Task 1 Introduction
ここは、Nmapシリーズ(ネットワークセキュリティ入門モジュールの一部)の2つ目です。
前回では、オンラインシステムの発見に焦点を当て、Nmapスキャンの3つのステップを説明しました。
次のステップは、どのポートが開いていてリッスンしているか、どのポートが閉じているかをチェックすることでしょう。そこで、今回と次回では、ポートスキャンと、nmapが使用するさまざまなタイプのポートスキャンに焦点を当てます。ここでは、以下のことを説明します。
さらに、ポート、スキャンレート、並列プローブの数を指定するためのさまざまなオプションについても説明します。
■Question ※無し
Task 2 TCP and UDP Ports
IPアドレスがネットワーク上の多数のホストを特定するのと同じ意味で、TCPポートまたはUDPポートは、そのホスト上で実行されているネットワークサービスを特定するために使用されます。サーバーは、ネットワークサービスを提供し、特定のネットワークプロトコルに準拠しています。例としては、時刻の提供、DNSクエリへの応答、Webページの提供などがあります。ポートは通常、その特定のポート番号を使用するサービスにリンクされています。例えば、HTTPサーバーはデフォルトでTCPポート80に接続し、さらにHTTPサーバーがSSL/TLSをサポートしている場合は、TCPポート443で待ち受けることになります(TCPポート80と443は、SSL/TLSをサポートしている場合は、TCPポート443で待ち受けることになります)。(TCPポート80と443はHTTPとHTTPSのデフォルトポートですが、Webサーバーの管理者は必要に応じて他のポート番号を選択することができます)。さらに、1つのTCPまたはUDPポートで複数のサービスが(同じIPアドレスで)リッスンすることはできません。
単純化しすぎかもしれませんが、ポートを2つの状態に分類することができます。
しかし、現実的な場面では、ファイアウォールの影響を考慮する必要があります。たとえば、ポートが開いていても、ファイアウォールがパケットをブロックしている場合があります。そこで、Nmapは次の6つの状態を考慮します。
■Question
Which service uses UDP port 53 by default?
⇒DNS
Which service uses TCP port 22 by default?
⇒SSH
How many port states does Nmap consider?
⇒6
Which port state is the most interesting to discover as a pentester?
⇒open
Task 3 TCP Flags
Nmapは、さまざまな種類のTCPポートスキャンをサポートしています。これらのポートスキャンの違いを理解するために、TCPヘッダを確認する必要があります。TCPヘッダとは、TCPセグメントの最初の24バイトのことです。次の図は、RFC 793で定義されているTCPヘッダーを示しています。この図は一見高度に見えますが、理解するのはとても簡単です。最初の行には、送信元のTCPポート番号と送信先のポート番号が記載されています。ポート番号は16ビット(2バイト)割り当てられていることがわかります。2行目と3行目には、シーケンス番号と確認応答番号があります。各行には32ビット(4バイト)が割り当てられており、合計6行で24バイトを構成しています。
特に、Nmapが設定したり解除したりできるフラグに注目する必要があります。ここでは、TCPフラグを赤色で強調表示しました。フラグビットの設定とは、その値を1にすることです。左から右へ、TCPヘッダのフラグは次のとおりです。
■Question
What 3 letters represent the Reset flag?
⇒RST
Which flag needs to be set when you initiate a TCP connection (first packet of TCP 3-way handshake)?
⇒SYN
Task 4 TCP Connect Scan
TCPコネクトスキャンは、TCPの3ウェイハンドシェイクを完了させることで動作します。標準的なTCP接続の確立では、クライアントはSYNフラグを設定したTCPパケットを送信し、サーバーはポートが開いていればSYN/ACKで応答し、最後にクライアントはACKを送信して3方向のハンドシェイクを完了させます。
我々はTCPポートが開いているかどうかを知ることに興味があるのであって、TCPコネクションを確立することに興味があるのではありません。したがって、RST/ACKを送信することによってその状態が確認されると同時に、接続は破棄されます。TCPコネクトスキャンを実行するかどうかは、-sTを使用して選択することができます。
特権ユーザ(rootまたはsudoer)でない場合、TCPコネクトスキャンがオープンTCPポートを発見する唯一の可能なオプションであることに注意することが重要です。
次のWiresharkのパケットキャプチャウィンドウでは、NmapがSYNフラグを設定したTCPパケットを、256、443、143など、さまざまなポートに送信しているのがわかります。デフォルトでは、Nmapは最も一般的な1000個のポートに接続しようとします。閉じたTCPポートは、SYNパケットに対してRST/ACKで応答し、それが開いていないことを示します。このパターンは、閉じたポートとのTCP 3ウェイハンドシェイクを開始しようとすると、すべての閉じたポートに対して繰り返されます。
ポート143が開いていることが分かるので、SYN/ACKで応答し、NmapはACKを送信して3ウェイハンドシェイクを完了しました。下図は、Nmapホストとターゲットシステムのポート143の間で交換されたすべてのパケットを示しています。最初の3つのパケットは、TCPの3ウェイハンドシェイクが完了したものです。そして、4番目のパケットがRST/ACKパケットでそれを破っています。
-sT (TCP接続スキャン) を説明するために、次のコマンド例では、開いているポートの詳細なリストが返されました。
pentester@TryHackMe$ nmap -sT 10.10.199.134
Starting Nmap 7.60 ( https://nmap.org ) at 2021-08-30 09:53 BST
Nmap scan report for 10.10.199.134
Host is up (0.0024s latency).
