最新ポートスキャン対策

•

2 gefällt mir•1,388 views

FFRI, Inc.

Technologie

Fourteenforty Research Institute, Inc.
1
Fourteenforty Research Institute, Inc.
最新ポートスキャナ対策
Fourteenforty Research Institute, Inc.
株式会社フォティーンフォティ技術研究所
http://www.fourteenforty.jp
取締役技術担当金居良治

Fourteenforty Research Institute, Inc.
2
お題目
• ポートスキャンとは？
• Tarpit を利用した対策
• OpenBSD pf を利用した対策
• Fourteenforty が独自に考案した対策

Fourteenforty Research Institute, Inc.
3
ポートスキャンとは？
• ターゲットサーバ上で、どのようなサービスが
実行されているかを検出する技術
• 脆弱性検出の基本的な手法で、脆弱性管理に
は必須のテクニック
• したがって、攻撃にも使用される技術
• nmap でスキャンした例
PORT STATE SERVICE VERSION
80/tcp open http Apache httpd 2.3.0-dev ((Unix))

Fourteenforty Research Institute, Inc.
4
Tarpit
• スキャンを遅らせ、スキャンにかかるコストを増
加させる
• Spam 対策の spam tarpit は有名
• ネットワーク経由で広まるウイルスの伝搬速度
を低下させることが出来る
• ipfilter (LinuxのFirewall), LaBrea

Fourteenforty Research Institute, Inc.
5
Tarpit の実装 (アプリケーションレベル)
• アプリケーションレベルで遅延させる(プロトコ
ル検出を遅延させる)
• sendmail 等々で同様の機能あり
GET / HTTP/1.0 GET / HTTP/1.0
HTTP/1.0 302 Found H
T
T
P...
User AttackerServer

Fourteenforty Research Institute, Inc.
6
Tarpit の実装 (Layer 2, 3)
• TCP Window サイズを 0 にする
→ プロトコル検出を遅延させる
• 存在しない IP アドレスへの arp/icmp/SYN
scan に答える
→ 存在しない IP へのポートスキャンやプ
ロトコル検出はことごとくタイムアウトする

Fourteenforty Research Institute, Inc.
7
OpenBSD pf
• OpenBSD な人達が作っているファイアウォール
• {Free,Net,Open}BSD で使える
• Windows にも移植されている (機能限定版)
• p0f という機能を使ってスキャナー対策が可能

Fourteenforty Research Institute, Inc.
8
OpenBSD pf - p0f について
• Passive Os Fingerprinting (受動的OS検出)
• SYN パケットの IP オプションやTTL等の特徴
的パターンから接続元のOSを特定する
• Fingerprint ファイルが必要
Windows nmapServer
SYN
SYN ACK
SYN
Windowsから
なので接続許可
nmap からは
接続拒否
SYN RST

Fourteenforty Research Institute, Inc.
9
Fourteenforty 独自の SYN スキャン対策
• SYN ACK や SYN RST のパケットを強制的に IP フ
ラグメントに分割する
• IP フラグメントは、巨大なデータの分割送信を行う仕
組み
• nmap 等のすべての SYN スキャナはフラグメントの
再構成に対応していない
• 通常の TCP/IP スタックには影響を与えずに、ポート
スキャンだけ出来なくなる
• しかも、Fingerprint ファイルが不要！

Fourteenforty Research Institute, Inc.
10
強制フラグメント方式の実装
• OpenBSD pf のルールの一部として実装
• ファイアウォールのルールと一緒として、非常
に柔軟な設定が可能
pass out inet proto tcp from any port 80 to any flags SA/SA forcefrag
pass out inet proto tcp from any port 80 to any flags RA/RA forcefrag
→ port 80 への接続について強制フラグメントを有効にする
• nmap で SYN スキャンが出来なくなる事を確認

Fourteenforty Research Institute, Inc.
11
強制フラグメント方式の構成例
• ファイアウォールとして利用する場合
X
WWW, SMTP
一般ユーザ
SYN スキャナ
強制フラグメント機能付き

