Home » » 攻撃の分析(パート2)

攻撃の分析(パート2)

攻撃の分析(パート2)攻撃の分析(パート1)

ドン・パーカー

パート 1 では、Nmap によって送信されたパケット シーケンスを開いたときに観察できる情報を説明しました。送信されるシーケンスは、コンピューターまたはネットワークに IP アドレスが割り当てられているかどうかを判断するための ICMP エコー応答から始まります。

さらに、攻撃を受けたコンピュータが送り返す ICMP エコー応答パケットの TTL を調べることで、攻撃を受けたコンピュータのネットワークが Windows ベースのネットワークであると推測することもできます。今行うべきことは、Nmap スキャナーで残りのパケットを継続的に監視し、被害者のネットワークのプロファイルを知ることができる残りの情報を見つけることです。

続く

10:52:59.078125 IP (tos 0x0, ttl 49, id 9808, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.111.17.37668 > 192.168.111.23.80: ., cksum 0xfd46 (correct), ack 85042526 win 2048
0x0000: 4500 0028 2650 0000 3106 0407 c0a8 6f11 E..(&P..1.....o.
0x0010: c0a8 6f17 9324 0050 67d1 a55e 0511 a55e ..o..$.Pg..^...^
0x0020: 5010 0800 fd46 0000 P....F..

10:52:59.078125 IP (tos 0x0, ttl 128, id 397, offset 0, flags [none], proto: TCP(6), length: 40) 192.168.111.23.80 > 192.168.111.17.37668: R, cksum 0x6813 (correct), 85042526:85042526(0)win 0
0x0000: 4500 0028 018d 0000 8006 d9c9 c0a8 6f17 E..(..........o.
0x0010: c0a8 6f11 0050 9324 0511 a55e 0511 a55e ..o..P.$...^...^
0x0020: 5004 0000 6813 0000 0000 0000 0000 P...h.........

上記の 2 つのパケットは、パート 1 で確認した ICMP パケットの後に発生します。Nmap は、ポート 80 の被害者ネットワーク IP 192.168.111.23 に ACK パケットを送信しました。偽装された情報であるため、ここでは全体像はわかりません。この ACK は予期されていなかったため、攻撃者から受信した ACK パケットは応答として RST パケットであったことだけがわかります。本質的には、以前に確立された接続の一部ではありません。以前観測された TTL に対応する 128 の TTL がまだ残っています。

10:52:59.296875 IP (tos 0x0, ttl 58, id 45125, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.111.17.37644 > 192.168.111.23.21: S, cksum 0x37ce (correct), 2010644897:2010644897(0) win 3072
0x0000: 4500 0028 b045 0000 3a06 7111 c0a8 6f11 E..(.E..:.q...o.
0x0010: c0a8 6f17 930c 0015 77d8 01a1 0000 0000 ..o.....w.......
0x0020: 5002 0c00 37ce 0000 P...7...

10:52:59.296875 IP (tos 0x0, ttl 128, id 398, offset 0, flags [DF], proto: TCP (6), length: 44) 192.168.111.23.21 > 192.168.111.17.37644: S, cksum 0x4f58 (correct), 1685290308:1685290308(0) ack 2010644898 win 64240
0x0000: 4500 002c 018e 4000 8006 99c4 c0a8 6f17 E..,[email protected].
0x0010: c0a8 6f11 0015 930c 6473 7d44 77d8 01a2 ..o.....ds}Dw...
0x0020: 6012 faf0 4f58 0000 0204 05b4 0000 `...OX........

10:52:59.296875 IP (tos 0x0, ttl 128, id 110, offset 0, flags [none], proto: TCP(6), length: 40) 192.168.111.17.37644 > 192.168.111.23.21: R, cksum 0xca50 (correct), 2010644898:2010644898(0) win 0
0x0000: 4500 0028 006e 0000 8006 dae8 c0a8 6f11 E..(.n........o.
0x0010: c0a8 6f17 930c 0015 77d8 01a2 77d8 01a2 ..o.....w...w...
0x0020: 5004 0000 ca50 0000 P....P..

ACK パケットと RST パケットの交換に続いて、太字の S が付いたパケットに示されているように、実際の SYN パケットがハッカーから被害者のネットワークに送信されたことがわかります。これにより、SYN/ACK パケットがポート 21 上の被害者のネットワークから返送されていると推測できます。その後、この交換は、ハッカーのコンピュータから被害者のネットワークに RST パケットが返送されることで終了します。これら 3 つのパケットには、偽造品に関する豊富な情報が含まれています。

被害者のマシンからの ttl 128 もありますが、win64240 もあります。この値はリストされていませんが、これは確かに Win32 (Win NT、2K、XP、2K3 などの 32 ビット バージョンの Microsoft Windows) でこれまで何度も見てきたサイズです。 Windows コンピュータのもう 1 つの制限は、IP ID の数が予測できないことです。この場合、IP ID 値は 1 つだけです。このコンピューターが Microsoft Windows コンピューターであると自信を持って言えるようになるには、少なくとももう 1 つの値が必要です。なお、Nmap スキャンからの残りのパケットを確認してください。

10:52:59.312500 IP (tos 0x0, ttl 59, id 54025, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.111.17.37644 > 192.168.111.23.80: S, cksum 0x3393 (correct), 2010644897:2010644897(0) win 4096
0x0000: 4500 0028 d309 0000 3b06 4d4d c0a8 6f11 E..(....;.MM..o.
0x0010: c0a8 6f17 930c 0050 77d8 01a1 0000 0000 ..o....Pw.......
0x0020: 5002 1000 3393 0000 P...3...

