Home » » 攻撃の分析(パート1)

攻撃の分析(パート1)

ドン・パーカー

このシリーズは、ネットワークの脆弱性をテーマとしています。この記事で紹介するのは、偵察から列挙、ネットワーク サービスの悪用、そして通知の悪用戦略に至るまでの実際の攻撃です。

これらすべてのステップはデータ パケット レベルで観察され、詳細に説明されます。パケット レベルで攻撃を観察し理解できることは、システム管理者とネットワーク セキュリティ担当者の両方にとって非常に重要です。実際のネットワーク トラフィックを確認するために、ファイアウォール、侵入検知システム (IDS)、およびその他のセキュリティ デバイスの出力が常に使用されます。パケット レベルで何が表示されているかを理解しないと、ネットワーク セキュリティ テクノロジがすべて無意味になります。

サイバー攻撃のシミュレーションに使用されるツールは次のとおりです。

セットアップ手順

今日のインターネットでは、ワームやウイルスなどのマルウェアの動作だけでなく、スキャン動作も多数行われています。それらはすべて、十分に保護されたコンピュータ ネットワークにとっては無害なノイズにすぎません。私たちが注目すべきは、コンピュータネットワークを意図的に標的にしている人物です。この記事では、攻撃者がすでに被害者を攻撃しており、被害者の IP アドレスやネットワーク アドレスを調べるなどの事前調査を行っているものと想定します。この攻撃者は、そのネットワークに関連付けられた電子メール アドレスなどの情報を悪用しようとした可能性もあります。この種の情報は、攻撃者がスキャン、列挙、スプーフィングなどのアクションを実行した後、ネットワークを見つけたが侵入する方法がない場合に非常に重要です。彼が収集した電子メール アドレスは、電子メール内のリンクを介してユーザーを悪意のある Web サイトに誘導するクライアント側攻撃を仕掛ける際に役立ちます。これらの種類の攻撃については、次の記事で紹介します。

仕組み

ハッカーが被害者のネットワークをスキャンして列挙する様子を観察する必要があります。ハッカーが最初に使用するツールは Nmap です。 Nmap には IDS シグネチャが比較的少ないですが、それでも非常に便利で広く使用されているツールです。

攻撃の分析(パート1)

上に示した小さな画面でハッカーが使用した構文から、ハッカーは、Metasploit Framework を通じて使用できるエクスプロイトをいくつか持っているため、ポート 21 と 80 を選択したことがわかります。それだけでなく、システム サービスとプロトコルについても彼はよく理解していました。彼が最も一般的に使用されるタイプのポートスキャンである SYN スキャンを使用していることは明らかです。これは、ポートをリッスンしている TCP サービスが SYN パケットを受信すると、SYN/ACK (応答) パケットを送り返すという事実によるものです。 SYN/ACK パケットは、サービスが実際に接続をリッスンして待機していることを示します。ただし、UDP の場合は同じ問題は発生しません。UDP は DNS などのサービスに依存します (DNS も TCP を使用しますが、トランザクションの大部分は UDP を使用します)。

以下にリストされている構文は、Nmap が送信したパケットから収集した出力ですが、より正確には、実行した SYN スキャンの結果として受信したパケットから収集した出力です。表面的には、FTP サービスと HTTP サービスの両方が提供されているように見えます。 MAC アドレスについては特に気にしないので無視します。 Nmap のようなツールはエラーが発生しにくいため、パケット レベルで情報を検証して正確性を確認するのに適しています。それだけでなく、被害者ネットワークからの返信パケットを観察して、そこからアーキテクチャ、サービス、ホスト情報を収集することもできます。

パケットを調べる

現在、パケットを調べて、オペレーティング システムの種類、x86 や SPARC などのアーキテクチャ情報などの重要な情報を見つけるプログラムが多数あります。それだけでは十分ではありませんが、プログラムに作業を任せる方法を学ぶときには重要です。それを念頭に置いて、Nmap パケット トレースを調べて、被害者のネットワークに関する情報を調べてみましょう。

