攻撃の分析（パート2）

攻撃の分析（パート1）

ドン・パーカー

パート 1 では、Nmap によって送信されたパケット シーケンスを開いたときに観察できる情報を説明しました。送信されるシーケンスは、コンピューターまたはネットワークに IP アドレスが割り当てられているかどうかを判断するための ICMP エコー応答から始まります。

さらに、攻撃を受けたコンピュータが送り返す ICMP エコー応答パケットの TTL を調べることで、攻撃を受けたコンピュータのネットワークが Windows ベースのネットワークであると推測することもできます。今行うべきことは、Nmap スキャナーで残りのパケットを継続的に監視し、被害者のネットワークのプロファイルを知ることができる残りの情報を見つけることです。

続く

10:52:59.078125 IP (tos 0x0, ttl 49, id 9808, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.111.17.37668 > 192.168.111.23.80: ., cksum 0xfd46 (correct), ack 85042526 win 2048
0x0000: 4500 0028 2650 0000 3106 0407 c0a8 6f11 E..(&P..1.....o.
0x0010: c0a8 6f17 9324 0050 67d1 a55e 0511 a55e ..o..$.Pg..^...^
0x0020: 5010 0800 fd46 0000 P....F..

10:52:59.078125 IP (tos 0x0, ttl 128, id 397, offset 0, flags [none], proto: TCP(6), length: 40) 192.168.111.23.80 > 192.168.111.17.37668: R, cksum 0x6813 (correct), 85042526:85042526(0)win 0
0x0000: 4500 0028 018d 0000 8006 d9c9 c0a8 6f17 E..(..........o.
0x0010: c0a8 6f11 0050 9324 0511 a55e 0511 a55e ..o..P.$...^...^
0x0020: 5004 0000 6813 0000 0000 0000 0000 P...h.........

上記の 2 つのパケットは、パート 1 で確認した ICMP パケットの後に発生します。Nmap は、ポート 80 の被害者ネットワーク IP 192.168.111.23 に ACK パケットを送信しました。偽装された情報であるため、ここでは全体像はわかりません。この ACK は予期されていなかったため、攻撃者から受信した ACK パケットは応答として RST パケットであったことだけがわかります。本質的には、以前に確立された接続の一部ではありません。以前観測された TTL に対応する 128 の TTL がまだ残っています。

10:52:59.296875 IP (tos 0x0, ttl 58, id 45125, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.111.17.37644 > 192.168.111.23.21: S, cksum 0x37ce (correct), 2010644897:2010644897(0) win 3072
0x0000: 4500 0028 b045 0000 3a06 7111 c0a8 6f11 E..(.E..:.q...o.
0x0010: c0a8 6f17 930c 0015 77d8 01a1 0000 0000 ..o.....w.......
0x0020: 5002 0c00 37ce 0000 P...7...

10:52:59.296875 IP (tos 0x0, ttl 128, id 398, offset 0, flags [DF], proto: TCP (6), length: 44) 192.168.111.23.21 > 192.168.111.17.37644: S, cksum 0x4f58 (correct), 1685290308:1685290308(0) ack 2010644898 win 64240
0x0000: 4500 002c 018e 4000 8006 99c4 c0a8 6f17 E..,[email protected].
0x0010: c0a8 6f11 0015 930c 6473 7d44 77d8 01a2 ..o.....ds}Dw...
0x0020: 6012 faf0 4f58 0000 0204 05b4 0000 `...OX........

10:52:59.296875 IP (tos 0x0, ttl 128, id 110, offset 0, flags [none], proto: TCP(6), length: 40) 192.168.111.17.37644 > 192.168.111.23.21: R, cksum 0xca50 (correct), 2010644898:2010644898(0) win 0
0x0000: 4500 0028 006e 0000 8006 dae8 c0a8 6f11 E..(.n........o.
0x0010: c0a8 6f17 930c 0015 77d8 01a2 77d8 01a2 ..o.....w...w...
0x0020: 5004 0000 ca50 0000 P....P..

ACK パケットと RST パケットの交換に続いて、太字の S が付いたパケットに示されているように、実際の SYN パケットがハッカーから被害者のネットワークに送信されたことがわかります。これにより、SYN/ACK パケットがポート 21 上の被害者のネットワークから返送されていると推測できます。その後、この交換は、ハッカーのコンピュータから被害者のネットワークに RST パケットが返送されることで終了します。これら 3 つのパケットには、偽造品に関する豊富な情報が含まれています。

被害者のマシンからの ttl 128 もありますが、win64240 もあります。この値はリストされていませんが、これは確かに Win32 (Win NT、2K、XP、2K3 などの 32 ビット バージョンの Microsoft Windows) でこれまで何度も見てきたサイズです。 Windows コンピュータのもう 1 つの制限は、IP ID の数が予測できないことです。この場合、IP ID 値は 1 つだけです。このコンピューターが Microsoft Windows コンピューターであると自信を持って言えるようになるには、少なくとももう 1 つの値が必要です。なお、Nmap スキャンからの残りのパケットを確認してください。

