最新ポートスキャン対策

•

2 j'aime•1,388 vues

FFRI, Inc.

Technologie

Fourteenforty Research Institute, Inc.
1
Fourteenforty Research Institute, Inc.
最新ポートスキャナ対策
Fourteenforty Research Institute, Inc.
株式会社フォティーンフォティ技術研究所
http://www.fourteenforty.jp
取締役技術担当金居良治

Fourteenforty Research Institute, Inc.
2
お題目
• ポートスキャンとは？
• Tarpit を利用した対策
• OpenBSD pf を利用した対策
• Fourteenforty が独自に考案した対策

Fourteenforty Research Institute, Inc.
3
ポートスキャンとは？
• ターゲットサーバ上で、どのようなサービスが
実行されているかを検出する技術
• 脆弱性検出の基本的な手法で、脆弱性管理に
は必須のテクニック
• したがって、攻撃にも使用される技術
• nmap でスキャンした例
PORT STATE SERVICE VERSION
80/tcp open http Apache httpd 2.3.0-dev ((Unix))

Fourteenforty Research Institute, Inc.
4
Tarpit
• スキャンを遅らせ、スキャンにかかるコストを増
加させる
• Spam 対策の spam tarpit は有名
• ネットワーク経由で広まるウイルスの伝搬速度
を低下させることが出来る
• ipfilter (LinuxのFirewall), LaBrea

Fourteenforty Research Institute, Inc.
5
Tarpit の実装 (アプリケーションレベル)
• アプリケーションレベルで遅延させる(プロトコ
ル検出を遅延させる)
• sendmail 等々で同様の機能あり
GET / HTTP/1.0 GET / HTTP/1.0
HTTP/1.0 302 Found H
T
T
P...
User AttackerServer

Fourteenforty Research Institute, Inc.
6
Tarpit の実装 (Layer 2, 3)
• TCP Window サイズを 0 にする
→ プロトコル検出を遅延させる
• 存在しない IP アドレスへの arp/icmp/SYN
scan に答える
→ 存在しない IP へのポートスキャンやプ
ロトコル検出はことごとくタイムアウトする

Fourteenforty Research Institute, Inc.
7
OpenBSD pf
• OpenBSD な人達が作っているファイアウォール
• {Free,Net,Open}BSD で使える
• Windows にも移植されている (機能限定版)
• p0f という機能を使ってスキャナー対策が可能

Fourteenforty Research Institute, Inc.
8
OpenBSD pf - p0f について
• Passive Os Fingerprinting (受動的OS検出)
• SYN パケットの IP オプションやTTL等の特徴
的パターンから接続元のOSを特定する
• Fingerprint ファイルが必要
Windows nmapServer
SYN
SYN ACK
SYN
Windowsから
なので接続許可
nmap からは
接続拒否
SYN RST

Fourteenforty Research Institute, Inc.
9
Fourteenforty 独自の SYN スキャン対策
• SYN ACK や SYN RST のパケットを強制的に IP フ
ラグメントに分割する
• IP フラグメントは、巨大なデータの分割送信を行う仕
組み
• nmap 等のすべての SYN スキャナはフラグメントの
再構成に対応していない
• 通常の TCP/IP スタックには影響を与えずに、ポート
スキャンだけ出来なくなる
• しかも、Fingerprint ファイルが不要！

Fourteenforty Research Institute, Inc.
10
強制フラグメント方式の実装
• OpenBSD pf のルールの一部として実装
• ファイアウォールのルールと一緒として、非常
に柔軟な設定が可能
pass out inet proto tcp from any port 80 to any flags SA/SA forcefrag
pass out inet proto tcp from any port 80 to any flags RA/RA forcefrag
→ port 80 への接続について強制フラグメントを有効にする
• nmap で SYN スキャンが出来なくなる事を確認

Fourteenforty Research Institute, Inc.
11
強制フラグメント方式の構成例
• ファイアウォールとして利用する場合
X
WWW, SMTP
一般ユーザ
SYN スキャナ
強制フラグメント機能付き

Fourteenforty Research Institute, Inc.
12
結論
• ポートスキャナ対策をご紹介
• 今まで無理だと思われていた SYN スキャン対
策を Fourteenforty で考案
• これにより、攻撃にかかるコストを増加させる
事が可能となる

Fourteenforty Research Institute, Inc.
13
ありがとうございました
Fourteenforty Research Institute, Inc.
株式会社フォティーンフォティ技術研究所
http://www.fourteenforty.jp
取締役技術担当金居良治
kanai@fourteenforty.jp

Recommandé

Exploring the x64FFRI, Inc.

システムコールフックを使用した攻撃検出FFRI, Inc.

[JPCERT/CC POC Meeting] 研究紹介 + DLLハイジャックの脆弱性Asuka Nakajima

Rtミドルウェア講習会第1部資料openrtm

Appearances are deceiving: Novel offensive techniques in Windows 10/11 on ARMFFRI, Inc.