10:52:59.062500 IP (tos 0x0, ttl 43, id 8853, offset 0, flags [none], proto: ICMP (1), length: 28) 192.168.111.17 > 192.168.111.23: ICMP echo request seq 38214, length 8
0x0000: 4500 001c 2295 0000 2b01 0dd3 c0a8 6f11 E..."...+.....o.
0x0010: c0a8 6f17 0800 315a 315f 9546 ..o...1Z1_.F
10:52:59.078125 IP (tos 0x0, ttl 128, id 396, offset 0, flags [none], proto: ICMP (1), length: 28) 192.168.111.23 > 192.168.111.17: ICMP echo reply seq 38214, length 8
0x0000: 4500 001c 018c 0000 8001 d9db c0a8 6f17 E.............o.
0x0010: c0a8 6f11 0000 395a 315f 9546 0000 0000 ..o...9Z1_.F....
0x0020: 0000 0000 0000 0000 0000 0000 0000 ..............

上記の 2 つのパケットに表示されているのは、Nmap からのオープン バッチです。実行されるのは、被害者のネットワークに ICMP エコー要求を送信することです。 ICMP はポートを使用せず、TCP/IP プロトコル スタックに組み込まれた ICMP エラー メッセージ ジェネレータによって管理されるため、特定のポートには装備されていないことがわかります。この ICMP パケットには、TCP/IP スタックが戻りトラフィックを調べ、それを以前に送信された ICMP パケットと関連付けるために、一意の番号 (この場合は 38214) もラベル付けされます。上記のパケットは、ICMP エコー応答の形式で被害者ネットワークから返された応答です。また、文字列番号 38214 も考慮されます。これにより、ハッカーは、その IP アドレスの背後にコンピューターまたはネットワークがあることを知ることができます。

このオープン ICMP パケット シーケンスが、Nmap に IDS 表記がある理由です。必要に応じて、Nmap で ICMP ホスト検出オプションを無効にすることができます。被害者ネットワークからの ICMP エコー応答パケットの結果からどのような種類の情報を収集できますか?実際のところ、ネットワークを理解するのに役立つ情報はここにはあまりありません。ただし、オペレーティング システムに関連する領域では、予備的な手順を引き続き使用できます。上記のパッケージでは、フィールドに入力する時間とその横の値が太字で強調表示されています。値 128 は、このコンピューターがおそらく Windows コンピューターであることを示します。 ttl 値は OS に関連するものを正確には答えませんが、次に検討するパッケージの基礎となります。

結論

このパート 1 では、Nmap を使用して 2 つの特定のポートに対する攻撃のネットワーク スキャンについて説明しました。この時点で、攻撃者はその IP アドレスにコンピューターまたはコンピューター ネットワークが存在することを確実に認識します。このシリーズの第 2 部では、このパケットのトレースの調査を継続し、他にどのような情報を収集できるか調べます。

攻撃の分析(パート1)攻撃の分析(パート2)
攻撃の分析(パート1)攻撃の分析(パート3)

Tags: #サイバー攻撃 #ハッカー
Sign up and earn $1000 a day ⋙

Leave a Comment

攻撃の分析(パート3)

攻撃の分析(パート3)

このシリーズのパート 2 では、被害者のネットワークへの攻撃に必要なすべての情報を残しました。

攻撃の分析(パート2)

攻撃の分析(パート2)

パート 1 では、Nmap によって送信されたパケット シーケンスを開いたときに観察できる情報を説明しました。送信されるシーケンスは、コンピューターまたはネットワークに IP アドレスが割り当てられているかどうかを判断するための ICMP エコー応答から始まります。

Samsung Galaxyスマートフォンで変更すべき12の設定

Samsung Galaxyスマートフォンで変更すべき12の設定

Samsung Galaxy スマートフォンを購入したばかりで、設定が必要ですか? Samsung の携帯電話をより快適に動作させるために変更すべき 10 個の設定を紹介します。

