Home » » 攻撃の分析(パート2)

攻撃の分析(パート2)

攻撃の分析(パート2)攻撃の分析(パート1)

ドン・パーカー

パート 1 では、Nmap によって送信されたパケット シーケンスを開いたときに観察できる情報を説明しました。送信されるシーケンスは、コンピューターまたはネットワークに IP アドレスが割り当てられているかどうかを判断するための ICMP エコー応答から始まります。

さらに、攻撃を受けたコンピュータが送り返す ICMP エコー応答パケットの TTL を調べることで、攻撃を受けたコンピュータのネットワークが Windows ベースのネットワークであると推測することもできます。今行うべきことは、Nmap スキャナーで残りのパケットを継続的に監視し、被害者のネットワークのプロファイルを知ることができる残りの情報を見つけることです。

続く

10:52:59.078125 IP (tos 0x0, ttl 49, id 9808, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.111.17.37668 > 192.168.111.23.80: ., cksum 0xfd46 (correct), ack 85042526 win 2048
0x0000: 4500 0028 2650 0000 3106 0407 c0a8 6f11 E..(&P..1.....o.
0x0010: c0a8 6f17 9324 0050 67d1 a55e 0511 a55e ..o..$.Pg..^...^
0x0020: 5010 0800 fd46 0000 P....F..

10:52:59.078125 IP (tos 0x0, ttl 128, id 397, offset 0, flags [none], proto: TCP(6), length: 40) 192.168.111.23.80 > 192.168.111.17.37668: R, cksum 0x6813 (correct), 85042526:85042526(0)win 0
0x0000: 4500 0028 018d 0000 8006 d9c9 c0a8 6f17 E..(..........o.
0x0010: c0a8 6f11 0050 9324 0511 a55e 0511 a55e ..o..P.$...^...^
0x0020: 5004 0000 6813 0000 0000 0000 0000 P...h.........

上記の 2 つのパケットは、パート 1 で確認した ICMP パケットの後に発生します。Nmap は、ポート 80 の被害者ネットワーク IP 192.168.111.23 に ACK パケットを送信しました。偽装された情報であるため、ここでは全体像はわかりません。この ACK は予期されていなかったため、攻撃者から受信した ACK パケットは応答として RST パケットであったことだけがわかります。本質的には、以前に確立された接続の一部ではありません。以前観測された TTL に対応する 128 の TTL がまだ残っています。

10:52:59.296875 IP (tos 0x0, ttl 58, id 45125, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.111.17.37644 > 192.168.111.23.21: S, cksum 0x37ce (correct), 2010644897:2010644897(0) win 3072
0x0000: 4500 0028 b045 0000 3a06 7111 c0a8 6f11 E..(.E..:.q...o.
0x0010: c0a8 6f17 930c 0015 77d8 01a1 0000 0000 ..o.....w.......
0x0020: 5002 0c00 37ce 0000 P...7...

10:52:59.296875 IP (tos 0x0, ttl 128, id 398, offset 0, flags [DF], proto: TCP (6), length: 44) 192.168.111.23.21 > 192.168.111.17.37644: S, cksum 0x4f58 (correct), 1685290308:1685290308(0) ack 2010644898 win 64240
0x0000: 4500 002c 018e 4000 8006 99c4 c0a8 6f17 E..,[email protected].
0x0010: c0a8 6f11 0015 930c 6473 7d44 77d8 01a2 ..o.....ds}Dw...
0x0020: 6012 faf0 4f58 0000 0204 05b4 0000 `...OX........

10:52:59.296875 IP (tos 0x0, ttl 128, id 110, offset 0, flags [none], proto: TCP(6), length: 40) 192.168.111.17.37644 > 192.168.111.23.21: R, cksum 0xca50 (correct), 2010644898:2010644898(0) win 0
0x0000: 4500 0028 006e 0000 8006 dae8 c0a8 6f11 E..(.n........o.
0x0010: c0a8 6f17 930c 0015 77d8 01a2 77d8 01a2 ..o.....w...w...
0x0020: 5004 0000 ca50 0000 P....P..

ACK パケットと RST パケットの交換に続いて、太字の S が付いたパケットに示されているように、実際の SYN パケットがハッカーから被害者のネットワークに送信されたことがわかります。これにより、SYN/ACK パケットがポート 21 上の被害者のネットワークから返送されていると推測できます。その後、この交換は、ハッカーのコンピュータから被害者のネットワークに RST パケットが返送されることで終了します。これら 3 つのパケットには、偽造品に関する豊富な情報が含まれています。

被害者のマシンからの ttl 128 もありますが、win64240 もあります。この値はリストされていませんが、これは確かに Win32 (Win NT、2K、XP、2K3 などの 32 ビット バージョンの Microsoft Windows) でこれまで何度も見てきたサイズです。 Windows コンピュータのもう 1 つの制限は、IP ID の数が予測できないことです。この場合、IP ID 値は 1 つだけです。このコンピューターが Microsoft Windows コンピューターであると自信を持って言えるようになるには、少なくとももう 1 つの値が必要です。なお、Nmap スキャンからの残りのパケットを確認してください。

10:52:59.312500 IP (tos 0x0, ttl 59, id 54025, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.111.17.37644 > 192.168.111.23.80: S, cksum 0x3393 (correct), 2010644897:2010644897(0) win 4096
0x0000: 4500 0028 d309 0000 3b06 4d4d c0a8 6f11 E..(....;.MM..o.
0x0010: c0a8 6f17 930c 0050 77d8 01a1 0000 0000 ..o....Pw.......
0x0020: 5002 1000 3393 0000 P...3...