Not shown: 995 closed ports
PORT STATE SERVICE
22/tcp open ssh
25/tcp open smtp
80/tcp open http
111/tcp open rpcbind
143/tcp open imap
MAC Address: 02:45:BF:8A:2D:6B (Unknown)
Nmap done: 1 IP address (1 host up) scanned in 0.40 secondsなお、-Fをつけると高速モードが有効になり、スキャンされるポートの数が1000から最も一般的な100ポートに減少します。
ランダムな順序ではなく、連続した順序でポートをスキャンするために、-rオプションを追加できることも特筆すべき点です。このオプションは、例えばターゲットが起動したときにポートが一貫した方法で開いているかどうかをテストするときに便利です。
■Question
Launch the VM. Open the AttackBox and execute nmap -sT 10.10.199.134 via the terminal. A new service has been installed on this VM since our last scan. Which port number was closed in the scan above but is now open on this target VM?(THM上でVMを起動します。AttackBox を開き、ターミナルから nmap -sT 10.10.199.134 を実行します。前回のスキャン(上述のコマンド例)以降、このVMに新しいサービスがインストールされています。このターゲットVM上で現在開いているポート番号はどれでしょうか)
⇒110
What is Nmap’s guess about the newly installed service?
⇒pop3
Task 5 TCP SYN Scan
非特権ユーザーはコネクトスキャンに限定されます。しかし、デフォルトのスキャンモードはSYNスキャンであり、これを実行するには特権(rootまたはsudoer)ユーザが必要です。SYNスキャンでは、TCPの3ウェイハンドシェイクを完了する必要はなく、サーバーからの応答を受け取ると、接続を切断します。TCP接続を確立しなかったため、スキャンがログに記録される可能性が低くなります。このスキャンタイプは、-sSオプションを使用することで選択できます。下図は、TCP 3ウェイハンドシェイクを完了しないTCP SYNスキャンがどのように動作するかを示しています。
Wiresharkの次のスクリーンショットは、TCP SYNスキャンを示しています。閉じたTCPポートの場合の動作は、TCPコネクトスキャンと同様です。
この2つのスキャンの違いをよりよく理解するために、次のスクリーンショットを考えてみよう。次の図の上半分では、TCPコネクトスキャン -sTトラフィックを見ることができます。開いているTCPポートは、接続を閉じる前に、NmapがTCPの3ウェイハンドシェイクを完了させる必要があります。次の図の下半分では、SYNスキャン-sSがTCP 3ウェイハンドシェイクを完了する必要がないことがわかります。 代わりに、NmapはSYN/ACKパケットを受信すると、RSTパケットを送信します。
pentester@TryHackMe$ sudo nmap -sS 10.10.89.73
Starting Nmap 7.60 ( https://nmap.org ) at 2021-08-30 09:53 BST
Nmap scan report for 10.10.89.73
Host is up (0.0073s latency).
Not shown: 994 closed ports
PORT STATE SERVICE
22/tcp open ssh
25/tcp open smtp
80/tcp open http
110/tcp open pop3
111/tcp open rpcbind
143/tcp open imap
MAC Address: 02:45:BF:8A:2D:6B (Unknown)
Nmap done: 1 IP address (1 host up) scanned in 1.60 seconds■Question
What is Nmap’s guess of the service name?
⇒irc
Task 6 UDP Scan
UDPはコネクションレス型のプロトコルであるため、接続確立のためのハンドシェイクを必要としません。UDPのポートでリッスンしているサービスが,こちらのパケットに応答することは保証できません。ただし、閉じたポートにUDPパケットを送信すると、ICMP port unreachableエラー(タイプ3、コード3)が返されます。UDPスキャンは-sUオプションで選択できます。さらに、別のTCPスキャンと組み合わせることもできます。
次の図は、開いているUDPポートにUDPパケットを送っても、その返信は期待できないことを示しています。したがって、開いているポートにUDPパケットを送っても、何もわかりません。
しかし、下図のように、タイプ3、宛先到達不能、コード3、ポート到達不能のICMPパケットを取得することが予想されます。つまり、何の応答も発生しないUDPポートが、Nmapがオープン状態であることを示すのです。
下記のWiresharkのキャプチャでは、閉じたポートごとにICMPパケットの宛先到達不能(port unreachable)が生成されていることがわかります。
このLinuxサーバーに対してUDPスキャンを開始したところ、確かにポート111が開かれていることが分かりました。一方、Nmapは、UDPポート68が開いているかフィルタリングされているかを判断することができません。
pentester@TryHackMe$ sudo nmap -sU 10.10.73.231
Starting Nmap 7.60 ( https://nmap.org ) at 2021-08-30 09:54 BST
Nmap scan report for 10.10.73.231
Host is up (0.00061s latency).
Not shown: 998 closed ports
PORT STATE SERVICE
68/udp open|filtered dhcpc
111/udp open rpcbind
MAC Address: 02:45:BF:8A:2D:6B (Unknown)
Nmap done: 1 IP address (1 host up) scanned in 1085.05 seconds■Question
Launch the VM. On the AttackBox, use the terminal to execute nmap -sU -F -v 10.10.73.231. A new service has been installed since the last scan. What is the UDP port that is now open?
⇒53
What is the service name according to Nmap?
⇒domain
Task 7 Fine-Tuning Scope and Performance
デフォルトの1000ポートではなく、スキャンしたいポートを指定することができます。ポートの指定は、直感的に理解できるようになります。いくつか例を見てみましょう。
-p-で全ポートのスキャンを要求すると、65535ポートすべてをスキャンします。最も一般的な100個のポートをスキャンしたい場合は、-Fを追加します。top-ports 10を使用すると、最も一般的な10個のポートをチェックします。
-T<0-5>でスキャンのタイミングを制御することができます。-T0が最も遅く(偏執的)、-T5が最も速いです。Nmapのマニュアルページによると、6つのテンプレートがあります。
IDSを回避するには、-T0または-T1を検討するのがよいでしょう。たとえば、-T0は一度に1つのポートをスキャンし、各プローブを送信する間に5分待つので、1つのターゲットのスキャンが終了するまでの時間を推測することができます。タイミングを指定しない場合、Nmapは通常の-T3を使用します。T5は、速度の点で最も優れているものの、パケットロスの可能性が高くなるため、スキャン結果の精度に影響を与える可能性があることに注意する必要があります。T4はCTFや練習用ターゲットでスキャンを学ぶときによく使われ、-T1はステルス性がより重要な実際の活動でよく使われます。
また、--min-rate <number> と --max-rate <number> を使用して、パケットレートを制御することもできます。例えば、--max-rate 10または--max-rate=10は、スキャナが1秒間に10個以上のパケットを送信しないようにします。
さらに、--min-parallelism <numprobes>と--max-parallelism <numprobes>でプロービングの並列化を制御することができます。Nmapはターゲットをプローブして、どのホストが生きているか、どのポートが開いているかを発見します。プローブ並列化では、こうしたプローブを何回並列に実行できるかを指定します。たとえば、--min-parallelism=512は、Nmapが少なくとも512個のプローブを並列に維持するよう促します。この512個のプローブは、ホスト検出とオープンポートに関連します。
■Question
What is the option to scan all the TCP ports between 5000 and 5500?
⇒-p5000-5500
How can you ensure that Nmap will run at least 64 probes in parallel?
⇒--min-parallelism=64
What option would you add to make Nmap very slow and paranoid?
