Home » » 攻撃の分析(パート1)

攻撃の分析(パート1)

ドン・パーカー

このシリーズは、ネットワークの脆弱性をテーマとしています。この記事で紹介するのは、偵察から列挙、ネットワーク サービスの悪用、そして通知の悪用戦略に至るまでの実際の攻撃です。

これらすべてのステップはデータ パケット レベルで観察され、詳細に説明されます。パケット レベルで攻撃を観察し理解できることは、システム管理者とネットワーク セキュリティ担当者の両方にとって非常に重要です。実際のネットワーク トラフィックを確認するために、ファイアウォール、侵入検知システム (IDS)、およびその他のセキュリティ デバイスの出力が常に使用されます。パケット レベルで何が表示されているかを理解しないと、ネットワーク セキュリティ テクノロジがすべて無意味になります。

サイバー攻撃のシミュレーションに使用されるツールは次のとおりです。

セットアップ手順

今日のインターネットでは、ワームやウイルスなどのマルウェアの動作だけでなく、スキャン動作も多数行われています。それらはすべて、十分に保護されたコンピュータ ネットワークにとっては無害なノイズにすぎません。私たちが注目すべきは、コンピュータネットワークを意図的に標的にしている人物です。この記事では、攻撃者がすでに被害者を攻撃しており、被害者の IP アドレスやネットワーク アドレスを調べるなどの事前調査を行っているものと想定します。この攻撃者は、そのネットワークに関連付けられた電子メール アドレスなどの情報を悪用しようとした可能性もあります。この種の情報は、攻撃者がスキャン、列挙、スプーフィングなどのアクションを実行した後、ネットワークを見つけたが侵入する方法がない場合に非常に重要です。彼が収集した電子メール アドレスは、電子メール内のリンクを介してユーザーを悪意のある Web サイトに誘導するクライアント側攻撃を仕掛ける際に役立ちます。これらの種類の攻撃については、次の記事で紹介します。

仕組み

ハッカーが被害者のネットワークをスキャンして列挙する様子を観察する必要があります。ハッカーが最初に使用するツールは Nmap です。 Nmap には IDS シグネチャが比較的少ないですが、それでも非常に便利で広く使用されているツールです。

攻撃の分析(パート1)

上に示した小さな画面でハッカーが使用した構文から、ハッカーは、Metasploit Framework を通じて使用できるエクスプロイトをいくつか持っているため、ポート 21 と 80 を選択したことがわかります。それだけでなく、システム サービスとプロトコルについても彼はよく理解していました。彼が最も一般的に使用されるタイプのポートスキャンである SYN スキャンを使用していることは明らかです。これは、ポートをリッスンしている TCP サービスが SYN パケットを受信すると、SYN/ACK (応答) パケットを送り返すという事実によるものです。 SYN/ACK パケットは、サービスが実際に接続をリッスンして待機していることを示します。ただし、UDP の場合は同じ問題は発生しません。UDP は DNS などのサービスに依存します (DNS も TCP を使用しますが、トランザクションの大部分は UDP を使用します)。

以下にリストされている構文は、Nmap が送信したパケットから収集した出力ですが、より正確には、実行した SYN スキャンの結果として受信したパケットから収集した出力です。表面的には、FTP サービスと HTTP サービスの両方が提供されているように見えます。 MAC アドレスについては特に気にしないので無視します。 Nmap のようなツールはエラーが発生しにくいため、パケット レベルで情報を検証して正確性を確認するのに適しています。それだけでなく、被害者ネットワークからの返信パケットを観察して、そこからアーキテクチャ、サービス、ホスト情報を収集することもできます。

パケットを調べる

現在、パケットを調べて、オペレーティング システムの種類、x86 や SPARC などのアーキテクチャ情報などの重要な情報を見つけるプログラムが多数あります。それだけでは十分ではありませんが、プログラムに作業を任せる方法を学ぶときには重要です。それを念頭に置いて、Nmap パケット トレースを調べて、被害者のネットワークに関する情報を調べてみましょう。

