 (JST).


MWS2015 (English):


Periodical Reports


We will release observational reports of amplification DDoS attakcs periodically.



本研究やデータセット,アラートシステムにご興味のある方は,以下の連絡先へご連 絡下さい.

If you are intrested in the research, datasets or alerting system, feel free to contact us via E-mail.


  • ips-dos(atmark)



  1. Lukas Kramer, Johannes Krupp, Daisuke Makita, Tomomi Nishizoe, Takashi Koide, Katsunari Yoshioka, Christian Rossow, "AmpPot: Monitoring and Defending Amplification DDoS Attacks," Proceedings of the 18th International Symposium on Research in Attacks, Intrusions and Defenses (RAID’15).
  2. Takashi Koide, Daisuke Makita, Katsunari Yoshioka, Tsutomu Matsumoto, "Observation and Analysis of TCP-based Reflection DDoS Attacks Using Honeypot,” Posters of the 18th International Symposium on Research in Attacks, Intrusions and Defenses (RAID’ 15).
  3. 牧田大佑,吉岡克成,松本勉:DNSハニーポットによるDNSアンプ攻撃の 観測,情報処理学会論文誌,Vol.55,No.9,pp.2021-2033,2014.
  4. 牧田大佑,吉岡克成,松本勉,中里純二,島村隼平,井上大介:DNSアン プ攻撃の事前対策へ向けたDNSハニーポットとダークネットの相関分析, 情報処理学会論文誌,Vol.56,No.3,pp.921-931,2015.
  5. 西添友美,牧田大佑,吉岡克成,松本勉:プロトコル非準拠のハニー ポットによるDRDoS攻撃の観測,電子情報通信学会,暗号と情報セキュリ ティシンポジウム(SCIS),2015.



This is a joint work between Yokohama National University, Japan, the National Institute of Information and Communications Technology (NICT), Japan and Saarland University, Germany.