⇒-T0
Task 8 Summary
ここでは、3種類のスキャンを取り上げました。
| Port Scan Type | Example Command |
|---|---|
| TCP Connect Scan | nmap -sT MACHINE_IP |
| TCP SYN Scan | sudo nmap -sS MACHINE_IP |
| UDP Scan | sudo nmap -sU MACHINE_IP |
これらのスキャンタイプは、ターゲットホスト上で実行されているTCPおよびUDPサービスの検出を開始するのに役立つはずです。
| Option | Purpose |
|---|---|
-p- | all ports |
-p1-1023 | scan ports 1 to 1023 |
-F | 100 most common ports |
-r | scan ports in consecutive order |
-T<0-5> | -T0 being the slowest and T5 the fastest |
--max-rate 50 | rate <= 50 packets/sec |
--min-rate 15 | rate >= 15 packets/sec |
--min-parallelism 100 | at least 100 probes in parallel |
今号ではTelegramに関する別のTips、ダークウェブへの潜入、その他をお送りします。
記事: Tips on Dark Web
Authentic8 は最近、マイケル・ジェームズがダークウェブでの調査に関する知識を共有する記事を書きました。この記事に加えて、マイケルは昨年ポッドキャストにも出演し、サイトとYouTubeで公開されました。ポッドキャストでは、ダークウェブに関する基礎知識、過去の調査例、そして調査中の安全確保に関する非常に有用なヒントを紹介しています。
小技: ADS-B Exchange
ADS-B ExchangeがJetnetに売却された話は、すでに多くの人が読んでいると思います。すべての情報が研究者のために利用可能なままである可能性もありますが、状況が変わることを想定して、ここにいくつかの代替案を示します。ほとんどは、数日から数週間前にさかのぼり、いくつかの無料情報を提供しています。
Freedarは、完全に無料のライブ追跡サイトです。世界各地をカバーしていますが、過去の情報を無料で提供しているわけではありません。レシーバーを「ワールドフィード」に変更すると、グローバルな情報を得ることができます。
FlightAwareは、2週間前からの履歴を含む、いくつかの無料情報を持っています。これは、ほとんどの人にとって十分な情報でしょう。
OpenSky Networkは、過去のフライトの非常に大きなデータセットを持っており、オープンAPIは、より技術に精通した人々にとって興味深いものです。アカウントが必要ですが、提供する情報量を制限しているようです。
RadarBoxも、1週間ほど遡って、指定した航空機のフライトなど、無料の情報があります。
ADS-B.nlにも無料の履歴情報がありますが、軍用機や警察のヘリコプターのような政府所有の機体に関するものだけです。
交通データに関する他の興味深いリンクは、'atmdata' の GitHub ページで見ることができます: https://atmdata.github.io/sources
上記のリンクの他に、ADS-Bデータを取得する人々は、作成中の新しいプラットフォームにデータを送信することも選択できます。これらの新しい選択肢の1つがglobe.adsb.fiです。しかし、間違いなく、より多くのサイトが今後数週間または数ヶ月で続くでしょう。
小技: Telegram Tip
先日、Telegramのエクスポートからユーザー名を抽出する方法をご紹介しました。早速、Roman Höfnerから、TelegramのDesktopバージョンで作成されたJSONベースのエクスポートでそのようなことが可能かどうかという質問を受けました。そこで私は、標準的なツールをいくつか使って、jqという気の利いたツールをインストールするだけで、別のワンライナーを作成しました。もちろん、Pythonのコードや他のプログラム言語を数行使用することで解決することができます。その結果、こうなりました。
jq -r '.messages[] | "\"\(.from)\",\"\(.from_id[4:])\""' result.json | sort -u > output.csv |
| エクスポートされたTelegramグループチャットのソート結果 |
この出力はoutput.csvというファイルに書き出され、出力にダブルクォートをつけたので、インポートができるようになります。actorsとactor_idがあるようなexportがあります。このエピソードを公開する直前に判明したことなので、宿題と思っておいてください。
サイト: Privacy Guides
以下のリンクは、Apex29989831さんがTwitterでシェアしてくれたものです。Privacy Guidesというウェブサイトには、オンラインプライバシーに関するツール、設定、一般的な情報などのマニュアル、ヒント、概要がたくさん掲載されています。このウェブサイトは情報の宝庫であり、このトピックに初めて触れる人はぜひ一度見てみることをお勧めします。