10:52:59.062500 IP (tos 0x0, ttl 43, id 8853, offset 0, flags [none], proto: ICMP (1), length: 28) 192.168.111.17 > 192.168.111.23: ICMP echo request seq 38214, length 8
0x0000: 4500 001c 2295 0000 2b01 0dd3 c0a8 6f11 E..."...+.....o.
0x0010: c0a8 6f17 0800 315a 315f 9546 ..o...1Z1_.F
10:52:59.078125 IP (tos 0x0, ttl 128, id 396, offset 0, flags [none], proto: ICMP (1), length: 28) 192.168.111.23 > 192.168.111.17: ICMP echo reply seq 38214, length 8
0x0000: 4500 001c 018c 0000 8001 d9db c0a8 6f17 E.............o.
0x0010: c0a8 6f11 0000 395a 315f 9546 0000 0000 ..o...9Z1_.F....
0x0020: 0000 0000 0000 0000 0000 0000 0000 ..............

上記の 2 つのパケットに表示されているのは、Nmap からのオープン バッチです。実行されるのは、被害者のネットワークに ICMP エコー要求を送信することです。 ICMP はポートを使用せず、TCP/IP プロトコル スタックに組み込まれた ICMP エラー メッセージ ジェネレータによって管理されるため、特定のポートには装備されていないことがわかります。この ICMP パケットには、TCP/IP スタックが戻りトラフィックを調べ、それを以前に送信された ICMP パケットと関連付けるために、一意の番号 (この場合は 38214) もラベル付けされます。上記のパケットは、ICMP エコー応答の形式で被害者ネットワークから返された応答です。また、文字列番号 38214 も考慮されます。これにより、ハッカーは、その IP アドレスの背後にコンピューターまたはネットワークがあることを知ることができます。

このオープン ICMP パケット シーケンスが、Nmap に IDS 表記がある理由です。必要に応じて、Nmap で ICMP ホスト検出オプションを無効にすることができます。被害者ネットワークからの ICMP エコー応答パケットの結果からどのような種類の情報を収集できますか?実際のところ、ネットワークを理解するのに役立つ情報はここにはあまりありません。ただし、オペレーティング システムに関連する領域では、予備的な手順を引き続き使用できます。上記のパッケージでは、フィールドに入力する時間とその横の値が太字で強調表示されています。値 128 は、このコンピューターがおそらく Windows コンピューターであることを示します。 ttl 値は OS に関連するものを正確には答えませんが、次に検討するパッケージの基礎となります。

結論

このパート 1 では、Nmap を使用して 2 つの特定のポートに対する攻撃のネットワーク スキャンについて説明しました。この時点で、攻撃者はその IP アドレスにコンピューターまたはコンピューター ネットワークが存在することを確実に認識します。このシリーズの第 2 部では、このパケットのトレースの調査を継続し、他にどのような情報を収集できるか調べます。

攻撃の分析(パート1)攻撃の分析(パート2)
攻撃の分析(パート1)攻撃の分析(パート3)

Tags: #サイバー攻撃 #ハッカー
Sign up and earn $1000 a day ⋙

Leave a Comment

攻撃の分析(パート3)

攻撃の分析(パート3)

このシリーズのパート 2 では、被害者のネットワークへの攻撃に必要なすべての情報を残しました。

攻撃の分析(パート2)

攻撃の分析(パート2)

パート 1 では、Nmap によって送信されたパケット シーケンスを開いたときに観察できる情報を説明しました。送信されるシーケンスは、コンピューターまたはネットワークに IP アドレスが割り当てられているかどうかを判断するための ICMP エコー応答から始まります。

通常のテレビとスマートテレビの違い

通常のテレビとスマートテレビの違い

スマートテレビはまさに世界を席巻しています。数多くの優れた機能とインターネット接続により、テクノロジーはテレビの視聴方法を変えました。

なぜ冷凍庫にはライトがないのに、冷蔵庫にはライトがあるのでしょうか?

なぜ冷凍庫にはライトがないのに、冷蔵庫にはライトがあるのでしょうか?

