Hatena::ブログ(Diary)

セキュリティは楽しいかね? このページをアンテナに追加 RSSフィード

2008-11-12

Securix-NSM

Sguilが手軽に使える Live CD。へぇー、こんなのあったんだ。NSM(Network Security Monitoring)のツールもいろいろいじってみたい今日この頃。

securixlive.com :: securix-nsm :: main

Securix-NSM is the successor of Knoppix-NSM. It's an extension of our NSMnow technology which has been integrated with the universal Debian foundation with a range of other tools to work from. Like it's predecessor Securix-NSM is dedicated to providing a framework for individuals wanting to learn about Network Security Monitoring (NSM) or who want to quickly and reliably deploy a NSM capability in their network.

Our goal is to provide an introduction to NSM and a live CD platform that can be used as a launch pad to bigger and better things. We have tried to do most of the hard work to help you get up and running as fast as possible, so you can spend more time learning about NSM, leaving the details as a latter exercise once familiar with the concepts.

Securix-NSM is now based on Debian Live, which means that you can test all the tools in a live Debian session running on the CD without the need for a HardDisk Drive (HDD) installation.


2008-10-11

Sockstress

今月にはいって、ちょっとした騒ぎになっている Sockstress。ほとんど全てのサーバOSネットワーク機器のTCP/IPスタック脆弱性があるらしい、ということはどうやら確かなようだが、その詳細が明らかにされていないため、セキュリティ研究者のイライラが高まっているようだ。少し前の Dan Kaminskyの DNS Cache Poisoning問題の時と状況が少し似ている。


著名なセキュリティ研究者たちが、あちらこちらで今回の件について推測しているが、それらをまとめるとこういうことになるらしい。

  1. Client-side SYN Cookieを利用して、Client側のリソースを消費することなく、Server側に対して大量のコネクションをはる
  2. Windowサイズを 0にすることで、コネクションをオープンにしたまま、Server側からの Ack再送を継続的に行わせる
  3. Client側から送信するデータの途中で意図的にパケットをロストさせ、Server側からの Selective Ackに対して、ロストしたデータの再送を行わないまま、後続のデータ送信を続ける
  4. これらの攻撃手法を利用することで、Server側ではタイマーや受信バッファなどのリソースを大量に消費することになり、リソースが枯渇してサービス不能に陥いる

さてベンダーの対応がすんで詳細が公開されるのはいつになるのやら。


(参考情報)

TCP Vulnerability Found|Security News | Outpost24

発見者(Jack C. Louis)が所属する会社 Outost24のプレスリリース

Schedule for 2008

来週行われる T2カンファレンスで 発見者らによる講演が予定されている。

Sec-t | News and updates

先月の Sec-Tカンファレンスで発見者らによる講演があった。プレゼン資料が公開されている。

(ただしもちろん脆弱性の詳細については一切触れられていない。攻撃デモはやったらしい。)

Robert E. Lee

Outpost24の CSOを務める Robert E. Leeさんのブログ

Unicornscan

発見者らが開発している高速ポートスキャナー。今回の脆弱性発見の元になったらしい。

CERT-FI - CERT-FI Statement on the Outpost24 TCP Issues

CERT-FIのコンタクトページ。中身ほとんどなし。

Errata Security: TCP DoS (probably) real

Errata Security: TCP Selective ACK considered evil

Selective ACKについて述べている。

GRC | SockStress on Security Now! — Notes for Episode #164  

Steve Gibsonさんが、Podcast (Security Now!)でこの件についてとりあげている。

Outpost24’s TCP DOS Attack Explained

Nmapの作者である Fyodorさんによるまとめ。Robert E. Leeさんとのやりとりがちょっとおもしろい。

TaoSecurity: DoS Me Like It’s 1996

TaoSecurityの Richard Bejtlichさんによるブログ記事。


その他、ニュース記事など

DoS attack reveals (yet another) crack in net’s core • The Register

New attacks reveal fundamental problems with TCP

Slashdot | New Denial-of-Service Attack Is a Killer

belsec - always on alert - Major update 2 TCP/IP Attack flaw : the info ...

2006-04-14

ネットワークの可視化ツール

tcpdumpの出力ファイル(pcap形式)をもとにネットワークトラフィックに関する情報を可視化するツール。AfterGlowは様々なグラフを生成してくれる。一方のChaosreaderはHTTPやSMTPのセッション情報を表示してくれる。どちらも使いやすそう。