10:52:59.312500 IP (tos 0x0, ttl 128, id 399, offset 0, flags [DF], proto: TCP (6), length: 44) 192.168.111.23.80 > 192.168.111.17.37644: S, cksum 0x7913 (correct), 1685345101:1685345101(0) ack 2010644898 win 64240
0x0000: 4500 002c 018f 4000 8006 99c3 c0a8 6f17 E..,[email protected].
0x0010: c0a8 6f11 0050 930c 6474 534d 77d8 01a2 ..o..P..dtSMw...
0x0020: 6012 faf0 7913 0000 0204 05b4 0000 `...y.........

10:52:59.312500 IP (tos 0x0, ttl 128, id 111, offset 0, flags [none], proto: TCP(6), length: 40) 192.168.111.17.37644 > 192.168.111.23.80: R, cksum 0xca15 (correct), 2010644898:2010644898(0) win 0
0x0000: 4500 0028 006f 0000 8006 dae7 c0a8 6f11 E..(.o........o.
0x0010: c0a8 6f17 930c 0050 77d8 01a2 77d8 01a2 ..o....Pw...w...
0x0020: 5004 0000 ca15 0000 P.......

ハッカーが最初に確認する情報は、IP ID 番号が 399 に増えているかどうかです。パケットの中央を見ると、この DI IP は確かに 399 です。この情報により、ハッカーは攻撃対象のコンピュータが Windows NT、2K、XP、または 2K3 であると確信します。また、このパケット シーケンスでは、被害者ネットワークのポート 80 にサービスが存在するように見えることが観察されます。これは、SYN/ACK パケットによって証明されています。SYN/ACK パケットは、TCP ヘッダーのフラグ フィールドを調べることによって判別されます。この場合、下線付きの 16 進値は 12 または 10 進数では 18 です。この値は、SYN フラグ 2 の値を ACK フラグ 16 の値に追加することによって検出できます。

列挙

ポート 21 と 80 の両方が企業に開かれていることをハッカーが知ると、列挙状態になります。彼が今知る必要があるのは、どのタイプの Web サーバーが接続をリッスンしているかということです。このハッカーが IIS Web サーバー上の Apache の脆弱性を利用するのは無意味です。それを念頭に置いて、攻撃者は cmd.exe セッションを開き、ネットワークの種類を調べます。

C:\>nc.exe 192.168.111.23 80
GET slslslls
HTTP/1.1 400 Bad Request
Server: Microsoft-IIS/5.0
Date: Mon, 06 Aug 2007 15:11:48 GMT
Content-Type: text/html
Content-Length: 87

The parameter is incorrect.

C:\>

上でマークしたネットワーク タイプ、またはハッカーが被害者の IP アドレスとポート 80 に入力する nc.exe 構文を観察できます。侵入すると、ハッカーは GET メソッドの HTTP を入力し、その後に文法的に誤ったいくつかの文章を入力します。このアクションにより、被害者ネットワークの Web サーバーは、要求が何であるか理解できない場合に、そのシステムに情報を送り返す可能性があります。だからこそ、ハッカーが必要とする情報が当然リストアップされているのです。ハッカーは、自分が Microsoft IIS 5.0 内にいることがわかります。さらに良いニュースは、ハッカーがこのバージョンを悪用する脆弱性をいくつか持っていることです。

結論

Nmap を使用して被害者のネットワークをスキャンすると、ハッカーは一連の重要なデータ パケットを受信できるようになります。これまで見てきたように、これらのデータ パケットの中には、ハッカーがアーキテクチャ、オペレーティング システム、ネットワーク タイプ、サーバー タイプの脆弱性を悪用するための情報が満載されています。

つまり、この方法では、ハッカーはホスト、アーキテクチャ、提供されるサービスに関する重要な情報を入手することができます。この情報を入手すれば、ハッカーは被害者のネットワークのウェブサーバーに攻撃を仕掛けることができます。次のセクションでは、この場合にハッカーがユーザーを攻撃するために使用できる攻撃について詳しく紹介します。

攻撃の分析(パート2)攻撃の分析(パート3)

Tags: #サイバー攻撃 #ハッカー
Sign up and earn $1000 a day ⋙

Leave a Comment

攻撃の分析(パート3)

攻撃の分析(パート3)

このシリーズのパート 2 では、被害者のネットワークへの攻撃に必要なすべての情報を残しました。

攻撃の分析(パート1)

攻撃の分析(パート1)

このシリーズは、ネットワークの脆弱性をテーマとしています。この記事で紹介するのは、偵察から列挙、ネットワーク サービスの悪用、そして通知の悪用戦略に至るまでの実際の攻撃です。これらすべてのステップはデータ パケット レベルで観察され、詳細に説明されます。

Samsung Galaxyスマートフォンで変更すべき12の設定

Samsung Galaxyスマートフォンで変更すべき12の設定

Samsung Galaxy スマートフォンを購入したばかりで、設定が必要ですか? Samsung の携帯電話をより快適に動作させるために変更すべき 10 個の設定を紹介します。

最新のMurder Mystery 2コードと入力方法

最新のMurder Mystery 2コードと入力方法

Code Murder Mystery 2 では、プレイヤーは自分のキャラクターにさらに多くのナイフ スキンを選択したり、サービスに使用したりゲーム内の他のものを購入したりするためにさらに多くのお金を獲得したりできます。

両親、配偶者、恋人、友人へのお祝いの気持ちが込められた28種類の美しい誕生日カードデザイン

両親、配偶者、恋人、友人へのお祝いの気持ちが込められた28種類の美しい誕生日カードデザイン

恋人、両親、友人、兄弟、同僚などの誕生日には、贈り物のほかに、お祝いの気持ちを込めたバースデーカードを送ることも忘れないでください。

面白いけど甘い、あなたの好きな人の心を「捕らえる」いちゃつくなぞなぞ

面白いけど甘い、あなたの好きな人の心を「捕らえる」いちゃつくなぞなぞ

これらの楽しいクイズは、強い印象を与え、好きな人の心を早く、そして楽しく征服するのに役立ちます。

コルキ DTCL シーズン 7: ビルドアイテム、標準コルキ ガンナー部隊

コルキ DTCL シーズン 7: ビルドアイテム、標準コルキ ガンナー部隊

Corki DTCL シーズン 7 では、敵チームを自由に破壊したい場合、制御を引き起こすための保護またはサポートが必要です。同時に、より効果的なダメージを与えるためには、コルキの装備も標準化する必要があります。

Mini World Royaleのダウンロード方法と遊び方の説明

Mini World Royaleのダウンロード方法と遊び方の説明

Mini World Royale のダウンロード リンクとプレイ手順は次のとおりです。Mini World Royale APK と Mini World Royale iOS の 2 つのバージョンがあります。

1314とは何ですか?

1314とは何ですか?

1314 は若者が愛の暗号としてよく使う数字です。しかし、1314 が何であるか、そしてそれが何を意味するのかを誰もが知っているわけではないのでしょうか?

有害な環境にいるときに心身の健康を守る方法

有害な環境にいるときに心身の健康を守る方法

有害な状況に対処することは信じられないほど困難になる可能性があります。有害な環境にうまく対処し、心の平穏を保つためのヒントをいくつか紹介します。

音楽が脳を刺激する方法

音楽が脳を刺激する方法

音楽は単なる娯楽ではなく、それ以上に多くの利点があることをほとんどの人が知っています。音楽が脳の発達を刺激する方法をいくつか紹介します。

食事で最も不足しがちな栄養素

食事で最も不足しがちな栄養素

食事は私たちの健康にとって非常に重要です。しかし、私たちの食生活のほとんどには、これら 6 つの重要な栄養素が不足していることが多いのです。

サークルKのCKクラブアプリを使って魅力的なオファーを受け取る方法

サークルKのCKクラブアプリを使って魅力的なオファーを受け取る方法

Circle K からのプロモーション情報を最も早く入手するには、CK Club アプリをインストールする必要があります。このアプリケーションは、買い物やサークル K での支払い時の料金と、集めたスタンプの数を保存します。

Instagramは最長3分間のリール動画を許可

Instagramは最長3分間のリール動画を許可

Instagramは、これまでの90秒の制限の2倍となる、最長3分間のリール動画をユーザーが投稿できるようにすると発表した。

ChromebookのCPU情報を表示する方法

ChromebookのCPU情報を表示する方法

この記事では、Chromebook で CPU 情報を表示し、CPU 速度を直接確認する方法について説明します。

古いAndroidタブレットでできる8つのクールなこと

古いAndroidタブレットでできる8つのクールなこと

古いタブレットを売却したり譲渡したりしたくない場合は、高品質のフォトフレーム、音楽プレーヤー、電子書籍および雑誌リーダー、家事アシスタント、サブスクリーンとして、5 つの方法で使用できます。

美しい爪を早く手に入れる方法

美しい爪を早く手に入れる方法

美しく輝く健康な爪を早く手に入れたい。以下に美しい爪のための簡単なヒントをご紹介しますので、ぜひご参考ください。