Fourteenforty Research Institute, Inc.
12
結論
• ポートスキャナ対策をご紹介
• 今まで無理だと思われていた SYN スキャン対
策を Fourteenforty で考案
• これにより、攻撃にかかるコストを増加させる
事が可能となる

Fourteenforty Research Institute, Inc.
13
ありがとうございました
Fourteenforty Research Institute, Inc.
株式会社フォティーンフォティ技術研究所
http://www.fourteenforty.jp
取締役技術担当金居良治
kanai@fourteenforty.jp

Empfohlen

Exploring the x64FFRI, Inc.

システムコールフックを使用した攻撃検出FFRI, Inc.

[JPCERT/CC POC Meeting] 研究紹介 + DLLハイジャックの脆弱性Asuka Nakajima

Rtミドルウェア講習会第1部資料openrtm

Appearances are deceiving: Novel offensive techniques in Windows 10/11 on ARMFFRI, Inc.

Rtshell 2017openrtm

RTミドルウェア強化月間2017 in 東京都立産業技術研究センター・RTミドルウェア講習会Noriaki Ando

170622-01openrtm

Empfohlen

Exploring the x64FFRI, Inc.

システムコールフックを使用した攻撃検出FFRI, Inc.

[JPCERT/CC POC Meeting] 研究紹介 + DLLハイジャックの脆弱性Asuka Nakajima

Rtミドルウェア講習会第1部資料openrtm

Appearances are deceiving: Novel offensive techniques in Windows 10/11 on ARMFFRI, Inc.

Rtshell 2017openrtm

RTミドルウェア強化月間2017 in 東京都立産業技術研究センター・RTミドルウェア講習会Noriaki Ando

170622-01openrtm

技術紹介: S2E: Selective Symbolic Execution EngineAsuka Nakajima

Rtミドルウェア講習会第2部資料openrtm

Mr201305 tizen security_jpnFFRI, Inc.

さらば、Stagefright 脆弱性Tsukasa Oi

2014 1018 OSC-Fall Tokyo NETMFAtomu Hidaka

Riscv+fpga200606たけおかしょうぞう

Fighting advanced malware using machine learning (Japanese)FFRI, Inc.

2017 summercamp 04openrtm

あなたのAppleにもEFIモンスターはいませんか？ by Pedro Vilaça - CODE BLUE 2015CODE BLUE

ROBOMECH2017 RTM講習会第1部・その1openrtm

Takep lpc1114-190614たけおかしょうぞう

2016 summercamp rtshell入門openrtm

171128 01openrtm

RTミドルウェアサマーキャンプ2018「Rtshellj入門」openrtm

170622 02openrtm

2019 summercamp 02openrtm

Report for S4x14 (SCADA Security Scientific Symposium 2014)Kuniyasu Suzaki

2013 summercamp 06openrtm

2014 0228 OSC-Spring Tokyo NETMFAtomu Hidaka

人工知能学会RTM講習会第3部：プログラミング実習 openrtm

Mr201301 nfc securityFFRI, Inc.

Android: 設計上の技術的な問題点FFRI, Inc.

Weitere ähnliche Inhalte

Was ist angesagt?

技術紹介: S2E: Selective Symbolic Execution EngineAsuka Nakajima

Rtミドルウェア講習会第2部資料openrtm

Mr201305 tizen security_jpnFFRI, Inc.

さらば、Stagefright 脆弱性Tsukasa Oi

2014 1018 OSC-Fall Tokyo NETMFAtomu Hidaka

Riscv+fpga200606たけおかしょうぞう

Fighting advanced malware using machine learning (Japanese)FFRI, Inc.

