サイバーセキュリティを高めながら心の病気を治し中のブログ

私が発見したサイバーセキュリティに関する情報を報告するブログで、心の病気を治そうとしている情報を公開するブログです

ESET の用語集>リモート攻撃>TCP非同期 の解説を↓付きで

コレらの攻撃を通信盗聴、と呼ぶわね。ルーターによっては真っ先にWAN側のOUTのブロック設定にしているものもある。買ってすぐにブロックされなければならない通信盗聴攻撃、というカンジやね。

UDPだけではなくTCPも買った直後からしてブロックしているルーターもある。NECグループのナントカとかいう会社が製造したモバイルルーターなどがソレやね。WiFi6がスタートする直前に新製品としてWiFi5対応のこのモバイルルーターが市場に現れたので疑問に思った人はいたかもしれない。だが、セキュリティ戦術を持っている人ならオモシロいルーターだと思うんじゃないだろうか? 使いやすい設定にすればするほどサイバー攻撃者をバカにすることができるからである。

このルーターの一つずつの機能が強力なので、ちょっと攻め込まれたぐらいならちょっとだけ設定を加えたり変更したり削除したりするだけで、サイバー安保ウェポンになる。

とはいえ、狙われて攻撃されてる人にはタイヘンな戦争であることは変わらない。だから、強いとはいっても敵が上回る強さを持つ場合は、このルーターのセキュリティ設定だけに頼ってはならない。簡単に突破されることが多々ある。そうなったらセキュリティソフトをインストール済みのPCで戦うことになるね。スマホとかガラホでは無理だから。

 

ではここから解説

 

 

SMBリレー

SMB Relay

SMB Relay 2

は、

リモートコンピューターに攻撃を仕掛ける

ことができる

特殊なプログラムです。

 

 

 

 

このプログラムは、

Server Message Blockファイル共有プロトコル

利用します。

 

 

 

 

このプロトコル

NetBIOSの上位層で機能します。

 

 

 

 

LAN内で

フォルダー

ディレクトリー

共有する場合、

このファイル共有プロトコルを使用するのが

一般的です。

 

 

 

 

 

ローカルネットワーク通信内では、

パスワードハッシュが交換されます。

 

 

 

 

 

SMB Relayは、

UDPポート139と445

接続を受信し、

クライアントとサーバー間で交換されるパケット

中継して、

そのパケットを書き換えます。

 

 

 

 

 

接続して認証した後、

クライアントは

接続を切断されます。

 

 

 

 

SMB Relayは、

新しい

仮想のIPアドレス

を作成します。

 

 

 

 

新しいアドレスには、

コマンド"net use \\192.168.1.1"でアクセスできます。 これ以降、このアドレスは、Windowsのネットワーク機能で使用できます。 SMB Relayはネゴシエーションと認証以外のSMBプロトコル通信を中継します。 クライアントコンピューターが接続している限り、リモートの攻撃者はこのIPアドレスを利用できます。

SMB Relay 2はSMB Relayと同じ原理で機能しますが、IPアドレスではなくNetBIOS名を使用する点が異なります。 両方とも「中間者攻撃」という攻撃を実行できます。 この攻撃では、リモートの攻撃者は、2つの通信端末間で交換されるメッセージの読み取り、挿入、および変更を密かに行えます。 このような攻撃にさらされるコンピュータは、応答しなくなるか、突然に再起動することがよくあります。

攻撃を避けるため、認証パスワードか認証鍵の使用をお勧めします。