Rtshell 2017openrtm

RTミドルウェア強化月間2017 in 東京都立産業技術研究センター・RTミドルウェア講習会Noriaki Ando

170622-01openrtm

Recommandé

Exploring the x64FFRI, Inc.

システムコールフックを使用した攻撃検出FFRI, Inc.

[JPCERT/CC POC Meeting] 研究紹介 + DLLハイジャックの脆弱性Asuka Nakajima

Rtミドルウェア講習会第1部資料openrtm

Appearances are deceiving: Novel offensive techniques in Windows 10/11 on ARMFFRI, Inc.

Rtshell 2017openrtm

RTミドルウェア強化月間2017 in 東京都立産業技術研究センター・RTミドルウェア講習会Noriaki Ando

170622-01openrtm

技術紹介: S2E: Selective Symbolic Execution EngineAsuka Nakajima

Rtミドルウェア講習会第2部資料openrtm

Mr201305 tizen security_jpnFFRI, Inc.

さらば、Stagefright 脆弱性Tsukasa Oi

2014 1018 OSC-Fall Tokyo NETMFAtomu Hidaka

Riscv+fpga200606たけおかしょうぞう

Fighting advanced malware using machine learning (Japanese)FFRI, Inc.

2017 summercamp 04openrtm

あなたのAppleにもEFIモンスターはいませんか？ by Pedro Vilaça - CODE BLUE 2015CODE BLUE

ROBOMECH2017 RTM講習会第1部・その1openrtm

Takep lpc1114-190614たけおかしょうぞう

2016 summercamp rtshell入門openrtm

171128 01openrtm

RTミドルウェアサマーキャンプ2018「Rtshellj入門」openrtm

170622 02openrtm

2019 summercamp 02openrtm

Report for S4x14 (SCADA Security Scientific Symposium 2014)Kuniyasu Suzaki

2013 summercamp 06openrtm

2014 0228 OSC-Spring Tokyo NETMFAtomu Hidaka

人工知能学会RTM講習会第3部：プログラミング実習 openrtm

Mr201301 nfc securityFFRI, Inc.

Android: 設計上の技術的な問題点FFRI, Inc.

Contenu connexe

Tendances

技術紹介: S2E: Selective Symbolic Execution EngineAsuka Nakajima

Rtミドルウェア講習会第2部資料openrtm

Mr201305 tizen security_jpnFFRI, Inc.

さらば、Stagefright 脆弱性Tsukasa Oi

2014 1018 OSC-Fall Tokyo NETMFAtomu Hidaka

Riscv+fpga200606たけおかしょうぞう

Fighting advanced malware using machine learning (Japanese)FFRI, Inc.

2017 summercamp 04openrtm

あなたのAppleにもEFIモンスターはいませんか？ by Pedro Vilaça - CODE BLUE 2015CODE BLUE

ROBOMECH2017 RTM講習会第1部・その1openrtm

Takep lpc1114-190614たけおかしょうぞう

2016 summercamp rtshell入門openrtm

171128 01openrtm

RTミドルウェアサマーキャンプ2018「Rtshellj入門」openrtm

170622 02openrtm

2019 summercamp 02openrtm

Report for S4x14 (SCADA Security Scientific Symposium 2014)Kuniyasu Suzaki

2013 summercamp 06openrtm

2014 0228 OSC-Spring Tokyo NETMFAtomu Hidaka

人工知能学会RTM講習会第3部：プログラミング実習 openrtm

Tendances (20)

技術紹介: S2E: Selective Symbolic Execution Engine

Rtミドルウェア講習会第2部資料

Mr201305 tizen security_jpn

さらば、Stagefright 脆弱性

2014 1018 OSC-Fall Tokyo NETMF

Riscv+fpga200606

Fighting advanced malware using machine learning (Japanese)

2017 summercamp 04

あなたのAppleにもEFIモンスターはいませんか？ by Pedro Vilaça - CODE BLUE 2015

ROBOMECH2017 RTM講習会第1部・その1

Takep lpc1114-190614

2016 summercamp rtshell入門

171128 01

RTミドルウェアサマーキャンプ2018「Rtshellj入門」

170622 02

2019 summercamp 02

Report for S4x14 (SCADA Security Scientific Symposium 2014)

2013 summercamp 06

2014 0228 OSC-Spring Tokyo NETMF

人工知能学会RTM講習会第3部：プログラミング実習

Similaire à 最新ポートスキャン対策

Mr201301 nfc securityFFRI, Inc.

Android: 設計上の技術的な問題点FFRI, Inc.

ハードウェアによる仮想化支援機能を利用したハイパバイザーIPSFFRI, Inc.

190605 04openrtm

YAPC::Asia2015Masaru Hoshino

Mr201304 open flow_security_jpnFFRI, Inc.

perfを使ったPostgreSQLの解析(前編)NTT DATA OSS Professional Services

Similaire à 最新ポートスキャン対策 (7)

Mr201301 nfc security

Android: 設計上の技術的な問題点

ハードウェアによる仮想化支援機能を利用したハイパバイザーIPS

190605 04

YAPC::Asia2015

Mr201304 open flow_security_jpn

perfを使ったPostgreSQLの解析(前編)

Plus de FFRI, Inc.

