【久々ぎじゅつ 】キャンバン in Osaka
【はじめに】
セキュリティ・キャンプのお話をするキャンバン。
キャンバンが何の略可分からないけど、今日ありました〜。
今回はセキュリティでもネットワークのセキュリティについて
みなさんがお話してくれるので非常に楽しみ…。
リアルタイムでブログ書いてるので、日本語がおかしいかも
(いやそれ元から)
【園田さん - 通信パケット】
園田さんは、ネットワークパケットやTCP/UDPに対するスキャンについて解説をしてる。
Wireshark…。
TCP通信がどのようにWiresharkで見えるか、どうか。
telnetの見ちゃダメ!っていうパケットを見てる…。
攻撃したらSSLの通信が見えちゃう(平文)。
>パケットの中からアセンブリのソースが…<
>start msblast.exe
レアなパケットを集めているサイトが有る
-> ここ。OPSFのパケットもある。
Packet Analysis 2011 Chaenges
3問ぐらいあって、そこから問題を解いていく。
DEFCON 18 -- Packet Madness 200
These folks seak a different language. Join their site and translate the key for us.
の解説を園田さんがする…(?)
Chris Sandersさんがパケットの本以外に面白いパケットをまとめている
Wiresharkがsampleのパケットを公開している.
ここで、園田さんからジェームズさんにバトンタッチ。
【ジェームズさん -- パケット工作から学ぶNWSec】
セキュリティ・キャンプで使ったスライドを使っているので、
うーんって感じかと思ったけど、がんばります。
あのときしゅーとくんと「あれな」って感じで見てます。
バイナリのパケットを16進数にした場合、0806が書かれていたらそれはARP
0800はIPアドレス…2つが一つのパケットに書かれていたら、
つまり ARP/IPということがわかる。。
%iptables -P INPUT DROP
【殿様ぁあああ -- パケット偽装】
・通信プロトコル - 「人が決めたこと」
・孫子の兵法
- 人より早めに攻撃(?)
【悪い例】電話
悪人A 善人B
もしもし?オレオレ
----------->
はいはい、たかし?
<----------
たかしだけど〜
------------>
どうしたの、たかし
<------------
みたいなことをプロトコル上でする。
偽装通信の定義:
1.情報を転送しているように見えない
2.リソースのステータスが入るべき値に任意の値を入れて送る
3.リソースの配置ポリシーと、管理実装の結果を…(ぷつん
実際の偽装通信は?
・もうちょっと多様化している
- レイヤも関係なし
- Proxy も関係なし
・正常な通信しか見えないようにしている
- Bot や標的型攻撃などにも使われている
最近の攻撃では、ZeusBotやSpyEyeなどが使われている。
独自のプロトコルで、違うところに送っているように見て、偽装していることもある。
偽装のアプローチ
・本来「通信データとして使われている」と意図されないところに「任意の」
データを配置する - 今回のメイン
・データを受信する他意タイミングを符号化する
- ばれない通信路
- 「これ?」っていう通信路
を攻撃者目線から見つけることが重要。
TCPペイロードに隠す
- GNU httptunnnel
- HTTPTunnel@JUMPERZ_NET
ICMPペイロード
GNU httptunnel
- Cで書かれたトンネルプログラム
- HTTPトラフィックに、別の通信内容を載せる
- hts (サーバ)とhtc(クライアント)がHTTP
HTTPのトンネル
ICMPペイロード
・Tunnel Shell
- ICMP パケットを使って、シェルイン…(ぷつん)