*ネットワーク攻撃*

ここでは、ファイアウォールなどのネットワークセキュリティ機器が実装している、ネットワーク攻撃検出機能を再現する方法について紹介しています。
各機能の再現方法が分からないときに、参考にしてください。

なお、以下の内容はNetScreenというファイアウォール製品に実装されている機能を検証したものですが、他の機器で同じように検出できるとは限りませんのでご注意ください。

種類内容と発生方法
(攻撃の名前)(攻撃の内容)
(再現するのに必要な道具)
(再現するための方法)
ICMP Flood Protectionターゲットに対して、単位時間あたりに大量のPingを発生させる
Pingコマンドや、その辺に落ちているFloodツール
セキュリティ機器の「単位時間あたりのパケット数」の値に注意して、Pingコマンドの-flood系オプションやFloodツールからターゲットに大量のパケットを投げる
UDP Flood Protectionターゲットに対して、単位時間あたりに大量のUDPパケットを発生させる
その辺に落ちているFloodツール
セキュリティ機器の「単位時間あたりのパケット数」の値に注意して、Floodツールからターゲットに大量のUDPパケットを投げる
SYN Flood Protectionターゲットに対して、単位時間あたりに大量のSYNフラグ付きTCPパケットを発生させる
その辺に落ちているFloodツール
セキュリティ機器の「単位時間あたりのパケット数」の値に注意して、Floodツールからターゲットに大量のSYNフラグ付きTCPパケットを投げる
Block Java ComponentHTTPコンテンツのJavaコンポーネントが含まれる通信を拒否する
JavaコンポーネントをWebサーバに置くか、インターネット上のJavaサンプルページを利用する
セキュリティ機器を経由して、JavaコンポーネントにHTTPアクセスする
プロキシを挟む場合、ポート番号によって検出しない場合があるので注意する
Block ActiveX ComponentHTTPコンテンツのActiveXコンポーネントが含まれる通信を拒否する
ActiveXコンポーネントをWebサーバに置くか、インターネット上のActiveXサンプルページを利用する
セキュリティ機器を経由して、ActiveXコンポーネントにHTTPアクセスする
プロキシを挟む場合、ポート番号によって検出しない場合があるので注意する
Block ZIP ComponentHTTPによるZIPファイルのダウンロードを拒否する
ZIPファイルをWebサーバに置くか、ベクターなどのダウンロードサイトを利用する
セキュリティ機器を経由して、HTTPでZIPファイルをダウンロードする
プロキシを挟む場合、ポート番号によって検出しない場合があるので注意する
Block EXE ComponentHTTPによるEXEファイルのダウンロードを拒否する
EXEファイルをWebサーバに置くか、ベクターなどのダウンロードサイトを利用する
セキュリティ機器を経由して、HTTPでEXEファイルをダウンロードする
プロキシを挟む場合、ポート番号によって検出しない場合があるので注意する
WinNuke Attack ProtectionWindows95の頃に流行したWinNukeパケットを検出し、URGフラグを外す
winnuke.cをコンパイルするか、専用ツールを使う
Windowsのホストに対して、ツールからWinNukeパケットを飛ばす
最近のWindowsなら、仮にパケットを受信しても問題ない
Land Attack Protection戻りパケットが自分自身になってしまうような、送信元IPアドレスとポート番号が偽装されたパケットを拒否する
hpingNmapなどの攻撃ツール
送信元IPアドレスと送信先IPアドレスが同一で、かつ送信元ポート番号と送信先ポート番号が同一になるようなパケットを投げる
IP Address Spoof Protection送信元IPアドレスが偽装されているパケットを拒否する
送信元IPアドレスを指定できるツールなら何でも可
そのインターフェースに入ってくるはずのないネットワークのIPアドレス(例えば、別のインターフェースの裏側に存在するような経路設定になっているネットワークなど)を送信元IPアドレスとして指定したパケットを飛ばす
IP Address Sweep Protection一定の範囲のIPアドレスに対して単一のホストから順番に投げられたパケットを拒否する
hpingNmapなどの攻撃ツール、ターゲットを範囲指定できるPingツール
特定のIPアドレス範囲に対して、IPアドレスを順番にインクリメントするようなパケットを連続して飛ばす