2017 summercamp 04openrtm

あなたのAppleにもEFIモンスターはいませんか？ by Pedro Vilaça - CODE BLUE 2015CODE BLUE

ROBOMECH2017 RTM講習会第1部・その1openrtm

Takep lpc1114-190614たけおかしょうぞう

2016 summercamp rtshell入門openrtm

171128 01openrtm

RTミドルウェアサマーキャンプ2018「Rtshellj入門」openrtm

170622 02openrtm

2019 summercamp 02openrtm

Report for S4x14 (SCADA Security Scientific Symposium 2014)Kuniyasu Suzaki

2013 summercamp 06openrtm

2014 0228 OSC-Spring Tokyo NETMFAtomu Hidaka

人工知能学会RTM講習会第3部：プログラミング実習 openrtm

Was ist angesagt? (20)

技術紹介: S2E: Selective Symbolic Execution Engine

Rtミドルウェア講習会第2部資料

Mr201305 tizen security_jpn

さらば、Stagefright 脆弱性

2014 1018 OSC-Fall Tokyo NETMF

Riscv+fpga200606

Fighting advanced malware using machine learning (Japanese)

2017 summercamp 04

あなたのAppleにもEFIモンスターはいませんか？ by Pedro Vilaça - CODE BLUE 2015

ROBOMECH2017 RTM講習会第1部・その1

Takep lpc1114-190614

2016 summercamp rtshell入門

171128 01

RTミドルウェアサマーキャンプ2018「Rtshellj入門」

170622 02

2019 summercamp 02

Report for S4x14 (SCADA Security Scientific Symposium 2014)

2013 summercamp 06

2014 0228 OSC-Spring Tokyo NETMF

人工知能学会RTM講習会第3部：プログラミング実習

Ähnlich wie 最新ポートスキャン対策

Mr201301 nfc securityFFRI, Inc.

Android: 設計上の技術的な問題点FFRI, Inc.

ハードウェアによる仮想化支援機能を利用したハイパバイザーIPSFFRI, Inc.

190605 04openrtm

YAPC::Asia2015Masaru Hoshino

Mr201304 open flow_security_jpnFFRI, Inc.

perfを使ったPostgreSQLの解析(前編)NTT DATA OSS Professional Services

FRAND訴訟からみる標準必須特許の合理的な実施料算定方法に関する研究Mutsumi Kamiike

Ähnlich wie 最新ポートスキャン対策 (8)

Mr201301 nfc security

Android: 設計上の技術的な問題点

ハードウェアによる仮想化支援機能を利用したハイパバイザーIPS

190605 04

YAPC::Asia2015

Mr201304 open flow_security_jpn

perfを使ったPostgreSQLの解析(前編)

FRAND訴訟からみる標準必須特許の合理的な実施料算定方法に関する研究

Mehr von FFRI, Inc.

Appearances are deceiving: Novel offensive techniques in Windows 10/11 on ARMFFRI, Inc.

TrustZone use case and trend (FFRI Monthly Research Mar 2017) FFRI, Inc.

Android Things Security Research in Developer Preview 2 (FFRI Monthly Researc...FFRI, Inc.

An Overview of the Android Things Security (FFRI Monthly Research Jan 2017) FFRI, Inc.

Black Hat Europe 2016 Survey Report (FFRI Monthly Research Dec 2016) FFRI, Inc.

An Example of use the Threat Modeling Tool (FFRI Monthly Research Nov 2016)FFRI, Inc.

STRIDE Variants and Security Requirements-based Threat Analysis (FFRI Monthly...FFRI, Inc.

Introduction of Threat Analysis Methods(FFRI Monthly Research 2016.9)FFRI, Inc.

Black Hat USA 2016 Survey Report (FFRI Monthly Research 2016.8)FFRI, Inc.

About security assessment framework “CHIPSEC” (FFRI Monthly Research 2016.7) FFRI, Inc.

Black Hat USA 2016 Pre-Survey (FFRI Monthly Research 2016.6)FFRI, Inc.

Black Hat Asia 2016 Survey Report (FFRI Monthly Research 2016.4)FFRI, Inc.

ARMv8-M TrustZone: A New Security Feature for Embedded Systems (FFRI Monthly ...FFRI, Inc.

CODE BLUE 2015 Report (FFRI Monthly Research 2015.11)FFRI, Inc.

Latest Security Reports of Automobile and Vulnerability Assessment by CVSS v3...FFRI, Inc.

Black Hat USA 2015 Survey Report (FFRI Monthly Research 201508)FFRI, Inc.

A Survey of Threats in OS X and iOS(FFRI Monthly Research 201507)FFRI, Inc.

Security of Windows 10 IoT Core(FFRI Monthly Research 201506)FFRI, Inc.

Trend of Next-Gen In-Vehicle Network Standard and Current State of Security(F...FFRI, Inc.

Malwarem armed with PowerShellFFRI, Inc.

Mehr von FFRI, Inc. (20)

Appearances are deceiving: Novel offensive techniques in Windows 10/11 on ARM

TrustZone use case and trend (FFRI Monthly Research Mar 2017)

Android Things Security Research in Developer Preview 2 (FFRI Monthly Researc...

An Overview of the Android Things Security (FFRI Monthly Research Jan 2017)

Black Hat Europe 2016 Survey Report (FFRI Monthly Research Dec 2016)

An Example of use the Threat Modeling Tool (FFRI Monthly Research Nov 2016)

STRIDE Variants and Security Requirements-based Threat Analysis (FFRI Monthly...

Introduction of Threat Analysis Methods(FFRI Monthly Research 2016.9)

Black Hat USA 2016 Survey Report (FFRI Monthly Research 2016.8)

About security assessment framework “CHIPSEC” (FFRI Monthly Research 2016.7)

Black Hat USA 2016 Pre-Survey (FFRI Monthly Research 2016.6)

Black Hat Asia 2016 Survey Report (FFRI Monthly Research 2016.4)

ARMv8-M TrustZone: A New Security Feature for Embedded Systems (FFRI Monthly ...

CODE BLUE 2015 Report (FFRI Monthly Research 2015.11)

Latest Security Reports of Automobile and Vulnerability Assessment by CVSS v3...

Black Hat USA 2015 Survey Report (FFRI Monthly Research 201508)

A Survey of Threats in OS X and iOS(FFRI Monthly Research 201507)

Security of Windows 10 IoT Core(FFRI Monthly Research 201506)

Trend of Next-Gen In-Vehicle Network Standard and Current State of Security(F...

Malwarem armed with PowerShell

Kürzlich hochgeladen

Postman LT Fukuoka_Quick Prototype_By Danieldanielhu54

論文紹介：Semantic segmentation using Vision Transformers: A surveyToru Tamaki

TSAL operation mechanism and circuit diagram.pdftaisei2219

論文紹介：Automated Classification of Model Errors on ImageNetToru Tamaki

SOPを理解する 2024/04/19 の勉強会で発表されたものですiPride Co., Ltd.

[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜スマートビルディング爆速開発を支える自動化テスト戦略Ryo Sasaki

Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介Yuma Ohgami

スマートフォンを用いた新生児あやし動作の教示システムsugiuralab

論文紹介：Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...Toru Tamaki

【早稲田AI研究会　講義資料】3DスキャンとTextTo3Dのツールを知ろう！(Vol.1)Hiroki Ichikura

Kürzlich hochgeladen (10)

Postman LT Fukuoka_Quick Prototype_By Daniel

論文紹介：Semantic segmentation using Vision Transformers: A survey

TSAL operation mechanism and circuit diagram.pdf

論文紹介：Automated Classification of Model Errors on ImageNet

SOPを理解する 2024/04/19 の勉強会で発表されたものです

[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜スマートビルディング爆速開発を支える自動化テスト戦略

Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介

スマートフォンを用いた新生児あやし動作の教示システム

論文紹介：Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...

【早稲田AI研究会　講義資料】3DスキャンとTextTo3Dのツールを知ろう！(Vol.1)