SlideShare una empresa de Scribd logo

最新ポートスキャン対策

FFRI, Inc.
FFRI, Inc.
Tecnología
1 de 13
Descargar para leer sin conexión
Fourteenforty Research Institute, Inc. 1 Fourteenforty Research Institute, Inc. 最新ポートスキャナ対策 Fourteenforty Research Institute, Inc. 株式会社 フォティーンフォティ技術研究所 http://www.fourteenforty.jp 取締役 技術担当 金居良治
Fourteenforty Research Institute, Inc. 2 お題目 • ポートスキャンとは? • Tarpit を利用した対策 • OpenBSD pf を利用した対策 • Fourteenforty が独自に考案した対策
Fourteenforty Research Institute, Inc. 3 ポートスキャンとは? • ターゲットサーバ上で、どのようなサービスが 実行されているかを検出する技術 • 脆弱性検出の基本的な手法で、脆弱性管理に は必須のテクニック • したがって、攻撃にも使用される技術 • nmap でスキャンした例 PORT STATE SERVICE VERSION 80/tcp open http Apache httpd 2.3.0-dev ((Unix))
Fourteenforty Research Institute, Inc. 4 Tarpit • スキャンを遅らせ、スキャンにかかるコストを増 加させる • Spam 対策の spam tarpit は有名 • ネットワーク経由で広まるウイルスの伝搬速度 を低下させることが出来る • ipfilter (LinuxのFirewall), LaBrea
Fourteenforty Research Institute, Inc. 5 Tarpit の実装 (アプリケーションレベル) • アプリケーションレベルで遅延させる(プロトコ ル検出を遅延させる) • sendmail 等々で同様の機能あり GET / HTTP/1.0 GET / HTTP/1.0 HTTP/1.0 302 Found H T T P... User AttackerServer
Fourteenforty Research Institute, Inc. 6 Tarpit の実装 (Layer 2, 3) • TCP Window サイズを 0 にする → プロトコル検出を遅延させる • 存在しない IP アドレスへの arp/icmp/SYN scan に答える → 存在しない IP へのポートスキャンやプ ロトコル検出はことごとくタイムアウトする
Fourteenforty Research Institute, Inc. 7 OpenBSD pf • OpenBSD な人達が作っているファイアウォール • {Free,Net,Open}BSD で使える • Windows にも移植されている (機能限定版) • p0f という機能を使ってスキャナー対策が可能
Fourteenforty Research Institute, Inc. 8 OpenBSD pf - p0f について • Passive Os Fingerprinting (受動的OS検出) • SYN パケットの IP オプションやTTL等の特徴 的パターンから接続元のOSを特定する • Fingerprint ファイルが必要 Windows nmapServer SYN SYN ACK SYN Windowsから なので接続許可 nmap からは 接続拒否 SYN RST
Fourteenforty Research Institute, Inc. 9 Fourteenforty 独自の SYN スキャン対策 • SYN ACK や SYN RST のパケットを強制的に IP フ ラグメントに分割する • IP フラグメントは、巨大なデータの分割送信を行う仕 組み • nmap 等のすべての SYN スキャナはフラグメントの 再構成に対応していない • 通常の TCP/IP スタックには影響を与えずに、ポート スキャンだけ出来なくなる • しかも、Fingerprint ファイルが不要!
Fourteenforty Research Institute, Inc. 10 強制フラグメント方式の実装 • OpenBSD pf のルールの一部として実装 • ファイアウォールのルールと一緒として、非常 に柔軟な設定が可能 pass out inet proto tcp from any port 80 to any flags SA/SA forcefrag pass out inet proto tcp from any port 80 to any flags RA/RA forcefrag → port 80 への接続について強制フラグメントを有効にする • nmap で SYN スキャンが出来なくなる事を確認
Fourteenforty Research Institute, Inc. 11 強制フラグメント方式の構成例 • ファイアウォールとして利用する場合 X WWW, SMTP 一般ユーザ SYN スキャナ 強制フラグメント機能付き
Fourteenforty Research Institute, Inc. 12 結論 • ポートスキャナ対策をご紹介 • 今まで無理だと思われていた SYN スキャン対 策を Fourteenforty で考案 • これにより、攻撃にかかるコストを増加させる 事が可能となる
Fourteenforty Research Institute, Inc. 13 ありがとうございました Fourteenforty Research Institute, Inc. 株式会社 フォティーンフォティ技術研究所 http://www.fourteenforty.jp 取締役 技術担当 金居良治 kanai@fourteenforty.jp

