読者です 読者をやめる 読者になる 読者になる

melancholy_security

This blog is for my knowledge

コンピュータネットワークセキュリティのメモ

 

コンピュータネットワークセキュリティ

コンピュータネットワークセキュリティ

 

 

目次

サイバー攻撃の概要とリスク
サイバー攻撃に関わるインターネット技術
ポートスキャン
脆弱性スキャン
マルウェア感染
誤操作による感染
ソフトウェア脆弱性による感染
対策を回避する高度な感染
感染ホストの遠隔操作
情報漏えい、認証情報の悪用
DDoS攻撃
DNS攻撃
Webサイトへの攻撃
コンピュータネットワークセキュリティの将来

 

メモ

メモ程度なので、理解不足は多め。

 

マルウェア感染を中心としたサイバー攻撃に関する全体像の説明

ほかの本と比べて暗号がなくマルウェアや具体的な検知や難読化を扱っていて、とても学生向けの本だと感じました。

図を多用・章が短く理解不足の点が判る。

ボットをホストが構築→ボットネット・踏み台

世界初のマルウェアCreeper(1971)

マルウェア感染時・感染後の対策手段を把握する。

ISO(International Organization for Standardization)

OSI(Open Systems Interconnection)

TCP(Transmission Control Protocol)

URL(Uniform Resource Locator),統一資源位置指定子

IPペイロード IPヘッダ以降のデータ その後TCP/UDPヘッダ

ポート番号0~1023はウェルノウンポート

それ以外はエフェメラルポート

プライベートIPを活用してグローバルIPを節約→NATの技術

NAT(Network Address Translation)

ICMP(Internet Control Message Protocol)

traceroute(winではtracert) port:33434

ポートスキャン対策 ファイアウォール

5-tuple  送信元IP あて先IP 送信元ポート あて先ポート プロトコル番号

ファイアウォールのログから通信を検知

利便性の点からいくつかのポートは開く↓

通常と異なる通信:アノマリ検知(anomaly detection)

特定の通信パターン:ミスユース検知 シグネチャ検知 ブラックリスト 機械学習が盛ん

アノマリ検知 通信間隔が一定 あて先IPアドレスが多い

トラフィックデータ:tcpdump ミラーリング 代理アクセスサーバ設置

特徴ベクトル→クラスタリング(clustering)→クラスタ分析(データマイニングを使用)

Darknet : 利用していないIP マルウェア攻撃のIP特定

honeypot 受動的観測と能動的観測 ハニークライアント

   高対話型 実際のソフトウェアを用いる 安全性を考える

   低対話型 ソフトウェアを模擬 やはり実機とは違う

HeneypotProjwct ENISAの調査論文

セキュリティプライアンスとして

 IDS(Intrusion Detection System)

 IPS (Intrusion Prevention System)

 WAF (Web Application Firewall)

 

DMZ(DeMilitarized Zone) インターネットとプライベートネットワークの間を示す

 

マルウェアの種類

 ウィルス ワーム トロイの木馬(trojan) スパイウェア アドウェア 欄サムウェア 巣ケアウェア ダウンローダ ドロッパ ボット

 

DAC(Discretionary Access Control) 任意アクセス制御 UnixLinux

MAC (Mandatory Access Control) 強制アクセス制御 SELinux

UAC (User Account Control) ユーザアカウント制御 windows権限分離を行える

 

メモリ破壊の脆弱性

 バッファオーバーフローBOF) 整数オーバーフロー フォーマットストリングス

 Use Aftrer Free

ペイロード(攻撃コード+シェルコード) メモリ破壊 ポインタ シェルコード

Bind shell , connect back shell , download exec

NOPスレッド 0x90

ヒープスプレー(heap spray) NOPとシェルコードをheapに配置

リモートエクスプロイト・ドライブバイダウンロード

 

難読化(obfuscation)

悪性サイトの検出

 シードURLの生成

悪性サイトと類似するドメイン

攻撃者はポリモーフィックURL(URLの一部を変化)←AutoREで対策

C&C(command & control)のトポロジー(サーバとボット接続構成)

  スター型 多重サーバ型 階層型 ランダム型

 

MITM(Man In The Middle)

MITB(Man In The Browser)

 

テイント解析 データにタグをつけて(属性情報)伝搬を追跡

SYN(SYNchronization)Flood攻撃

 

DDoS攻撃の対策 監視装置へ送信する 統計プロトコル(NetFlow)

DNSアンプ攻撃= DNSサーバ + DDoS攻撃

 

キャッシュ汚染攻撃

 本物の構成DNSサーバより早く取り、偽の通信をキャッシュDNSサーバに出す

DNSのメッセージにはIDが必要(IDは16bit→短時間でパケットを通信)

対策として DNS SECの公開鍵暗号 ポート番号をランダム化 DNSSECは恒久的な解決策だがサービス処理性能の負荷大

代理DNS

 

webサイトの攻撃

OWASP(Open Web Application Security Project)がtop10を発表している

SQLインジェクション OSコマンドインジェクション ディレクトリトラバーサル

ファイルインクルージョン PHPコードエグゼキューション クロスサイトスクリプティング 

 

webサイトの保護として WAFや機械学習が盛ん WAFのシグネチャを生成するために、webサーバ型のハニーポットを適用する。Glasopf(低対話型)

 

最適なベイジアンネットワークの構築はNP難解

ベイジアンネットワークのGUIでWekaがある

 

CVE(Common Vulnerabilities and Exposures) 共通脆弱性識別子

ITKeys SecCap 大学で連携してMWS