Appearances are deceiving: Novel offensive techniques in Windows 10/11 on ARMFFRI, Inc.

TrustZone use case and trend (FFRI Monthly Research Mar 2017) FFRI, Inc.

Android Things Security Research in Developer Preview 2 (FFRI Monthly Researc...FFRI, Inc.

An Overview of the Android Things Security (FFRI Monthly Research Jan 2017) FFRI, Inc.

Black Hat Europe 2016 Survey Report (FFRI Monthly Research Dec 2016) FFRI, Inc.

An Example of use the Threat Modeling Tool (FFRI Monthly Research Nov 2016)FFRI, Inc.

STRIDE Variants and Security Requirements-based Threat Analysis (FFRI Monthly...FFRI, Inc.

Introduction of Threat Analysis Methods(FFRI Monthly Research 2016.9)FFRI, Inc.

Black Hat USA 2016 Survey Report (FFRI Monthly Research 2016.8)FFRI, Inc.

About security assessment framework “CHIPSEC” (FFRI Monthly Research 2016.7) FFRI, Inc.

Black Hat USA 2016 Pre-Survey (FFRI Monthly Research 2016.6)FFRI, Inc.

Black Hat Asia 2016 Survey Report (FFRI Monthly Research 2016.4)FFRI, Inc.

ARMv8-M TrustZone: A New Security Feature for Embedded Systems (FFRI Monthly ...FFRI, Inc.

CODE BLUE 2015 Report (FFRI Monthly Research 2015.11)FFRI, Inc.

Latest Security Reports of Automobile and Vulnerability Assessment by CVSS v3...FFRI, Inc.

Black Hat USA 2015 Survey Report (FFRI Monthly Research 201508)FFRI, Inc.

A Survey of Threats in OS X and iOS(FFRI Monthly Research 201507)FFRI, Inc.

Security of Windows 10 IoT Core(FFRI Monthly Research 201506)FFRI, Inc.

Trend of Next-Gen In-Vehicle Network Standard and Current State of Security(F...FFRI, Inc.

Malwarem armed with PowerShellFFRI, Inc.

Plus de FFRI, Inc. (20)

Appearances are deceiving: Novel offensive techniques in Windows 10/11 on ARM

TrustZone use case and trend (FFRI Monthly Research Mar 2017)

Android Things Security Research in Developer Preview 2 (FFRI Monthly Researc...

An Overview of the Android Things Security (FFRI Monthly Research Jan 2017)

Black Hat Europe 2016 Survey Report (FFRI Monthly Research Dec 2016)

An Example of use the Threat Modeling Tool (FFRI Monthly Research Nov 2016)

STRIDE Variants and Security Requirements-based Threat Analysis (FFRI Monthly...

Introduction of Threat Analysis Methods(FFRI Monthly Research 2016.9)

Black Hat USA 2016 Survey Report (FFRI Monthly Research 2016.8)

About security assessment framework “CHIPSEC” (FFRI Monthly Research 2016.7)

Black Hat USA 2016 Pre-Survey (FFRI Monthly Research 2016.6)

Black Hat Asia 2016 Survey Report (FFRI Monthly Research 2016.4)

ARMv8-M TrustZone: A New Security Feature for Embedded Systems (FFRI Monthly ...

CODE BLUE 2015 Report (FFRI Monthly Research 2015.11)

Latest Security Reports of Automobile and Vulnerability Assessment by CVSS v3...

Black Hat USA 2015 Survey Report (FFRI Monthly Research 201508)

A Survey of Threats in OS X and iOS(FFRI Monthly Research 201507)

Security of Windows 10 IoT Core(FFRI Monthly Research 201506)

Trend of Next-Gen In-Vehicle Network Standard and Current State of Security(F...

Malwarem armed with PowerShell

Dernier

CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か？akihisamiyanaga1

業務で生成AIを活用したい人のための生成AI入門講座（社外公開版：キンドリルジャパン社内勉強会：2024年4月発表）Hiroshi Tomioka

デジタル・フォレンジックの最新動向（2024年4月27日情洛会総会特別講演スライド）UEHARA, Tetsutaro

自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineerYuki Kikuchi

モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察～Text-to-MusicとText-To-ImageかつImage-to-Music...博三太田

クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdfFumieNakayama

NewSQLの可用性構成パターン（OCHaCafe Season 8 #4 発表資料）NTT DATA Technology & Innovation

AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdfFumieNakayama

Dernier (8)

CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か？

業務で生成AIを活用したい人のための生成AI入門講座（社外公開版：キンドリルジャパン社内勉強会：2024年4月発表）

デジタル・フォレンジックの最新動向（2024年4月27日情洛会総会特別講演スライド）

自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer

モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察～Text-to-MusicとText-To-ImageかつImage-to-Music...

クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf

NewSQLの可用性構成パターン（OCHaCafe Season 8 #4 発表資料）

AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf