第20回「ネットワーク パケットを読む会(仮)」に参加してきました
第20回「ネットワーク パケットを読む会(仮)」に参加してきました
第20回「ネットワーク パケットを読む会(仮)」に参加し、tcpdumpの出力からネットワークパケットを読むための取っ掛かりとなる手順を発表してきました。
発表してきた内容
発表資料は以下のURLにて公開しています。ネットワークパケットをtcpdumpで出力し、その16進ダンプ内容をetherヘッダからICMP echo/replyまで読み解いてみようという内容です。
- tcpdumpの16進ダンプからはじめるネットワークパケット解読入門
発表スライドはMagicPointで作成しています。発表スライドのソースファイル(.mgpファイル)についてもgist上で公開しています。
- pakeana_20th.mgp
勉強会メモ
以下は勉強会のメモです。自分なりにまとめた内容なので、間違って理解している箇所があるかもしれませんのでご注意ください。
hpingで作るパケット
- 発表者は@takahoyoさん。
- 発表資料は以下のURLにて公開されています。
「Hentaiなping」であるhpingに関する発表で、hpingから設定可能なIP,ICMP,TCP,UDPのオプションについて解説されていました。発表者はCTF for Beginnersの問題作成用にhpingを利用してみましたとのことです。
ポートスキャンやパケットジェネレータの機能を併せ持つツールのようで、Scapyやpkttoolsと似たツールのようです。ただし、hping自体は10年ほど前くらいから更新されていないようです……。
512K問題をビッグデータ解析した先にあるもの
- 発表者はととろさん
つい先ごろ話題になった、BGPの512K問題に関する発表でした。私自身はBGPは名前くらいしか聞いたことがなく、512K問題の具体的な内容を知りませんでした。
BGPはAS番号を元に、接続先に最もホップ数が少ない経路を自動で選択する仕組みで、BGPオペレーションはごく限られた人しか行わない(行う必要がない)ようです。12K問題はIPv4に関する経路データの増加が引き金とのことですが、IPv6でも経路情報が爆発したら発生する可能性があるようです。
今回の512K問題は、2014/08/12前後から17にかけて発生しており、米ベライゾンが使用するCISCOルータで発生しました。ルータの物理メモリが少ないことで発生しており、経路数が512,000を越えると発生することから「512K問題」と呼ばれています。2011年以前製造のCISCOルータが原因であると特定されており、回避configの適用で対応加能です。一番の対策はルータを買い換えることのようですが、お値段が数千万円単位(!)のものらしく、おいそれと購入はできなさそうです。
BGP,512K問題については、以下のURLにて詳しく解説されています(BGPルータのメモリがDRAMと異なる仕組みだとは知りませんでした……)。
上記記事の中から、よく理解できていないキーワードを(自分用に)がーっと列挙しておきます。
- AS(Autonomous System)
- フルルート(Full Route:BGPが収集した世界中のASネットワークへの全経路情報)
- BGP version 4(RFC4271)
- EGP(Exterior Gateway Protocol)
- インターネット上で組織間の経路情報をやり取りする経路制御プロトコル
- BGPはEGPに分類される
- IGP(Interior Gateway Protocol)
- RIR(Regional Internet Registry;地域インターネットレジストリ)
- NIR(National Internet Registry;国別インターネットレジストリ)
- LIR(Local Internel Registry;ローカルインターネットレジストリ)
- (AS番号→RIRやJPNIC等のNIRから割り当てを受けることができる)
- (AS番号、原則として2バイトのサイズだが、AS番号数が不足してきたため、最近は4バイト化が進んでいる)
- iGP(内部BGP)
- eBGP(外部BGP)
- パンチングホール(経路数の増大を招く一因?)
- IRR(Internet Routing Registry)
- S-BGP(Secure BGP)
- soBGP(Secure Origin BGP)
- BFD(Bidirectional Forwarding Detection)
- TCAM(Ternary Content-Addressable Memory)
- CAM(Content-Addressable Memory)
- FIB(Forward Information Base)
- RIB(Routing Information Base)
- コンフェデレーション
- route reflector
- route server
- BGP経路のアグリゲーション
あと、これも知らなかったのですが、BGPMONというネットワークモニタリングサービスがあるようです。
- BGPMON
Fiddler使ってる?
- 発表者はTakagiさん
WebデバッグツールのFiddlerに関する発表でした。私はFiddlerを全く知らなかったので、ただ聞くだけになっていました。
FiddlerはIE開発リーダー格のひとりであったエリック・ローレンスによって作成されたツールで、Webのデバッグや、パフォーマンステスト、HTTP/HTTPSのトラフィックレコーディングやセッション操作、セキュリティテストといった、Web開発(の後の一連のテスト)に役立つ機能が提供されているようです(公式サイトからの受け売りですが……)。発表者の方もおっしゃっていましたが、「攻撃される前に自分でテスト」というのは重要だと感じました。
QUIC
発表者は@solomo83さん
発表資料は以下のURLにて公開されています。
QUIC(Quick UDP Internet Connections)に関する発表でした。QUICはSPDYに関連し、HTTP->SPDY->QUIC->UDP->IPの形で置き換えようとするプロトコルのようです。
The Chromium Blogの以下のエントリでQUICの解説と設計ドキュメントが公開されています(が、それ以降QUICに関するエントリが無いのがちょっと気になります……)。
Expermenting with QUIC(The Chromium Blog)
QUIC: Design Document and Specification Rationale
上記のブログと設計ドキュメントを読まないとダメかな……と思っていたら、既にブログにまとめていた方がいました。
なるほど、と思いながら読んでいたところ、以下のキーワードについては自分のなかでちゃんと理解できていなかったので、別途調べておこうと思いました。
Fiddler Add-on
- 発表者は@yukiyuukyさん
FiddlerのAdd-onに関する発表でした。Fiddlerを動作させる際は、.NETのフル版でないとハマる場合があるとのことです。また、.NETのバージョンにも注意する必要があるようです。atmarkITさんにてバージョン確認用のバッチファイルが公開されているので、これを利用すると良いとのことでした。
FiddlerのAdd-onは.NETで開発したdllで提供されており、Add-onの例として、Burp-like InspectorとSessionDecoratorが紹介されていました。
- "Burp-like Inspector" [Fiddler2 Extension] by yamagata21
- SessionDecorator
また、実践Fiddlerという書籍があるようです。
まとめ
第20回「ネットワーク パケットを読む会(仮)」にて発表してきました。次回のネッ トワークパケットを読む会は9/22(月)を予定しているとのことです。
FiddlerやQUICなど、(私が情報収集をサボっているだけですが)知らなかった技術キーワードを補足することができ、勉強になりました。知らないキーワードなどは少しずつ調べておこうと思います。
Security Casual Talks 2014#2(すみだセキュリティ勉強会)に参加してきました
Security Casual Talks 2014#2(すみだセキュリティ勉強会)に参加してきました
Security Casual Talks 2014#2(すみだセキュリティ勉強会)に参加してきました。
勉強会参加者のツイートは、ハッシュタグ#sumida_secにて参照できます。
以下は勉強会のメモです。私が間違って理解したままメモを書いている箇所もあるかと思いますので、その点にご留意ください。 また、カッコ書きした項目は私の感想・意見となっています。
無線LANデンパゆんゆん観察
- 発表者は@ozuma5119さん
スライドは以下のURLで公開されています
(私が30分遅刻しての到着だったため、発表内容を聴くだけになっていました...)
CRYPT+YOU,UNDERSTAND TODAY!
- 発表者は@inaz2さん
資料は以下のURLで公開されています
- 換字式暗号
- 文字、ブロック単位でずらす暗号で、古典暗号のひとつ
- 「いくつずらしたか」が暗号鍵になる
- (古典暗号、現代暗号という区分が存在するみたいです)
- 換字式暗号の例としてはシーザー暗号がある
- NSAの採用担当者のツイートを例にした換字式暗号の解読デモ
- https://twitter.com/NSACareers/status/463321993878994945
- 英語だと"e","the"が多くでるという特徴を生かして解読する
- 換字式暗号を自動解読してくれるサービスが存在する
- ただし、これは「英語でかかれた文章」という前提があるから解ける、とのこと
- 文字、ブロック単位でずらす暗号で、古典暗号のひとつ
- xorスクランブルの復元
- (写真フイルムのネガポジ変換みたいなイメージ、反転→反転で元のデータに戻る)
- RC4(Rivest Cipher 4)
- AES(Advanced Encryption Standard)
- 共通鍵暗号方式のうち、ブロック暗号と呼ばれるもの
- 入力は128bit固定で、鍵長は126,192,256bitから選択する
- 128bitじゃない平分の時は、128bitのブロック毎に処理する。
- RSA
$ openssl genrsa 192 | openssl rsa -modulus ... Modulus=AAAA $ msieve -e -v AAA
- 実際に鍵長を指定するときは、2048bitよりも大きい長さを用いるほうがよい
RSAによる暗号化・復号化は処理(計算)が重いので、主に鍵共有、デジタル署名に使われる(「ハイブリッド暗号方式」と呼ばれる)
DH(Diffee-Hellman key exchange)鍵交換
TSL/SSL暗号化スイートの読み方
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA 鍵共有 → ECDHE 通信相手の認証 → RSA データそのものの暗号化 → AES_128_CBC メッセージの改竄見地 → SHA1
Metasploitでペネトレーションテスト
- 発表者は@super_a1iceさん
- Metasploit Frameworkの基本的な使い方に関する話
- Metasploit Framework
- (触ったことがないツールなので、話を聴ききながらデモを見るだけになっていました...)
まとめ
Security Casual Talks 2014#2(すみだセキュリティ勉強会)のメモをまとめてみました。正直、スライドが公開されているのでメモをまとめる必要性は低いと思っていました。しかし、自分の理解をメモにまとめるのだと考えると、スライドを見返したりする必要があり、なかなか勉強になります。
暗号の話は学生時代に習った内容の復習的なところが多いものの、すっかり忘れていたりする項目もありました。今回の勉強会を元に知識をキャッチアップできればと思います。