10:52:59.312500 IP (tos 0x0, ttl 128, id 399, offset 0, flags [DF], proto: TCP (6), length: 44) 192.168.111.23.80 > 192.168.111.17.37644: S, cksum 0x7913 (correct), 1685345101:1685345101(0) ack 2010644898 win 64240
0x0000: 4500 002c 018f 4000 8006 99c3 c0a8 6f17 E..,[email protected].
0x0010: c0a8 6f11 0050 930c 6474 534d 77d8 01a2 ..o..P..dtSMw...
0x0020: 6012 faf0 7913 0000 0204 05b4 0000 `...y.........

10:52:59.312500 IP (tos 0x0, ttl 128, id 111, offset 0, flags [none], proto: TCP(6), length: 40) 192.168.111.17.37644 > 192.168.111.23.80: R, cksum 0xca15 (correct), 2010644898:2010644898(0) win 0
0x0000: 4500 0028 006f 0000 8006 dae7 c0a8 6f11 E..(.o........o.
0x0010: c0a8 6f17 930c 0050 77d8 01a2 77d8 01a2 ..o....Pw...w...
0x0020: 5004 0000 ca15 0000 P.......

ハッカーが最初に確認する情報は、IP ID 番号が 399 に増えているかどうかです。パケットの中央を見ると、この DI IP は確かに 399 です。この情報により、ハッカーは攻撃対象のコンピュータが Windows NT、2K、XP、または 2K3 であると確信します。また、このパケット シーケンスでは、被害者ネットワークのポート 80 にサービスが存在するように見えることが観察されます。これは、SYN/ACK パケットによって証明されています。SYN/ACK パケットは、TCP ヘッダーのフラグ フィールドを調べることによって判別されます。この場合、下線付きの 16 進値は 12 または 10 進数では 18 です。この値は、SYN フラグ 2 の値を ACK フラグ 16 の値に追加することによって検出できます。

列挙

ポート 21 と 80 の両方が企業に開かれていることをハッカーが知ると、列挙状態になります。彼が今知る必要があるのは、どのタイプの Web サーバーが接続をリッスンしているかということです。このハッカーが IIS Web サーバー上の Apache の脆弱性を利用するのは無意味です。それを念頭に置いて、攻撃者は cmd.exe セッションを開き、ネットワークの種類を調べます。

C:\>nc.exe 192.168.111.23 80
GET slslslls
HTTP/1.1 400 Bad Request
Server: Microsoft-IIS/5.0
Date: Mon, 06 Aug 2007 15:11:48 GMT
Content-Type: text/html
Content-Length: 87

The parameter is incorrect.

C:\>

上でマークしたネットワーク タイプ、またはハッカーが被害者の IP アドレスとポート 80 に入力する nc.exe 構文を観察できます。侵入すると、ハッカーは GET メソッドの HTTP を入力し、その後に文法的に誤ったいくつかの文章を入力します。このアクションにより、被害者ネットワークの Web サーバーは、要求が何であるか理解できない場合に、そのシステムに情報を送り返す可能性があります。だからこそ、ハッカーが必要とする情報が当然リストアップされているのです。ハッカーは、自分が Microsoft IIS 5.0 内にいることがわかります。さらに良いニュースは、ハッカーがこのバージョンを悪用する脆弱性をいくつか持っていることです。

結論

Nmap を使用して被害者のネットワークをスキャンすると、ハッカーは一連の重要なデータ パケットを受信できるようになります。これまで見てきたように、これらのデータ パケットの中には、ハッカーがアーキテクチャ、オペレーティング システム、ネットワーク タイプ、サーバー タイプの脆弱性を悪用するための情報が満載されています。

つまり、この方法では、ハッカーはホスト、アーキテクチャ、提供されるサービスに関する重要な情報を入手することができます。この情報を入手すれば、ハッカーは被害者のネットワークのウェブサーバーに攻撃を仕掛けることができます。次のセクションでは、この場合にハッカーがユーザーを攻撃するために使用できる攻撃について詳しく紹介します。

攻撃の分析(パート2)攻撃の分析(パート3)

Tags: #サイバー攻撃 #ハッカー
Sign up and earn $1000 a day ⋙

Leave a Comment

攻撃の分析(パート3)

攻撃の分析(パート3)

このシリーズのパート 2 では、被害者のネットワークへの攻撃に必要なすべての情報を残しました。

攻撃の分析(パート1)

攻撃の分析(パート1)

このシリーズは、ネットワークの脆弱性をテーマとしています。この記事で紹介するのは、偵察から列挙、ネットワーク サービスの悪用、そして通知の悪用戦略に至るまでの実際の攻撃です。これらすべてのステップはデータ パケット レベルで観察され、詳細に説明されます。

通常のテレビとスマートテレビの違い

通常のテレビとスマートテレビの違い

スマートテレビはまさに世界を席巻しています。数多くの優れた機能とインターネット接続により、テクノロジーはテレビの視聴方法を変えました。

なぜ冷凍庫にはライトがないのに、冷蔵庫にはライトがあるのでしょうか?

