Index    ソフト・ハード    ネットワークタスク

ネットワーク攻撃

クラッキング  状態確認  侵入・攻撃  ポートスキャン  バッファオーバフロー  SQLインジェクション  XSS  メールの不正中継  ステルス対策  想定外の通信

クラッキングの手順  ・ターゲット、ホストの存在確認  ・調査 提供サービスの調査 OS、サーバソフトの種類、バージョン確認 侵入 攻撃  状態確認  ・Pingスキャン スキャン検出ツール pingの応答拒否  ・ポートスキャン アクティブなポートスキャン 調査対象のホストの全ポートへ手当たりしだいパケットを投げる。（Nmap） 確実に判断できる。 時間がかからない。 ファイアウォールが感知すると対応措置が働く。 一瞬しかサービスがあがらないものは見落とす可能性あり。 攻撃準備行為とみなされる。 パッシブなポートスキャン NW上のトラフィックをもとに、サービスを提供しているポートを調べる。 一瞬しかサービスがあがらないものでもわかる。 ポートが開いていても通信が発生しないとわからない。 UDPの判断は難しい。 NWatch：トラフィック中のIPパケットを追跡  ・ネームスキャン  侵入・攻撃  ・バッファオーバーフロー 対策（Libsafe） AVAYA LABS RESEARCH インストール（RPMパッケージ）  ・スニッファ  ・Dos攻撃 PingFlood（Smurf）  ・SYN Flood攻撃  ・SPAMメール  ・成りすましメール  ・迷惑メール  ポートスキャン  ①TCPのポートスキャン   TCPヘッダ  ・TCPコネクションスキャン １、ターゲットのTCPポートにSYNフラグ付きのパケット送信 ２、ターゲットの応答待ち ３、１、ACKフラグ付きのパケットが戻ればそのポートは開き ACKフラグ付きのパケット送信 ３、２、RST/ACKフラグ付きのパケットが戻ればポートは閉じている。 ３、３、応答無しは、通信が遮断された。（ドロップパケット）  ・TCPハーフスキャン （SYNスキャン） 途中で接続をキャンセル、AP層に制御を渡さない （ログ回避、ステルススキャン） １、ターゲットのTCPポートにSYNフラグ付きのパケット送信 ２、ターゲットの応答待ち ３、１、ACKフラグ付きのパケットが戻ればそのポートは開き RST/ACKフラグ付きのパケット送信 ３、２、RST/ACKフラグ付きのパケットが戻ればポートは閉じている。 ３、３、応答無しは、通信が遮断された（ドロップパケット）  ・FINスキャン （ログ回避、ステルススキャン） 接続待ちTCPポートと、閉じてるTCPポートの応答の違いを利用 RFC793 接続待ちTCPポートに、FINフラグ付きのパケットがきたら無視 (通信経路が込み合っている場合は、誤報の可能性あり） 閉じられた状態のTCPポートに、FINフラグ付きのパケットがきたら RSTフラグ付きのパケットを送信 （Windows は、RFC793 に準拠してない。）  ・ACKスキャン ACKフラグ付きのパケット送信 （ログ回避、ステルススキャン）  ・クリスマスツリースキャン （X-masスキャン） FIN/PUSH/URGフラグONのパケット送信 （ログ回避、ステルススキャン）  ・Nullスキャン 全てのフラグOFFのパケット送信 （ログ回避、ステルススキャン）  ・アイドルスキャン 代理のスキャン用ホストを利用して、標的ホストのTCPポートの開放状況を判断  ②UDPのポートスキャン  ・ICMP Port Unreachable 検出型  ・サービスレスポンス検出型  ③ポートスキャナ  ・Nmap # nmap スキャンタイプ オプション スキャン対象ホスト/ネットワーク TCPコネクションスキャン 「-sT」 C言語、connect() 関数でコネクション確立を確認 TCPハーフオープンスキャン （SYNスキャン）「-sS」 UDPスキャン「-sU」 FINスキャン 「-sF」 TCP Nullスキャン「-sN」 TCPクリスマスツリースキャン （X-masスキャン） 「-sX」 デコイオプション 偽の複数のホストからの通信らしいパケットを織り交ぜる。  