サイト: Chronophoto
Twitterユーザーのwaxyさんが、特定の写真が作られた年を推測・推定する素敵なオンラインゲームを紹介してくれました。位置情報だけでなく、写真がいつ作られたかを知ることは、とても便利なことです。このゲームでは、Google Lensですべての画像をチェックしない限り、自分のスキルをテストしたり、トレーニングしたりすることができます。
 |
| 写真の作成年を推測します |
2021年にVPNを導入したが、契約期間の満了が近づいてきた。
現在はprivateVPNを使っているのだが、VPNだとブロックされるサイト(JALマイレージパークとか)がちらほら出てきているため、見直しをしてみることにした。
候補は12のVPNサービス。
1. NordVPN - 最高・最速のVPNサービス($3.49/月)
2. Surfshark VPN - デバイス制限のないプライバシー重視のVPN($2.30/月)
3. PrivateVPN - 低価格のストリーミングに最適なVPN($2.00/月)
4. Atlas VPN - デバイス数無制限、無料版もあるVPN($2.05/月)
5. Proton VPN - 400%高速化する最高のVPN($4.99/月)
6. PureVPN - P2Pに適したVPNで、多くのプラットフォームをサポート($2.08/月)
8. Ivacy VPN - 巨大な割引と輝かしいセキュリティのあるVPN($1.00/月)
9. ExpressVPN - パフォーマンスを重視した素晴らしいVPN($8.32/月)
10. Private Internet Access - おそらく最大のサーバーリストを持つVPN($2.03/月)
11. VyprVPN - セキュリティ、プライバシー、ストリーミングに特化したVPN($5.00/月)
12. CyberGhost - 効果的で無駄のないVPN($2.03/月)
今回は1USD/月で使える、Ivacy VPNを採用してみることにした。評価は以下の通り。
セキュリティ&プライバシー:Ivacyはシンガポールに拠点を置いており、ノーログポリシーによって保護されています。さらに、AES 256ビット暗号化、IP&DNSリーク、DDoS攻撃からの保護があり、オンラインを安全にします。
パフォーマンス:69カ国以上に5700台以上のサーバーからなる巨大なネットワークにより、最適な速度と安定した接続性を誇ります。
特徴:マルウェアブロッカーが不審なファイルを処理するため、ユーザーは安全なファイルダウンロードの恩恵を受けることができます。また、Ivacy VPNには、スプリットトンネリングやポートフォワーディングなどの機能もあります。もう一つの優れた機能は、スマートパーパスセレクションです。これは、安全なダウンロード、ストリーミング、またはブロックの解除といった目的に応じて、適切なサーバーに接続することを支援します。
ストリーミングとP2P:ストリーミングファンは、HDまたは4Kビデオ品質を期待することができます。Ivacy VPNは、Netflix、BBC iPlayer、Amazon Prime Videoなどのブロックを解除するための専用サーバーも提供しています。
互換性:プロバイダーは、人気のあるプラットフォーム、Android TVとAmazon Fire TV Stick用のアプリを用意しています。さらに、ブラウザの拡張機能があり、ルーター、Roku、Raspberry Piをサポートしています。
月額1.00ドル:Ivacy VPNは、時々特別な割引を提供します。1ライセンスで10同時接続が可能です。7日間のトライアルは$0.99で可能です。無料版もあり、帯域幅無制限で4つのサーバーロケーションがあります。また、P2Pは可能ですが、ストリーミングは不可です。30日間の返金保証が、すべてのプランで提供されています。
30日間返金保証があるので、購入してみようと思ったら、90%オフキャンペーンをやっていた。
5年利用で60USD。
TopCashbackを経由すると更に40%オフになる。
聴講メモ
講演1.複眼的な取り組みが求められるサイバーレジリエンス
-SlowIT:ユーザーの声を取り組んでじっくり成熟させてきたオンプレや5Gなど
-FastIT:所謂クラウドサービス
講演2. サイバー犯罪の現状と対策におけるインテリジェンスの活用
講演3.情報セキュリティマネージャーが知っておくべきクラウドセキュリティと社内普及
参考資料②:OWASP Top 10
参考資料③:CVE(共通脆弱性識別子)
参考資料④:クラウドコンピューティングの重大脅威 – パンデミックイレブン
参考資料⑤:MITRE ATT&CK®
参考資料⑥:MITRE ATT&CK IaaS Matrix (公式IaaS抜粋版)
参考資料⑦:クラウドセキュリティの役割分担
参考資料⑧:新たな責任共有モデル
参考資料⑨:NIST CSF
参考資料⑩:CIS Controls
参考資料⑪:ISMS
参考資料⑫:PCI DSS
参考資料⑬:【解説】NIST サイバーセキュリティフレームワークの実践的な使い方
参考資料⑭:セキュリティフレームワークやナレッジを活用したセキュリティ対策の評価・分析手法
参考資料⑮:CIS Benchmarks
参考資料⑯:パブリッククラウドのCISベンチマーク準拠チェックサービス(AWS)
参考資料⑰:パブリッククラウドのCISベンチマーク準拠チェックサービス(Google)