最新のMurder Mystery 2コードと入力方法

最新のMurder Mystery 2コードと入力方法

Code Murder Mystery 2 では、プレイヤーは自分のキャラクターにさらに多くのナイフ スキンを選択したり、サービスに使用したりゲーム内の他のものを購入したりするためにさらに多くのお金を獲得したりできます。

両親、配偶者、恋人、友人へのお祝いの気持ちが込められた28種類の美しい誕生日カードデザイン

両親、配偶者、恋人、友人へのお祝いの気持ちが込められた28種類の美しい誕生日カードデザイン

恋人、両親、友人、兄弟、同僚などの誕生日には、贈り物のほかに、お祝いの気持ちを込めたバースデーカードを送ることも忘れないでください。

面白いけど甘い、あなたの好きな人の心を「捕らえる」いちゃつくなぞなぞ

面白いけど甘い、あなたの好きな人の心を「捕らえる」いちゃつくなぞなぞ

これらの楽しいクイズは、強い印象を与え、好きな人の心を早く、そして楽しく征服するのに役立ちます。

コルキ DTCL シーズン 7: ビルドアイテム、標準コルキ ガンナー部隊

コルキ DTCL シーズン 7: ビルドアイテム、標準コルキ ガンナー部隊

Corki DTCL シーズン 7 では、敵チームを自由に破壊したい場合、制御を引き起こすための保護またはサポートが必要です。同時に、より効果的なダメージを与えるためには、コルキの装備も標準化する必要があります。

Mini World Royaleのダウンロード方法と遊び方の説明

Mini World Royaleのダウンロード方法と遊び方の説明

Mini World Royale のダウンロード リンクとプレイ手順は次のとおりです。Mini World Royale APK と Mini World Royale iOS の 2 つのバージョンがあります。

1314とは何ですか?

1314とは何ですか?

1314 は若者が愛の暗号としてよく使う数字です。しかし、1314 が何であるか、そしてそれが何を意味するのかを誰もが知っているわけではないのでしょうか?

有害な環境にいるときに心身の健康を守る方法

有害な環境にいるときに心身の健康を守る方法

有害な状況に対処することは信じられないほど困難になる可能性があります。有害な環境にうまく対処し、心の平穏を保つためのヒントをいくつか紹介します。

音楽が脳を刺激する方法

音楽が脳を刺激する方法

音楽は単なる娯楽ではなく、それ以上に多くの利点があることをほとんどの人が知っています。音楽が脳の発達を刺激する方法をいくつか紹介します。

食事で最も不足しがちな栄養素

食事で最も不足しがちな栄養素

食事は私たちの健康にとって非常に重要です。しかし、私たちの食生活のほとんどには、これら 6 つの重要な栄養素が不足していることが多いのです。

サークルKのCKクラブアプリを使って魅力的なオファーを受け取る方法

サークルKのCKクラブアプリを使って魅力的なオファーを受け取る方法

Circle K からのプロモーション情報を最も早く入手するには、CK Club アプリをインストールする必要があります。このアプリケーションは、買い物やサークル K での支払い時の料金と、集めたスタンプの数を保存します。

Instagramは最長3分間のリール動画を許可

Instagramは最長3分間のリール動画を許可

Instagramは、これまでの90秒の制限の2倍となる、最長3分間のリール動画をユーザーが投稿できるようにすると発表した。

ChromebookのCPU情報を表示する方法

ChromebookのCPU情報を表示する方法

この記事では、Chromebook で CPU 情報を表示し、CPU 速度を直接確認する方法について説明します。

古いAndroidタブレットでできる8つのクールなこと

古いAndroidタブレットでできる8つのクールなこと

古いタブレットを売却したり譲渡したりしたくない場合は、高品質のフォトフレーム、音楽プレーヤー、電子書籍および雑誌リーダー、家事アシスタント、サブスクリーンとして、5 つの方法で使用できます。

美しい爪を早く手に入れる方法

美しい爪を早く手に入れる方法

美しく輝く健康な爪を早く手に入れたい。以下に美しい爪のための簡単なヒントをご紹介しますので、ぜひご参考ください。