blog

Kelaiのネットワーク分析技術に基づくARPスプーフィング分析ケース。

LANでは、物理アドレスの第2層へのIPアドレスの変換は、ARPプロトコルを介して行われ、ARPプロトコルは、ネットワークセキュリティに非常に重要です。ホストはIPアドレスとMACアドレスを偽造するこ...

Mar 23, 2025 · 3 min. read
シェア

LANでは、IPアドレスのレイヤ2物理アドレスへの変換はARPプロトコルによって行われ、これはネットワーク・セキュリティにとって非常に重要です。ホストはIPアドレスとMACアドレスを偽造することでARPスプーフィングを実行し、ネットワーク内に大量のARPトラフィックを生成してネットワークを遮断することができます。この記事では、古典的な解析事例を通してこの攻撃を明確に理解することができます。

ケースの背景

オフィスマシンのネットワークセグメントは192.168.200.X/24、オフィスマシンのゲートウェイアドレスはCisco 3560の192.168.200.254、サーバーのアドレスセグメントは10.139.144.X/24です。

オフィスエリアのサーバーエリアにアクセスすると、アクセスが途切れることがあります。事務機はDHCPでIPアドレスを取得し、アクセスできないときはIPアドレスを再取得することで接続できますが、しばらくするとまたアクセスが途切れます。局のネットワーク環境は下図のように比較的シンプル:

ケーススタディ

障害が発生した場合、サーバアドレスにPingを打ってもPingが通らないことがわかり、次に事務機のゲートウェイアドレスにPingを打ってもPingが通らないことがわかります。事務機のARPテーブルを確認し、ゲートウェイアドレスに対応するMACアドレスが全て0のMACアドレスであることを確認。

上記の分析テストを通じて、ホストがサーバーにアクセスできない場合、ホストはゲートウェイを介してpingを送信することもできません、ホストのゲートウェイのMACアドレスはすべて0、つまり、ホストはゲートウェイのMACアドレスを学習しなかったので、ホストはゲートウェイと通信することはできません、ホストはサーバーに接続することはできませんにつながる理解することができます。

正常に接続した場合、ホストはARPマッピングテーブルにゲートウェイのIPアドレスとMACアドレスを持っているはずですが、サーバへのアクセスが失敗した場合、ゲートウェイのMACアドレスを学習していません。ネットワーク内でARPスプーフィングが行われているかどうかを確認するために、スイッチ3560でポートイメージを行って、対話パケットをキャプチャしてください。

会社のマシンが3560に接続しているポートはf 0/46なので、Imagef 0/46だけをImageして、そのポートをポートf 0/25にImageし、ポートf 0/25にKolai Network Analysis Systemを接続して通信のパケットをキャプチャします。

パケット分析

パケットを分析すると、ネットワーク内で多数のIP競合が発生していることがわかりました。診断ビューの診断ヒントにより、次の図に示すように、IPアドレスの競合を発生させたソースIPアドレスは、障害のあるネットワークセグメントのゲートウェイアドレスであることがわかりました:

上の図を見ると、192.168.200.254は2つのMACアドレスに対応しており、1つは00:25:64:A8:74:AD、もう1つは00:1A:A2:87:D1:5Aです。具体的な分析により、IPアドレス192.168.200.33、00:1A:A2:87:D1:5Aに対応する00:25:64:A8:74:ADホストのMACアドレスが192.168.200.254の本当のMACアドレスであり、00:1A:A2:87:D1:5Aが本当のMACアドレスであることがわかりました。.200.33、00:1A:A2:87:D1:5Aは192.168.200.254の本当のMACアドレスです。つまり、オフィスエリアがサーバーにアクセスできないとき、Pingゲートウェイアドレスが機能しないのは、オフィスエリアのマシンがゲートウェイにリクエストを送信するときに間違ったゲートウェイアドレスをリクエストしているためで、ゲートウェイはホストのリクエストに応答しないため、ホストは正しいゲートウェイのMACアドレスを学習しません。ネットワークが機能しない原因は、ホスト192.168.200.33によるARPスプーフィングです。

結論の分析

上記の分析により、MACアドレス00:25:64:A8:74:ADとIPアドレス192.168.200.33を持つホストが、ゲートウェイを装ってネットワークセグメント内のホストを欺くARPウイルスに感染していることがわかります。

ARPウイルスについては、ウイルスホストが配置されている限り、この種の問題を解決するためにチェックし、殺すためにARPのkillツールを使用することができます。しかし、最善の方法は、イントラネットホストにウイルス対策ソフトウェアをインストールし、ウイルスデータベースをタイムリーに更新し、同時にホストにセキュリティパッチを適用し、同様の障害が再発しないように予防措置を講じることです。

Read next

2台のEmulexコントローラがファーウェイのFusionSphere互換性テストに合格

情報通信ソリューションのプロバイダーであるファーウェイと、ネットワーク・コネクティビティ、モニタリング、および管理のグローバル・リーダーであるEmulex Corporationは本日、Emulex ™ 3 EthernetおよびEmulex EngineTM201 Converged Network Architecture Controllerをベースとしたボードが、ファーウェイのクラウド・オペレーティング・システムの互換性テストに合格し、Huawei Ready認証を取得したことを発表しました。ハードウェアはシステムとの相性が良く、優れたパフォーマンスを発揮します。

Mar 23, 2025 · 3 min read

LinuxでOpenVPNを使って安全なリモート接続を確立する方法

Mar 23, 2025 · 6 min read

OS X Mavericks Serverチュートリアル:メールサービスの設定

Mar 22, 2025 · 4 min read

OS X Mavericks Serverチュートリアル:メッセージ設定

Mar 22, 2025 · 4 min read

新しい SDN WAN 最適化とセキュリティアプリケーションの出現

Mar 22, 2025 · 3 min read

グーグル、暗号化サイトの検索順位を上げる

Mar 22, 2025 · 1 min read