【はじめに】

　セキュリティ・キャンプのお話をするキャンバン。
　キャンバンが何の略可分からないけど、今日ありました〜。

　今回はセキュリティでもネットワークのセキュリティについて
　みなさんがお話してくれるので非常に楽しみ…。

　リアルタイムでブログ書いてるので、日本語がおかしいかも
　　（いやそれ元から）

【園田さん - 通信パケット】

　園田さんは、ネットワークパケットやTCP/UDPに対するスキャンについて解説をしてる。

　>突然のSnortシグネチャ<

　Snortのシグネチャについてにも簡単に説明をしています。

　Wireshark…。
　TCP通信がどのようにWiresharkで見えるか、どうか。

　telnetの見ちゃダメ！っていうパケットを見てる…。

　攻撃したらSSLの通信が見えちゃう（平文）。

　>パケットの中からアセンブリのソースが…＜

　＞start msblast.exe

　レアなパケットを集めているサイトが有る
-> ここ。OPSFのパケットもある。

Packet Analysis 2011 Chaenges
3問ぐらいあって、そこから問題を解いていく。

　 DEFCON 18 -- Packet Madness 200
These folks seak a different language. Join their site and translate the key for us.
の解説を園田さんがする…(?)

Chris Sandersさんがパケットの本以外に面白いパケットをまとめている

　
　Wiresharkがsampleのパケットを公開している.

ここで、園田さんからジェームズさんにバトンタッチ。

【ジェームズさん -- パケット工作から学ぶNWSec】

　
　セキュリティ・キャンプで使ったスライドを使っているので、
　うーんって感じかと思ったけど、がんばります。
　あのときしゅーとくんと「あれな」って感じで見てます。

　バイナリのパケットを16進数にした場合、0806が書かれていたらそれはARP
　0800はIPアドレス…２つが一つのパケットに書かれていたら、
　つまり ARP/IPということがわかる。。

%iptables -P INPUT DROP

【殿様ぁあああ -- パケット偽装】

　・通信プロトコル - 「人が決めたこと」
　・孫子の兵法
　　 - 人より早めに攻撃(?)

　　【悪い例】電話

悪人A 善人B

もしもし？オレオレ
----------->

　　はいはい、たかし？
<----------

　　たかしだけど〜
------------>

どうしたの、たかし
<------------
　
みたいなことをプロトコル上でする。

偽装通信の定義：
　　1.情報を転送しているように見えない
2.リソースのステータスが入るべき値に任意の値を入れて送る
3.リソースの配置ポリシーと、管理実装の結果を…（ぷつん

実際の偽装通信は？

　・もうちょっと多様化している
　　 - レイヤも関係なし
　　 - Proxy も関係なし

　・正常な通信しか見えないようにしている
- Bot や標的型攻撃などにも使われている
最近の攻撃では、ZeusBotやSpyEyeなどが使われている。
独自のプロトコルで、違うところに送っているように見て、偽装していることもある。

偽装のアプローチ

・本来「通信データとして使われている」と意図されないところに「任意の」
　　データを配置する　 - 今回のメイン

・データを受信する他意タイミングを符号化する

- ばれない通信路
- 「これ？」っていう通信路

を攻撃者目線から見つけることが重要。

TCPペイロードに隠す
- GNU httptunnnel
- HTTPTunnel@JUMPERZ_NET

ICMPペイロード

GNU httptunnel
- Cで書かれたトンネルプログラム
- HTTPトラフィックに、別の通信内容を載せる
- hts (サーバ)とhtc(クライアント)がHTTP

HTTPのトンネル

ICMPペイロード

・Tunnel Shell
- ICMP パケットを使って、シェルイン…（ぷつん）