10:52:59.312500 IP (tos 0x0, ttl 59, id 54025, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.111.17.37644 > 192.168.111.23.80: S, cksum 0x3393 (correct), 2010644897:2010644897(0) win 4096
0x0000: 4500 0028 d309 0000 3b06 4d4d c0a8 6f11 E..(....;.MM..o.
0x0010: c0a8 6f17 930c 0050 77d8 01a1 0000 0000 ..o....Pw.......
0x0020: 5002 1000 3393 0000 P...3...

10:52:59.312500 IP (tos 0x0, ttl 128, id 399, offset 0, flags [DF], proto: TCP (6), length: 44) 192.168.111.23.80 > 192.168.111.17.37644: S, cksum 0x7913 (correct), 1685345101:1685345101(0) ack 2010644898 win 64240
0x0000: 4500 002c 018f 4000 8006 99c3 c0a8 6f17 E..,[email protected].
0x0010: c0a8 6f11 0050 930c 6474 534d 77d8 01a2 ..o..P..dtSMw...
0x0020: 6012 faf0 7913 0000 0204 05b4 0000 `...y.........

10:52:59.312500 IP (tos 0x0, ttl 128, id 111, offset 0, flags [none], proto: TCP(6), length: 40) 192.168.111.17.37644 > 192.168.111.23.80: R, cksum 0xca15 (correct), 2010644898:2010644898(0) win 0
0x0000: 4500 0028 006f 0000 8006 dae7 c0a8 6f11 E..(.o........o.
0x0010: c0a8 6f17 930c 0050 77d8 01a2 77d8 01a2 ..o....Pw...w...
0x0020: 5004 0000 ca15 0000 P.......

ハッカーが最初に確認する情報は、IP ID 番号が 399 に増えているかどうかです。パケットの中央を見ると、この DI IP は確かに 399 です。この情報により、ハッカーは攻撃対象のコンピュータが Windows NT、2K、XP、または 2K3 であると確信します。また、このパケット シーケンスでは、被害者ネットワークのポート 80 にサービスが存在するように見えることが観察されます。これは、SYN/ACK パケットによって証明されています。SYN/ACK パケットは、TCP ヘッダーのフラグ フィールドを調べることによって判別されます。この場合、下線付きの 16 進値は 12 または 10 進数では 18 です。この値は、SYN フラグ 2 の値を ACK フラグ 16 の値に追加することによって検出できます。

列挙

ポート 21 と 80 の両方が企業に開かれていることをハッカーが知ると、列挙状態になります。彼が今知る必要があるのは、どのタイプの Web サーバーが接続をリッスンしているかということです。このハッカーが IIS Web サーバー上の Apache の脆弱性を利用するのは無意味です。それを念頭に置いて、攻撃者は cmd.exe セッションを開き、ネットワークの種類を調べます。

C:\>nc.exe 192.168.111.23 80
GET slslslls
HTTP/1.1 400 Bad Request
Server: Microsoft-IIS/5.0
Date: Mon, 06 Aug 2007 15:11:48 GMT
Content-Type: text/html
Content-Length: 87

The parameter is incorrect.

C:\>

上でマークしたネットワーク タイプ、またはハッカーが被害者の IP アドレスとポート 80 に入力する nc.exe 構文を観察できます。侵入すると、ハッカーは GET メソッドの HTTP を入力し、その後に文法的に誤ったいくつかの文章を入力します。このアクションにより、被害者ネットワークの Web サーバーは、要求が何であるか理解できない場合に、そのシステムに情報を送り返す可能性があります。だからこそ、ハッカーが必要とする情報が当然リストアップされているのです。ハッカーは、自分が Microsoft IIS 5.0 内にいることがわかります。さらに良いニュースは、ハッカーがこのバージョンを悪用する脆弱性をいくつか持っていることです。

結論

Nmap を使用して被害者のネットワークをスキャンすると、ハッカーは一連の重要なデータ パケットを受信できるようになります。これまで見てきたように、これらのデータ パケットの中には、ハッカーがアーキテクチャ、オペレーティング システム、ネットワーク タイプ、サーバー タイプの脆弱性を悪用するための情報が満載されています。

つまり、この方法では、ハッカーはホスト、アーキテクチャ、提供されるサービスに関する重要な情報を入手することができます。この情報を入手すれば、ハッカーは被害者のネットワークのウェブサーバーに攻撃を仕掛けることができます。次のセクションでは、この場合にハッカーがユーザーを攻撃するために使用できる攻撃について詳しく紹介します。

攻撃の分析（パート3）