バッファオーバーフロー  ・プログラマのミスによるプログラムの欠陥  ・プログラマに委ねられているデータの境界チェックの仕組みがない場合 ユーザが入力したデータが意図しない大きさでも処理を行う。 あらかじめデータ格納用に確保した領域の外のデータも上書き 結果として、プログラムの誤動作などが発生  ・バッファオーバフローを利用して任意のコードを実行 スタックベースのバッファオーバフロー ヒープベースのバッファオーバフロー  SQLインジェクション  ・ユーザからの不正な入力をそのままでDBに渡すことで不正にデータを操作  ・対策 入力データをチェックし、エラー出力しない チェックはサーバサイトで行う（レスポンスは遅い）  クロスサイトスクリプティング （悪意あるHTMLタグ混入問題）  ・（アドバイザリ CA-2002-02の記述） ユーザからの入力値によって、不正なHTMLが生成されることがある。  ・脆弱なWebサイト 他のサイトから送られてきたスクリプトが自サイトのスクリプトとしてクライアントに出る。 スクリプトが実行されるのはクライアントのWEBグラウザ  ・Cookie の取得  ・通常のスクリプトで、WEBブラウザ上のユーザ情報などの取得  ・WEBブラウザ上のクライアントスクリプトエンジンを使った任意のファイルの取得など  メールの不正中継  ・利用する行為 大量のメール送信（スパム） 費用対効果 身元を隠せる、興味を持たなかった人々からに苦情回避 メール爆弾 特定のメールアドレスのメールボックスを溢れさせる。 なりすまし  ステルス対策  ・pingに対する応答 デメリット、pingが使用できない。  ・バナー情報の隠蔽 プロトコルスタック ネットワーク層 ICPMの一部のパケットを制限 AP層（OS、サーバソフトの種類、バージョン確認） APの設定 ネットワーク位置 ルータでの隠蔽 サーバが受信するICPM Echo Requestと、 外部NWへ送信するICPM Echo Request Replyを破棄 サーバでの隠蔽 サーバが受信するICPM Echo Requestと、 外部NWへ送信するICPM Echo Request Replyを破棄 OS、サーバソフトの種類、バージョン Webサーバ 組み込みモジュールの抑制 署名の抑制 SMTPサーバ Receivedフィールドの制御 グリーティングメッセージの制御 バージョン表示の抑制 POPサーバ グリーティングメッセージの制御 DNSサーバ バージョン表示の抑制  ・デメリット ping：pingが使用できない。 ICPM：設定ミスで、全ICPM 遮断（ブラックホールルーター）  想定外の通信  ・発見 トラフィックの非対称性 不自然に長いコネクション 切断を防ぐ小さなデータ（KeepAlive） 何らかの暗号化通信、トンネル通信 IDSによる検出  ・通信を遮断（ブロック）しやすい契機（手がかり） サービスポートが固定 決まったシグネチャ（パケットのパターン）を持つ。 決まったアドレスと通信  ・通信を遮断しづらいが、正しく使えば問題のない通信 Winny （P2Pソフト） 共有したいファイルをWinnyのネットワークで共有 通信がすべて暗号化 中継機能をもつ（ダウンロードしたものが自動的に公開される） 専用のウィルスに感染すると画面やファイルが公開される。 直接接続が必要なAP 外部と直接TCP接続（NATも含む）を切ればよい。（Proxy） （SoftEtherを用いる抜け道はある。） SoftEthe （Proxyサーバに対応したVPNソフト）  ・正しくない使用 ルールに違反 利用者のモラルの欠如 自分が使えば安全なHTTPS、SSHも、悪意をのある他人が使えば危険 それらのソフトを使った違法行為 ルールがない  ・対策 構成管理 不要なコンポーネントの排除

All Rights Reserved. Copyright (C) ITCL