proxytunnelのTIPS

proxytunnelサーバーを入れ替えようとして3時間くらいはまった。レアケースだが、覚書。

proxytunnelサーバーのINとOUTのIPアドレスが違うと繋がらない。うちがたまたまそうだった。HTTPSではじかれて、ログすら出ないので気付くのに3時間かかった。

proxytunnel自体の問題ではないが、受けるsshdがdsaをサポートしてないと、rsaの公開鍵を登録しておかないとssh接続できない(当たり前)。

aireplay-ngの引数

引数の数字をすぐに忘れるので覚え書き

–deauth count : deauthenticate 1 or all stations (-0)
–fakeauth delay : fake authentication with AP (-1)
–interactive : interactive frame selection (-2)
–arpreplay : standard ARP-request replay (-3)
–chopchop : decrypt/chopchop WEP packet (-4)
–fragment : generates valid keystream (-5)
–caffe-latte : query a client for new IVs (-6)
–cfrag : fragments against a client (-7)
–migmode : attacks WPA migration mode (-8)
–test : tests injection and quality (-9)

–help : Displays this usage screen

kali linuxがオーディオサーバーに

kali linuxをThinkpad T43に入れているが,ペネトレーションをするときくらいしか使わない.それは年に1回あるかないかだ.これではマシンがもったいないと思い,オーディオサーバーにした.iTunesに保存してあった曲の一部(全部はとても入りきらない)をscpでコピーした.プレイヤーにはmocをインストールした.apt-getでmocを入れるときに,ついでにいろいろライブラリが入ったみたいで,mp3だけでなく,AACフォーマットの曲も再生できるようになった.USB DACからアクティブスピーカーに出力している.BGMとして聞くには十分だ.

kali linuxで音を出す

素のインストールでは音が出なかった.やったことは

  • /etc/groupのpulse-accessに音を出したいユーザを追加
  • /etc/groupのaudioに音を出したいユーザを追加
  • pulseaudioを再起動
    • pulseaudio -k
    • pulseaudio –system

これでやっと音が出た.

 

攻撃はDNSを引いていない

相変わらずDoS攻撃を受けている。試しにルーターの電源を長く切ってIPアドレスを変えてみた。変えた直後は速度が回復する。しかし、しばらくするとまた2Mbps以下になる。そこでDDNSのIPアドレス更新を止めてから、IPアドレスを変えてみた。DNS引きでIPアドレスを特定して攻撃しているのなら、これで攻撃の矛先がずれるはずだ。

残念ながらしばらくするとまた速度が遅くなった???通信していないのにACTランプが点滅している。どうやって攻撃パケットの送り先を調べているんだ?

DNSリフレクター攻撃

SSDPリフレクター攻撃の対策について調べていてDNSリフレクター攻撃というのも存在することを知った。これも加害者にならない対策は知られているが、被害者になった場合にどうすれば良いかが明確でない。ウェブを探すと、プロバイダーに頼んで攻撃パケットを遮断してもらうってのがあったが、これは大口ユーザーだから頼めるのであって、私のような個人ユーザーの頼みが聞いてもらえるか不明。ダメ元で頼んでみるか。今は家の光ファイバーがまったく使いものにならないので、MVNOのSIMを入れたスマホでテザリングしてネットワークを使っている。

プロバイダーに問い合わせをしたら、日曜日だと言うのにすぐにていねいな返信が来た。なかなかサービスいいじゃないかと思ったが。内容は以下の通り。やっぱり個人ユーザーだと相手にしてくれないのね。ほぼ万事休す状態。

恐れ入りますが、弊社OCN側で、お客さまがご利用の回線の
パケットを調査することは行っていないことから、
攻撃パケットをフィルタリングすることはいたしかねます。

ご心配のDOS攻撃についてですが、一般的に
主にサーバー側のIPアドレスに大量パケットを送信し、
サービス不能に陥れるのが目的であり、個人の接続IPに
対しては行われないものと存じます

SSDPリフレクター攻撃

バーチャルマシンにWindows7をインストールして、IIS7を有効にして、httpパケットをそこへ飛ばした。Wiresharkでパケットを観測するとSSDPというプロトコルがやたら多い。SSDPとは何だろうと調べると、いきなり核心にヒットした(ように思った)。SSDPリフレクター攻撃を受けていたのだ。UPnPに関するプロトコルだった。対策としてはUPnPをルーターで無効にするか、UDPの1900番ポートを閉じればよいとのこと。早速対処した。

しかし、対処した後もネットは遅いまま。速度を測るとダウンロードが1.45Mbps、アップロードが1Mbps。おいおい、ADSLかよ我が家は。以前は50Mbps以上でていたはずだ。また原因探しをしなければ。

もう一度SSDPリフレクター攻撃の説明を読み直して、自分の間違いに気づいた。UPnPを無効にしたり、UDP1900番ポートを閉じたりすると「攻撃に加担することがなくなる」だけで、自分に対する攻撃の防御にはならないということだ。えー、どうしたら良いのだろう。

XOR.DDoS攻撃

XOR.DDoS攻撃というのがあるそうだ.意味のない文字列を含めることでデータボリュームを巨大にしたSYNパケット送信することで,ネットワークに過度な負荷をかける攻撃だ.SYN Floodingはlinuxカーネル2.xの頃から対策されていたように思うが,最近になって新たなSYN Floodingの手法が発表されるということは,対策は完全ではないのだろう.

DoS攻撃の分析方法

ネットで調べていたら,良さそうな分析方法を見つけた.

  1. バーチャルマシンにWindows 7をインストール
  2. Windows 7のプログラムと機能でIISを有効化
  3. Windows 7にWiresharkをインストール
  4. httpサーバーの代わりにバーチャルマシンでhttpパケットを受ける
  5. Wiresharkで分析

解決方法が見つかる保証はないが,何かヒントは得られるかもしれない.

XSS?HTTPヘッダインジェクション?

国外からのアクセスを止めたが,それだけでは足りないらしくDoS攻撃の影響は消えない.なんでもXSS(クロスサイトスクリプティング)とかHTTPヘッダインジェクションというDoS攻撃があって,それも防御しないといけないみたい.PHPは興味がないし,よくわからんのだが,対策しなければならないのだろうな.それ以外にも攻撃手段はあるのかもしれないし,困ったものだ.こんなことに頭使いたくないなあ.