Port Scan Attack Protection一定の範囲のポート番号に対して単一のホストからポートの開閉をチェックするために投げられたパケットを拒否する
hpingNmapなどの攻撃ツール、その辺に落ちているPortScanツール
セキュリティ機器の「単位時間あたりのパケット数」の値に注意しながら、特定のポート番号範囲に対してPortScanを実施する
Ping of Death Attack Protectionサイズが65535バイト近くのPingパケットを拒否する
hping(他の攻撃ツールやPingコマンドでも出来るかもしれませんが、僕は出せませんでした)
出来るだけ大きなサイズを指定して、Pingを飛ばす
Tear-drop Attack Protectionフラグメントが発生しているパケットの中で、オフセット値のおかしいパケットを拒否する
hping
故意にフラグメントさせて、オフセット値を矛盾した値に指定したパケットを飛ばす
ICMP Fragment ProtectionフラグメントされたICMPパケットを拒否する
サイズ指定でPingを実行できるツールなら何でも可
フラグメントするようなサイズ(Ethernetならヘッダとの合計が1500バイト以上)のPingを飛ばす
Block Fragment Trafficフラグメントされたパケットを拒否する
サイズ指定でパケットを飛ばせるツールなら何でも可
フラグメントするようなサイズ(Ethernetならヘッダとの合計が1500バイト以上)のパケットを飛ばす
IP Timestamp Option ProtectionIPオプションが「4(Timestamp)」になっているパケットを拒否する
PingコマンドのソースのIPオプション部分を編集してコンパイル
IPオプションを指定して、Pingコマンドを実行する
IP Security Option ProtectionIPオプションが「2(Security)」になっているパケットを拒否する
PingコマンドのソースのIPオプション部分を編集してコンパイル
IPオプションを指定して、Pingコマンドを実行する
IP Stream Option ProtectionIPオプションが「8(Stream)」になっているパケットを拒否する
PingコマンドのソースのIPオプション部分を編集してコンパイル
IPオプションを指定して、Pingコマンドを実行する
IP Record Option ProtectionIPオプションが「7(Record)」になっているパケットを拒否する
OS付属のPingコマンド
「Record」オプションを指定して、Pingコマンドを実行する
IP Loose Source Route Option ProtectionIPオプションが「3(LooseSourceRoute)」になっているパケットを拒否する
OS付属のPingコマンド
「LooseSourceRoute」オプションを指定して、Pingコマンドを実行する
IP Strict Source Route Option ProtectionIPオプションが「9(LooseStrictRoute)」になっているパケットを拒否する
OS付属のPingコマンド
「LooseStrictRoute」オプションを指定して、Pingコマンドを実行する
SYN Fragment ProtectionSYNフラグ付きのフラグメントパケットを拒否する
hping
フラグメントオプションをつけて、フラグメントさせたSYNパケットを飛ばす
TCP Packet Without Flag ProtectionTCPフラグの全く付いていないパケットを拒否する
hpingNmapなどの攻撃ツール
全くフラグを付けないでTCPパケットを飛ばす
SYN and FIN Bits Set ProtectionSYNフラグとFINフラグが同時に付いたパケットを拒否する
hpingNmapなどの攻撃ツール
SYNフラグとFINフラグを付けたTCPパケットを飛ばす
FIN Bit With No ACK Bit in Flags ProtectionACKフラグの付いていないFINパケットを拒否する
hpingNmapなどの攻撃ツール
FINフラグだけを付けたTCPパケットを飛ばす
Unknown Protocol Protection実際には使用されていない101番以上のプロトコル番号を持ったパケットを拒否する
hpingNmapなどの攻撃ツール
101以上のプロトコル番号を付けたパケットを飛ばす

↑↑上に戻る

ネットワークセキュリティ関係者の部屋 > aTTACK