Recomendados

Exploring the x64
Exploring the x64Exploring the x64
Exploring the x64
FFRI, Inc.
 
システムコールフックを使用した攻撃検出
システムコールフックを使用した攻撃検出システムコールフックを使用した攻撃検出
システムコールフックを使用した攻撃検出
FFRI, Inc.
 
[JPCERT/CC POC Meeting] 研究紹介 + DLLハイジャックの脆弱性
[JPCERT/CC POC Meeting] 研究紹介 + DLLハイジャックの脆弱性[JPCERT/CC POC Meeting] 研究紹介 + DLLハイジャックの脆弱性
[JPCERT/CC POC Meeting] 研究紹介 + DLLハイジャックの脆弱性
Asuka Nakajima
 
Rtミドルウェア講習会 第1部資料
Rtミドルウェア講習会 第1部資料Rtミドルウェア講習会 第1部資料
Rtミドルウェア講習会 第1部資料
openrtm
 
Appearances are deceiving: Novel offensive techniques in Windows 10/11 on ARM
Appearances are deceiving: Novel offensive techniques in Windows 10/11 on ARMAppearances are deceiving: Novel offensive techniques in Windows 10/11 on ARM
Appearances are deceiving: Novel offensive techniques in Windows 10/11 on ARM
FFRI, Inc.
 
Rtshell 2017
Rtshell 2017Rtshell 2017
Rtshell 2017
openrtm
 
RTミドルウェア強化月間2017 in 東京都立産業技術研究センター・RTミドルウェア講習会
RTミドルウェア強化月間2017 in 東京都立産業技術研究センター・RTミドルウェア講習会RTミドルウェア強化月間2017 in 東京都立産業技術研究センター・RTミドルウェア講習会
RTミドルウェア強化月間2017 in 東京都立産業技術研究センター・RTミドルウェア講習会
Noriaki Ando
 
170622-01
170622-01170622-01
170622-01
openrtm
 

Recomendados

Exploring the x64
Exploring the x64Exploring the x64
Exploring the x64
FFRI, Inc.
 
システムコールフックを使用した攻撃検出
システムコールフックを使用した攻撃検出システムコールフックを使用した攻撃検出
システムコールフックを使用した攻撃検出
FFRI, Inc.
 
[JPCERT/CC POC Meeting] 研究紹介 + DLLハイジャックの脆弱性
[JPCERT/CC POC Meeting] 研究紹介 + DLLハイジャックの脆弱性[JPCERT/CC POC Meeting] 研究紹介 + DLLハイジャックの脆弱性
[JPCERT/CC POC Meeting] 研究紹介 + DLLハイジャックの脆弱性
Asuka Nakajima
 
Rtミドルウェア講習会 第1部資料
Rtミドルウェア講習会 第1部資料Rtミドルウェア講習会 第1部資料
Rtミドルウェア講習会 第1部資料
openrtm
 
Appearances are deceiving: Novel offensive techniques in Windows 10/11 on ARM
Appearances are deceiving: Novel offensive techniques in Windows 10/11 on ARMAppearances are deceiving: Novel offensive techniques in Windows 10/11 on ARM
Appearances are deceiving: Novel offensive techniques in Windows 10/11 on ARM
FFRI, Inc.
 
