[ IP Network Skill - No. 0233 - ] TCP (TCPセキュリティ問題)
発行日: 2005/10/14
‥‥……━━━━━━ IP Network Skill No. 00000233 ━━━━━━……‥‥
〜 TCP (TCPセキュリティ問題) 〜
‥‥……━━━━━━━━━━━━━━━━━━━━━━━━━━━━……‥‥
今回のTCPへの攻撃手法なども書かれています。
ネットワーク攻撃は受けてしまうと生産性が下がるのと共に
信用を失ってしまう可能性もあるので、十分な対策が必要で
す。最近はファイアウォールで十分対応できますが、乗っ取
り防止も考えるとIDS/IPSも必要です。
【図解ネットワークセキュリティ―攻撃と防御のメカニズム】
http://www.Amazon.co.jp/exec/obidos/ASIN/42740661180/ipnetworkskil-22
【ネットワーク攻撃詳解―攻撃のメカニズムから理解するセキュリティ対策】
http://www.Amazon.co.jp/exec/obidos/ASIN/4883731618/ipnetworkskil-22
【まえがき】
◆ hping
手軽にいろいろな種類のIPパケットを送信できるツールにhpingと
いうものがあります。
UNIX系のOSに対応しています。
ソースコードも公開されているので、C言語が読める人はネットワーク
の勉強に使えると思います。
今回紹介した攻撃パケットも生成できてしまいます。
試験環境などで使ってくださいね。
くれぐれもインターネットへ攻撃パケットを流さないように。。
(あとがきに続く)
╋━━┳━┳━┳━┳━┳━┳━┳━┳━┳━┳━━━━━━━━━━……‥‥
┃本┃日┃の┃試┃験┃対┃策┃問┃題┃
╋━━┻━┻━┻━┻━┻━┻━┻━┻━┻━┻━━━━━━━━━━……‥‥
〔問題1〕SYN flood攻撃を行うときに併用して用いられる攻撃技術はどれか。
1.ポートスキャン
2.IPアドレススプーフィング
3.Ping of death
4.Land attack
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
ネ┃ッ┃ト┃ワ┃ー┃ク┃の┃基┃礎┃講┃座┃
━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
-----------------------------------------------------------------
この企画は処女作「TCP/IPネットワークステップアップラーニング」
http://www.Amazon.co.jp/exec/obidos/ASIN/4774116351/ipnetworkskil-22
を基に構成変更、加筆、修正、省略。。。いろいろ手を加えたものです。
TCP/IPネットワークステップアップラーニングは第3刷を重ねました!
講習教科書などでご利用いただいています。
-----------------------------------------------------------------
【8.TCP】
8.2.TCP
8.2.6.TCPセキュリティ問題
8.2.6.1.SYN flood
SYN floodはシンフラッドと読み、大量のSYNセグメントを送りつけて相手の
端末をサービス不能とさせる攻撃です。
TCPのコネクションを確立するのに3ウェイハンドシェイクが使われることを
8.2.2.2(http://www.xai.nu/ipnet/stack/0228.txt)で書きました。
クライアントがサーバに対してSYNを送ってコネクション確立を開始し、SYN
を送られたサーバはSYN+ACKを送り返し、その返信となるACKをクライアント
から受信することで3ウェイハンドシェイクが完了します。
このとき、悪意あるクライアントが最後のACKを返そうとせず、最初のSYN
ばかり大量にサーバへ送りつけるとどうなるでしょう?
サーバはSYN+ACKを大量に返さなければならなくなります。また、コネクション
確立に必要なリソース(メモリ領域など)の予約をその都度行わなければ
ならず、CPUリソースやメモリ領域が圧迫されてしまい、最終的には応答が
できなくなってしまいます。
実際には、同じクライアントから複数のSYNが来た場合、サーバはRST(リセッ
ト)を送り返して中途半端に作られたTCPコネクションを削除しようとします。
クライアントがRSTを受け取ると、中途半端に作られたTCPコネクションは削除
されてしまいます。この処理に手間取って大量のSYNを送ることができなくな
ります。
そのため、スプーフィングという技術と共にSYN floodは行われます。
スプーフィング (spoofing) は「成りすまし」のことで、送信元IPアドレス
として自分以外のIPアドレスを設定してSYNセグメントを送信します。
こうすることで、攻撃者がRSTを受け取ることはなくなり、SYNセグメントを
送ることに集中するわけです。
サーバのサービスを不能にさせる攻撃をDoS攻撃 (Denial of Service attack)
と呼びますが、この種の攻撃ではIPアドレススプーフィングと併用されること
がほとんどです。これによって誰が攻撃しているかも分かりにくくなります。
8.2.6.2.LAND attack
ランド攻撃です。
これはSYNセグメントを送るときに、宛先のIPアドレスと宛先のポート番号
と同じ値を送信元IPアドレスと送信元ポート番号に入れて送る攻撃です。
たとえば攻撃対象のIPアドレスが192.168.1.1でHTTPで使う80番ポートにTCP
コネクションを張りに行こうとします。
通常、クライアント側は192.168.1.1以外のアドレスであり、送信ポート番号
はウェルノウンポート番号以外からランダムに選択されます。
つまり、
送信元IP: 192.168.1.1 送信ポート番号: 80
宛先IP: 192.168.1.1 宛先ポート番号: 80
というSYNセグメントを攻撃対象のサーバへ送ります。
このセグメントを受信したサーバは、相手にSYN+ACKを送ったつもりが、自分
に対して送り返してしまうことになります。
ここで余計なリソース消費が起きてしまい、このような攻撃セグメントを大量
に受けるとサービス不能となってしまいます。
8.2.6.3.おかしなフラグを使った攻撃
8.2.6.3.1.SYNとFIN
通常、コネクション開始に使われるSYNフラグとコネクション終了に使われる
FINフラグが同時に“1”となる(ビットがONとなる)ことはありません。
SYNとFINを同時にONにしたセグメントを大量に送りつけることでサービス不能
になるかもしれません。
8.2.6.3.2.FINだけ
TCPコネクションを終了するときにFINフラグがONになったセグメントを送りま
すが、このとき必ずACKフラグもONになります。一つ前に受信したセグメント
に対するACKが必要です。
このようなセグメントを送りつけると、受け取った端末はRSTセグメントを返そ
うとするため、TCPが動作している端末を見つけ出すことができてしまいます。
8.2.6.3.3.なにもフラグがない
どのTCPセグメントでも何かしらのTCPヘッダ内のフラグを使います。
どのフラグもONになっていないTCPセグメントは通常使われないため、TCP処理の
実装によってはおかしな動きを引き起こしてしまう可能性があります。
(注意)
これらの攻撃はファイアウォールで防御することができます。
また、これらの攻撃を受けたからといってすぐにサービス不能になるわけでは
ありません。古いOSだと弱いかもしれません。新しいOSだと問題ないかもしれ
ません。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
解┃答┃と┃解┃説┃
━┛━┛━┛━┛━┛
《本日の試験対策問題》
(解答1)2
(解説1)ネットワークの基礎講座で書いたように、SYN floodでは
攻撃対象からのRSTを受信しないようにするために送信元IPアドレス
を別のものに成りすますIPアドレススプーフィングと併用されて
攻撃されます。
1.のポートスキャンは、相手のどのTCPポートがOpenかを調べる
もので、攻撃や乗っ取りなどを行う前段階となる偵察行動となります。
3.のPing of Deathは、通常65535バイトまでしかありえないIPパケッ
トに対して、ICMPのechoリクエストがIPとICMPのヘッダをあわせて
65535バイト以上になるようなパケットが攻撃対象に送られると、受け
取った側に負荷がかかってしまう、というものです。
4.はネットワークの基礎講座を参照。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆◆◆◆◆◆ ┃ あとがき ┃ ◆◆◆◆◆◆
◆ hping 実践編
インストールについては以下からコードを入手し、makeを実行
します。付属のインストールマニュアルを参照してください(英語)。
http://www.hping.org/download.html
インストールが終わったらコマンドプロンプトでコマンドを入れる
だけです。
たとえば、WindowsのDoSプロンプトでpingをするのに、
C:\>ping 192.168.1.1
というのは
hping -1 192.168.1.1 -c 4
と同意です。-1というのがICMPパケットの送付(デフォルトはTCP)、
-c 4というのが4発送る、ということです。
hping -h
でヘルプが見れます。
hping -S 192.168.1.1 -a 1.1.1.1 -i u10
とすると10マイクロ秒ごとにSYNセグメントを連続して192.168.1.1宛に
送ります。このときsource IP addressを1.1.1.1にスプーフして送ります。
CTRL+Cを押すまで流し続けます。
また追加で紹介しようと思います。
adzuki
………………………………………………………
IP Network Skill vol.000233 10/14/05
発行者:adzuki http://www.xai.nu/ipnet
…………… ipnet6@xai.nu ……
◎ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄◎
| 新規購読・購読解除・バックナンバー ⇒ http://www.xai.nu/ipnet
| IP Network Skill 掲示板
| ⇒ http://www.xai.nu/cgibin/ipnet/bbs.cgi
| バックナンバー一覧
| ⇒ http://xai.nu/ipnet/stack/index.html
| 間違いご指摘
| ⇒ メルマガにコメントを添えて返信ください。
◎_________________________________◎
![メルマガスタンド[メルマ!]](/img/common/melma_logo.gif){kind=logo}
>> メルマ!の会報誌もお届けします