冷蔵庫は家庭ではよく使われる家電製品です。冷蔵庫には通常 2 つの部屋があり、冷蔵室は広く、ユーザーが開けるたびに自動的に点灯するライトが付いていますが、冷凍室は狭く、ライトはありません。

Wi-Fiの速度低下を引き起こすネットワーク混雑を解決する2つの方法

Wi-Fiの速度低下を引き起こすネットワーク混雑を解決する2つの方法

Wi-Fi ネットワークは、ルーター、帯域幅、干渉以外にも多くの要因の影響を受けますが、ネットワークを強化する賢い方法がいくつかあります。

Tenorshare Reibootを使ってデータ損失なくiOS 17からiOS 16にダウングレードする方法

Tenorshare Reibootを使ってデータ損失なくiOS 17からiOS 16にダウングレードする方法

お使いの携帯電話で安定した iOS 16 に戻したい場合は、iOS 17 をアンインストールして iOS 17 から 16 にダウングレードするための基本ガイドを以下に示します。

ヨーグルトを毎日食べると体に何が起こるのでしょうか?

ヨーグルトを毎日食べると体に何が起こるのでしょうか?

ヨーグルトは素晴らしい食べ物です。ヨーグルトを毎日食べるのは良いことでしょうか?ヨーグルトを毎日食べると、身体はどう変わるのでしょうか?一緒に調べてみましょう!

健康に最も良いお米の種類は何ですか?

健康に最も良いお米の種類は何ですか?

この記事では、最も栄養価の高い米の種類と、どの米を選んだとしてもその健康効果を最大限に引き出す方法について説明します。

朝時間通りに起きる方法

朝時間通りに起きる方法

睡眠スケジュールと就寝時の習慣を確立し、目覚まし時計を変え、食生活を調整することは、よりよく眠り、朝時間通りに起きるのに役立つ対策の一部です。

Rent Please! をプレイするためのヒント初心者向け大家シミュレーション

Rent Please! をプレイするためのヒント初心者向け大家シミュレーション

レンタルして下さい! Landlord Sim は、iOS および Android 向けのシミュレーション モバイル ゲームです。あなたはアパートの大家としてプレイし、アパートの内装をアップグレードして入居者を受け入れる準備をしながら、アパートの賃貸を始めます。

最新のバスルームタワーディフェンスコードとコードの入力方法

最新のバスルームタワーディフェンスコードとコードの入力方法

Bathroom Tower Defense Roblox ゲーム コードを入手して、魅力的な報酬と引き換えましょう。これらは、より高いダメージを与えるタワーをアップグレードしたり、ロックを解除したりするのに役立ちます。

変圧器の構造、記号、動作原理

変圧器の構造、記号、動作原理

変圧器の構造、記号、動作原理を最も正確な方法で学びましょう。

AIがスマートテレビを進化させる4つの方法

AIがスマートテレビを進化させる4つの方法

画質や音質の向上から音声制御まで、これらの AI 搭載機能により、スマートテレビはさらに優れたものになります。

ChatGPTがDeepSeekより優れている理由

ChatGPTがDeepSeekより優れている理由

当初、人々はDeepSeekに大きな期待を寄せていました。 ChatGPT の強力な競合製品として販売されている AI チャットボットは、インテリジェントなチャット機能とエクスペリエンスを約束します。

Fireflies.ai をご紹介します: 仕事の時間を節約できる無料の AI 秘書

Fireflies.ai をご紹介します: 仕事の時間を節約できる無料の AI 秘書

他の重要な事柄を書き留めるときに重要な詳細を見逃すことはよくありますし、チャットしながらメモを取ろうとすると気が散ってしまうこともあります。 Fireflies.ai が解決策です。

Minecraftでアホロートルを育てる方法、Minecraftでサラマンダーを飼いならす方法

Minecraftでアホロートルを育てる方法、Minecraftでサラマンダーを飼いならす方法

Axolot Minecraft は、使い方を知っていれば、水中で操作するときにプレイヤーにとって素晴らしいアシスタントになります。

『クワイエット・プレイス:ザ・ロード・アヘッド』PCゲーム設定

『クワイエット・プレイス:ザ・ロード・アヘッド』PCゲーム設定

『A Quiet Place: The Road Ahead』の構成は非常に高く評価されているため、ダウンロードを決定する前に構成を考慮する必要があります。