Rtshell 2017
Rtshell 2017Rtshell 2017
Rtshell 2017
openrtm
 
RTミドルウェア強化月間2017 in 東京都立産業技術研究センター・RTミドルウェア講習会
RTミドルウェア強化月間2017 in 東京都立産業技術研究センター・RTミドルウェア講習会RTミドルウェア強化月間2017 in 東京都立産業技術研究センター・RTミドルウェア講習会
RTミドルウェア強化月間2017 in 東京都立産業技術研究センター・RTミドルウェア講習会
Noriaki Ando
 
170622-01
170622-01170622-01
170622-01
openrtm
 
技術紹介: S2E: Selective Symbolic Execution Engine
技術紹介: S2E: Selective Symbolic Execution Engine技術紹介: S2E: Selective Symbolic Execution Engine
技術紹介: S2E: Selective Symbolic Execution Engine
Asuka Nakajima
 
Rtミドルウェア講習会 第2部資料
Rtミドルウェア講習会 第2部資料Rtミドルウェア講習会 第2部資料
Rtミドルウェア講習会 第2部資料
openrtm
 
Mr201305 tizen security_jpn
Mr201305 tizen security_jpnMr201305 tizen security_jpn
Mr201305 tizen security_jpn
FFRI, Inc.
 
さらば、Stagefright 脆弱性
さらば、Stagefright 脆弱性さらば、Stagefright 脆弱性
さらば、Stagefright 脆弱性
Tsukasa Oi
 
2014 1018 OSC-Fall Tokyo NETMF
2014 1018 OSC-Fall Tokyo NETMF2014 1018 OSC-Fall Tokyo NETMF
2014 1018 OSC-Fall Tokyo NETMF
Atomu Hidaka
 
Riscv+fpga200606
Riscv+fpga200606Riscv+fpga200606
Riscv+fpga200606
たけおか しょうぞう
 
Fighting advanced malware using machine learning (Japanese)
Fighting advanced malware using machine learning (Japanese)Fighting advanced malware using machine learning (Japanese)
Fighting advanced malware using machine learning (Japanese)
FFRI, Inc.
 
2017 summercamp 04
2017 summercamp 042017 summercamp 04
2017 summercamp 04
openrtm
 
あなたのAppleにもEFIモンスターはいませんか? by Pedro Vilaça - CODE BLUE 2015
あなたのAppleにもEFIモンスターはいませんか? by Pedro Vilaça - CODE BLUE 2015あなたのAppleにもEFIモンスターはいませんか? by Pedro Vilaça - CODE BLUE 2015
あなたのAppleにもEFIモンスターはいませんか? by Pedro Vilaça - CODE BLUE 2015
CODE BLUE
 
ROBOMECH2017 RTM講習会 第1部・その1
ROBOMECH2017 RTM講習会 第1部・その1ROBOMECH2017 RTM講習会 第1部・その1
ROBOMECH2017 RTM講習会 第1部・その1
openrtm
 
Takep lpc1114-190614
Takep lpc1114-190614Takep lpc1114-190614
Takep lpc1114-190614
たけおか しょうぞう
 
2016 summercamp rtshell入門
2016 summercamp rtshell入門2016 summercamp rtshell入門
2016 summercamp rtshell入門
openrtm
 
171128 01
171128 01171128 01
171128 01
openrtm
 
RTミドルウェアサマーキャンプ2018「Rtshellj入門」
RTミドルウェアサマーキャンプ2018「Rtshellj入門」RTミドルウェアサマーキャンプ2018「Rtshellj入門」
RTミドルウェアサマーキャンプ2018「Rtshellj入門」
openrtm
 
170622 02
170622 02170622 02
170622 02
openrtm
 
2019 summercamp 02
2019 summercamp 022019 summercamp 02
2019 summercamp 02
openrtm
 
Report for S4x14 (SCADA Security Scientific Symposium 2014)
Report for S4x14 (SCADA Security Scientific Symposium 2014)Report for S4x14 (SCADA Security Scientific Symposium 2014)
Report for S4x14 (SCADA Security Scientific Symposium 2014)
Kuniyasu Suzaki
 