なぜ冷凍庫にはライトがないのに、冷蔵庫にはライトがあるのでしょうか?

冷蔵庫は家庭ではよく使われる家電製品です。冷蔵庫には通常 2 つの部屋があり、冷蔵室は広く、ユーザーが開けるたびに自動的に点灯するライトが付いていますが、冷凍室は狭く、ライトはありません。

Wi-Fiの速度低下を引き起こすネットワーク混雑を解決する2つの方法

Wi-Fiの速度低下を引き起こすネットワーク混雑を解決する2つの方法

Wi-Fi ネットワークは、ルーター、帯域幅、干渉以外にも多くの要因の影響を受けますが、ネットワークを強化する賢い方法がいくつかあります。

Tenorshare Reibootを使ってデータ損失なくiOS 17からiOS 16にダウングレードする方法

Tenorshare Reibootを使ってデータ損失なくiOS 17からiOS 16にダウングレードする方法

お使いの携帯電話で安定した iOS 16 に戻したい場合は、iOS 17 をアンインストールして iOS 17 から 16 にダウングレードするための基本ガイドを以下に示します。

ヨーグルトを毎日食べると体に何が起こるのでしょうか?

ヨーグルトを毎日食べると体に何が起こるのでしょうか?

ヨーグルトは素晴らしい食べ物です。ヨーグルトを毎日食べるのは良いことでしょうか?ヨーグルトを毎日食べると、身体はどう変わるのでしょうか?一緒に調べてみましょう!

健康に最も良いお米の種類は何ですか?

健康に最も良いお米の種類は何ですか?

この記事では、最も栄養価の高い米の種類と、どの米を選んだとしてもその健康効果を最大限に引き出す方法について説明します。

朝時間通りに起きる方法

朝時間通りに起きる方法

睡眠スケジュールと就寝時の習慣を確立し、目覚まし時計を変え、食生活を調整することは、よりよく眠り、朝時間通りに起きるのに役立つ対策の一部です。

Rent Please! をプレイするためのヒント初心者向け大家シミュレーション

Rent Please! をプレイするためのヒント初心者向け大家シミュレーション

レンタルして下さい! Landlord Sim は、iOS および Android 向けのシミュレーション モバイル ゲームです。あなたはアパートの大家としてプレイし、アパートの内装をアップグレードして入居者を受け入れる準備をしながら、アパートの賃貸を始めます。

最新のバスルームタワーディフェンスコードとコードの入力方法

最新のバスルームタワーディフェンスコードとコードの入力方法

Bathroom Tower Defense Roblox ゲーム コードを入手して、魅力的な報酬と引き換えましょう。これらは、より高いダメージを与えるタワーをアップグレードしたり、ロックを解除したりするのに役立ちます。

変圧器の構造、記号、動作原理

変圧器の構造、記号、動作原理

変圧器の構造、記号、動作原理を最も正確な方法で学びましょう。

AIがスマートテレビを進化させる4つの方法

AIがスマートテレビを進化させる4つの方法

画質や音質の向上から音声制御まで、これらの AI 搭載機能により、スマートテレビはさらに優れたものになります。

ChatGPTがDeepSeekより優れている理由

ChatGPTがDeepSeekより優れている理由

当初、人々はDeepSeekに大きな期待を寄せていました。 ChatGPT の強力な競合製品として販売されている AI チャットボットは、インテリジェントなチャット機能とエクスペリエンスを約束します。

Fireflies.ai をご紹介します: 仕事の時間を節約できる無料の AI 秘書

Fireflies.ai をご紹介します: 仕事の時間を節約できる無料の AI 秘書

他の重要な事柄を書き留めるときに重要な詳細を見逃すことはよくありますし、チャットしながらメモを取ろうとすると気が散ってしまうこともあります。 Fireflies.ai が解決策です。

Minecraftでアホロートルを育てる方法、Minecraftでサラマンダーを飼いならす方法

Minecraftでアホロートルを育てる方法、Minecraftでサラマンダーを飼いならす方法

Axolot Minecraft は、使い方を知っていれば、水中で操作するときにプレイヤーにとって素晴らしいアシスタントになります。

『クワイエット・プレイス:ザ・ロード・アヘッド』PCゲーム設定

『クワイエット・プレイス:ザ・ロード・アヘッド』PCゲーム設定

『A Quiet Place: The Road Ahead』の構成は非常に高く評価されているため、ダウンロードを決定する前に構成を考慮する必要があります。