2013 summercamp 06
2013 summercamp 062013 summercamp 06
2013 summercamp 06
openrtm
 
2014 0228 OSC-Spring Tokyo NETMF
2014 0228 OSC-Spring Tokyo NETMF2014 0228 OSC-Spring Tokyo NETMF
2014 0228 OSC-Spring Tokyo NETMF
Atomu Hidaka
 
人工知能学会RTM講習会 第3部:プログラミング実習
人工知能学会RTM講習会 第3部:プログラミング実習 人工知能学会RTM講習会 第3部:プログラミング実習
人工知能学会RTM講習会 第3部:プログラミング実習
openrtm
 
Mr201301 nfc security
Mr201301 nfc securityMr201301 nfc security
Mr201301 nfc security
FFRI, Inc.
 
Android: 設計上の技術的な問題点
Android: 設計上の技術的な問題点Android: 設計上の技術的な問題点
Android: 設計上の技術的な問題点
FFRI, Inc.
 

Más contenido relacionado

La actualidad más candente

Mr201305 tizen security_jpn
Mr201305 tizen security_jpnMr201305 tizen security_jpn
Mr201305 tizen security_jpn
FFRI, Inc.
 
Fighting advanced malware using machine learning (Japanese)
Fighting advanced malware using machine learning (Japanese)Fighting advanced malware using machine learning (Japanese)
Fighting advanced malware using machine learning (Japanese)
FFRI, Inc.
 
あなたのAppleにもEFIモンスターはいませんか? by Pedro Vilaça - CODE BLUE 2015
あなたのAppleにもEFIモンスターはいませんか? by Pedro Vilaça - CODE BLUE 2015あなたのAppleにもEFIモンスターはいませんか? by Pedro Vilaça - CODE BLUE 2015
あなたのAppleにもEFIモンスターはいませんか? by Pedro Vilaça - CODE BLUE 2015
CODE BLUE
 
2013 summercamp 06
2013 summercamp 062013 summercamp 06
2013 summercamp 06
openrtm
 

La actualidad más candente (20)

技術紹介: S2E: Selective Symbolic Execution Engine
技術紹介: S2E: Selective Symbolic Execution Engine技術紹介: S2E: Selective Symbolic Execution Engine
技術紹介: S2E: Selective Symbolic Execution Engine
 
Rtミドルウェア講習会 第2部資料
Rtミドルウェア講習会 第2部資料Rtミドルウェア講習会 第2部資料
Rtミドルウェア講習会 第2部資料
 
Mr201305 tizen security_jpn
Mr201305 tizen security_jpnMr201305 tizen security_jpn
Mr201305 tizen security_jpn
 
さらば、Stagefright 脆弱性
さらば、Stagefright 脆弱性さらば、Stagefright 脆弱性
さらば、Stagefright 脆弱性
 
2014 1018 OSC-Fall Tokyo NETMF
2014 1018 OSC-Fall Tokyo NETMF2014 1018 OSC-Fall Tokyo NETMF
2014 1018 OSC-Fall Tokyo NETMF
 
Riscv+fpga200606
Riscv+fpga200606Riscv+fpga200606
Riscv+fpga200606
 
Fighting advanced malware using machine learning (Japanese)
Fighting advanced malware using machine learning (Japanese)Fighting advanced malware using machine learning (Japanese)
Fighting advanced malware using machine learning (Japanese)
 
2017 summercamp 04
2017 summercamp 042017 summercamp 04
2017 summercamp 04
 
あなたのAppleにもEFIモンスターはいませんか? by Pedro Vilaça - CODE BLUE 2015
あなたのAppleにもEFIモンスターはいませんか? by Pedro Vilaça - CODE BLUE 2015あなたのAppleにもEFIモンスターはいませんか? by Pedro Vilaça - CODE BLUE 2015
あなたのAppleにもEFIモンスターはいませんか? by Pedro Vilaça - CODE BLUE 2015
 
ROBOMECH2017 RTM講習会 第1部・その1
ROBOMECH2017 RTM講習会 第1部・その1ROBOMECH2017 RTM講習会 第1部・その1
ROBOMECH2017 RTM講習会 第1部・その1
 
Takep lpc1114-190614
Takep lpc1114-190614Takep lpc1114-190614
Takep lpc1114-190614
 
2016 summercamp rtshell入門
2016 summercamp rtshell入門2016 summercamp rtshell入門
2016 summercamp rtshell入門
 
171128 01
171128 01171128 01
171128 01
 
RTミドルウェアサマーキャンプ2018「Rtshellj入門」
RTミドルウェアサマーキャンプ2018「Rtshellj入門」RTミドルウェアサマーキャンプ2018「Rtshellj入門」
RTミドルウェアサマーキャンプ2018「Rtshellj入門」
 
170622 02
170622 02170622 02
170622 02
 
2019 summercamp 02
2019 summercamp 022019 summercamp 02
2019 summercamp 02
 
Report for S4x14 (SCADA Security Scientific Symposium 2014)
Report for S4x14 (SCADA Security Scientific Symposium 2014)Report for S4x14 (SCADA Security Scientific Symposium 2014)
Report for S4x14 (SCADA Security Scientific Symposium 2014)
 
2013 summercamp 06
2013 summercamp 062013 summercamp 06
2013 summercamp 06
 
2014 0228 OSC-Spring Tokyo NETMF
2014 0228 OSC-Spring Tokyo NETMF2014 0228 OSC-Spring Tokyo NETMF
2014 0228 OSC-Spring Tokyo NETMF
 
人工知能学会RTM講習会 第3部:プログラミング実習
人工知能学会RTM講習会 第3部:プログラミング実習 人工知能学会RTM講習会 第3部:プログラミング実習
人工知能学会RTM講習会 第3部:プログラミング実習
 

Similar a 最新ポートスキャン対策

Mr201301 nfc security
Mr201301 nfc securityMr201301 nfc security
Mr201301 nfc security
FFRI, Inc.
 
Android: 設計上の技術的な問題点
Android: 設計上の技術的な問題点Android: 設計上の技術的な問題点
Android: 設計上の技術的な問題点
FFRI, Inc.
 
ハードウェアによる仮想化支援機能を利用したハイパバイザーIPS
ハードウェアによる仮想化支援機能を利用したハイパバイザーIPSハードウェアによる仮想化支援機能を利用したハイパバイザーIPS
ハードウェアによる仮想化支援機能を利用したハイパバイザーIPS
FFRI, Inc.
 
Mr201304 open flow_security_jpn
Mr201304 open flow_security_jpnMr201304 open flow_security_jpn
Mr201304 open flow_security_jpn
FFRI, Inc.
 

Similar a 最新ポートスキャン対策 (7)

Mr201301 nfc security
Mr201301 nfc securityMr201301 nfc security
Mr201301 nfc security
 
Android: 設計上の技術的な問題点
Android: 設計上の技術的な問題点Android: 設計上の技術的な問題点
Android: 設計上の技術的な問題点
 
ハードウェアによる仮想化支援機能を利用したハイパバイザーIPS
ハードウェアによる仮想化支援機能を利用したハイパバイザーIPSハードウェアによる仮想化支援機能を利用したハイパバイザーIPS
ハードウェアによる仮想化支援機能を利用したハイパバイザーIPS
 
190605 04
190605 04190605 04
190605 04
 
YAPC::Asia2015
YAPC::Asia2015YAPC::Asia2015
YAPC::Asia2015
 
Mr201304 open flow_security_jpn
Mr201304 open flow_security_jpnMr201304 open flow_security_jpn
Mr201304 open flow_security_jpn
 
perfを使ったPostgreSQLの解析(前編)
perfを使ったPostgreSQLの解析(前編)perfを使ったPostgreSQLの解析(前編)
perfを使ったPostgreSQLの解析(前編)
 

Más de FFRI, Inc.

Appearances are deceiving: Novel offensive techniques in Windows 10/11 on ARM
Appearances are deceiving: Novel offensive techniques in Windows 10/11 on ARMAppearances are deceiving: Novel offensive techniques in Windows 10/11 on ARM
Appearances are deceiving: Novel offensive techniques in Windows 10/11 on ARM
FFRI, Inc.
 
Trend of Next-Gen In-Vehicle Network Standard and Current State of Security(F...
Trend of Next-Gen In-Vehicle Network Standard and Current State of Security(F...Trend of Next-Gen In-Vehicle Network Standard and Current State of Security(F...
Trend of Next-Gen In-Vehicle Network Standard and Current State of Security(F...
FFRI, Inc.
 
Malwarem armed with PowerShell
Malwarem armed with PowerShellMalwarem armed with PowerShell
Malwarem armed with PowerShell
FFRI, Inc.
 

Más de FFRI, Inc. (20)

Appearances are deceiving: Novel offensive techniques in Windows 10/11 on ARM
Appearances are deceiving: Novel offensive techniques in Windows 10/11 on ARMAppearances are deceiving: Novel offensive techniques in Windows 10/11 on ARM
Appearances are deceiving: Novel offensive techniques in Windows 10/11 on ARM
 
TrustZone use case and trend (FFRI Monthly Research Mar 2017)
TrustZone use case and trend (FFRI Monthly Research Mar 2017) TrustZone use case and trend (FFRI Monthly Research Mar 2017)
TrustZone use case and trend (FFRI Monthly Research Mar 2017)
 
Android Things Security Research in Developer Preview 2 (FFRI Monthly Researc...
Android Things Security Research in Developer Preview 2 (FFRI Monthly Researc...Android Things Security Research in Developer Preview 2 (FFRI Monthly Researc...
Android Things Security Research in Developer Preview 2 (FFRI Monthly Researc...
 
An Overview of the Android Things Security (FFRI Monthly Research Jan 2017)
An Overview of the Android Things Security (FFRI Monthly Research Jan 2017) An Overview of the Android Things Security (FFRI Monthly Research Jan 2017)
An Overview of the Android Things Security (FFRI Monthly Research Jan 2017)
 
Black Hat Europe 2016 Survey Report (FFRI Monthly Research Dec 2016)
Black Hat Europe 2016 Survey Report (FFRI Monthly Research Dec 2016) Black Hat Europe 2016 Survey Report (FFRI Monthly Research Dec 2016)
Black Hat Europe 2016 Survey Report (FFRI Monthly Research Dec 2016)
 
An Example of use the Threat Modeling Tool (FFRI Monthly Research Nov 2016)
An Example of use the Threat Modeling Tool (FFRI Monthly Research Nov 2016)An Example of use the Threat Modeling Tool (FFRI Monthly Research Nov 2016)
An Example of use the Threat Modeling Tool (FFRI Monthly Research Nov 2016)
 
STRIDE Variants and Security Requirements-based Threat Analysis (FFRI Monthly...
STRIDE Variants and Security Requirements-based Threat Analysis (FFRI Monthly...STRIDE Variants and Security Requirements-based Threat Analysis (FFRI Monthly...
STRIDE Variants and Security Requirements-based Threat Analysis (FFRI Monthly...
 
Introduction of Threat Analysis Methods(FFRI Monthly Research 2016.9)
Introduction of Threat Analysis Methods(FFRI Monthly Research 2016.9)Introduction of Threat Analysis Methods(FFRI Monthly Research 2016.9)
Introduction of Threat Analysis Methods(FFRI Monthly Research 2016.9)
 
Black Hat USA 2016 Survey Report (FFRI Monthly Research 2016.8)
Black Hat USA 2016 Survey Report (FFRI Monthly Research 2016.8)Black Hat USA 2016 Survey Report (FFRI Monthly Research 2016.8)
Black Hat USA 2016 Survey Report (FFRI Monthly Research 2016.8)
 
About security assessment framework “CHIPSEC” (FFRI Monthly Research 2016.7)
About security assessment framework “CHIPSEC” (FFRI Monthly Research 2016.7) About security assessment framework “CHIPSEC” (FFRI Monthly Research 2016.7)
About security assessment framework “CHIPSEC” (FFRI Monthly Research 2016.7)
 
Black Hat USA 2016 Pre-Survey (FFRI Monthly Research 2016.6)
Black Hat USA 2016 Pre-Survey (FFRI Monthly Research 2016.6)Black Hat USA 2016 Pre-Survey (FFRI Monthly Research 2016.6)
Black Hat USA 2016 Pre-Survey (FFRI Monthly Research 2016.6)
 
Black Hat Asia 2016 Survey Report (FFRI Monthly Research 2016.4)
Black Hat Asia 2016 Survey Report (FFRI Monthly Research 2016.4)Black Hat Asia 2016 Survey Report (FFRI Monthly Research 2016.4)
Black Hat Asia 2016 Survey Report (FFRI Monthly Research 2016.4)
 
ARMv8-M TrustZone: A New Security Feature for Embedded Systems (FFRI Monthly ...
ARMv8-M TrustZone: A New Security Feature for Embedded Systems (FFRI Monthly ...ARMv8-M TrustZone: A New Security Feature for Embedded Systems (FFRI Monthly ...
ARMv8-M TrustZone: A New Security Feature for Embedded Systems (FFRI Monthly ...
 
CODE BLUE 2015 Report (FFRI Monthly Research 2015.11)
CODE BLUE 2015 Report (FFRI Monthly Research 2015.11)CODE BLUE 2015 Report (FFRI Monthly Research 2015.11)
CODE BLUE 2015 Report (FFRI Monthly Research 2015.11)
 
Latest Security Reports of Automobile and Vulnerability Assessment by CVSS v3...
Latest Security Reports of Automobile and Vulnerability Assessment by CVSS v3...Latest Security Reports of Automobile and Vulnerability Assessment by CVSS v3...
Latest Security Reports of Automobile and Vulnerability Assessment by CVSS v3...
 
Black Hat USA 2015 Survey Report (FFRI Monthly Research 201508)
Black Hat USA 2015 Survey Report (FFRI Monthly Research 201508)Black Hat USA 2015 Survey Report (FFRI Monthly Research 201508)
Black Hat USA 2015 Survey Report (FFRI Monthly Research 201508)
 
A Survey of Threats in OS X and iOS(FFRI Monthly Research 201507)
A Survey of Threats in OS X and iOS(FFRI Monthly Research 201507)A Survey of Threats in OS X and iOS(FFRI Monthly Research 201507)
A Survey of Threats in OS X and iOS(FFRI Monthly Research 201507)
 
Security of Windows 10 IoT Core(FFRI Monthly Research 201506)
Security of Windows 10 IoT Core(FFRI Monthly Research 201506)Security of Windows 10 IoT Core(FFRI Monthly Research 201506)
Security of Windows 10 IoT Core(FFRI Monthly Research 201506)
 
Trend of Next-Gen In-Vehicle Network Standard and Current State of Security(F...
Trend of Next-Gen In-Vehicle Network Standard and Current State of Security(F...Trend of Next-Gen In-Vehicle Network Standard and Current State of Security(F...
Trend of Next-Gen In-Vehicle Network Standard and Current State of Security(F...
 
Malwarem armed with PowerShell
Malwarem armed with PowerShellMalwarem armed with PowerShell
Malwarem armed with PowerShell
 

最新ポートスキャン対策

  • 1. Fourteenforty Research Institute, Inc. 1 Fourteenforty Research Institute, Inc. 最新ポートスキャナ対策 Fourteenforty Research Institute, Inc. 株式会社 フォティーンフォティ技術研究所 http://www.fourteenforty.jp 取締役 技術担当 金居良治
  • 2. Fourteenforty Research Institute, Inc. 2 お題目 • ポートスキャンとは? • Tarpit を利用した対策 • OpenBSD pf を利用した対策 • Fourteenforty が独自に考案した対策
  • 3. Fourteenforty Research Institute, Inc. 3 ポートスキャンとは? • ターゲットサーバ上で、どのようなサービスが 実行されているかを検出する技術 • 脆弱性検出の基本的な手法で、脆弱性管理に は必須のテクニック • したがって、攻撃にも使用される技術 • nmap でスキャンした例 PORT STATE SERVICE VERSION 80/tcp open http Apache httpd 2.3.0-dev ((Unix))
  • 4. Fourteenforty Research Institute, Inc. 4 Tarpit • スキャンを遅らせ、スキャンにかかるコストを増 加させる • Spam 対策の spam tarpit は有名 • ネットワーク経由で広まるウイルスの伝搬速度 を低下させることが出来る • ipfilter (LinuxのFirewall), LaBrea
  • 5. Fourteenforty Research Institute, Inc. 5 Tarpit の実装 (アプリケーションレベル) • アプリケーションレベルで遅延させる(プロトコ ル検出を遅延させる) • sendmail 等々で同様の機能あり GET / HTTP/1.0 GET / HTTP/1.0 HTTP/1.0 302 Found H T T P... User AttackerServer
  • 6. Fourteenforty Research Institute, Inc. 6 Tarpit の実装 (Layer 2, 3) • TCP Window サイズを 0 にする → プロトコル検出を遅延させる • 存在しない IP アドレスへの arp/icmp/SYN scan に答える → 存在しない IP へのポートスキャンやプ ロトコル検出はことごとくタイムアウトする
  • 7. Fourteenforty Research Institute, Inc. 7 OpenBSD pf • OpenBSD な人達が作っているファイアウォール • {Free,Net,Open}BSD で使える • Windows にも移植されている (機能限定版) • p0f という機能を使ってスキャナー対策が可能
  • 8. Fourteenforty Research Institute, Inc. 8 OpenBSD pf - p0f について • Passive Os Fingerprinting (受動的OS検出) • SYN パケットの IP オプションやTTL等の特徴 的パターンから接続元のOSを特定する • Fingerprint ファイルが必要 Windows nmapServer SYN SYN ACK SYN Windowsから なので接続許可 nmap からは 接続拒否 SYN RST
  • 9. Fourteenforty Research Institute, Inc. 9 Fourteenforty 独自の SYN スキャン対策 • SYN ACK や SYN RST のパケットを強制的に IP フ ラグメントに分割する • IP フラグメントは、巨大なデータの分割送信を行う仕 組み • nmap 等のすべての SYN スキャナはフラグメントの 再構成に対応していない • 通常の TCP/IP スタックには影響を与えずに、ポート スキャンだけ出来なくなる • しかも、Fingerprint ファイルが不要!
  • 10. Fourteenforty Research Institute, Inc. 10 強制フラグメント方式の実装 • OpenBSD pf のルールの一部として実装 • ファイアウォールのルールと一緒として、非常 に柔軟な設定が可能 pass out inet proto tcp from any port 80 to any flags SA/SA forcefrag pass out inet proto tcp from any port 80 to any flags RA/RA forcefrag → port 80 への接続について強制フラグメントを有効にする • nmap で SYN スキャンが出来なくなる事を確認
  • 11. Fourteenforty Research Institute, Inc. 11 強制フラグメント方式の構成例 • ファイアウォールとして利用する場合 X WWW, SMTP 一般ユーザ SYN スキャナ 強制フラグメント機能付き
  • 12. Fourteenforty Research Institute, Inc. 12 結論 • ポートスキャナ対策をご紹介 • 今まで無理だと思われていた SYN スキャン対 策を Fourteenforty で考案 • これにより、攻撃にかかるコストを増加させる 事が可能となる
  • 13. Fourteenforty Research Institute, Inc. 13 ありがとうございました Fourteenforty Research Institute, Inc. 株式会社 フォティーンフォティ技術研究所 http://www.fourteenforty.jp 取締役 技術担当 金居良治 kanai@fourteenforty.jp