攻撃グループLazarusが侵入したネットワーク内で使用するツール - JPCERT/CC Eyes
攻撃者がネットワーク内に侵入した後、ネットワーク内の調査や感染拡大などにWindowsコマンドや正規のツールを使用することはよく知られています。攻撃グループLazarus(Hidden Cobraとも言われる)も同じく、ネットワークに侵入後、正規のツールを使用して、情報収集や感染拡大を試みます。 今回は、攻撃グループLazarusが使用するツールについて紹介します。 ネットワーク内部での横展開 まずは、ネットワーク内部での横展開(Lateral Movement)に使用されるツールです。AdFindはActive DirectoryからWindowsネットワーク内のクライアントやユーザーの情報を収集することが可能なツールで攻撃グループLazarusに限らず他の攻撃者でも使用されていることが確認されています[1]。SMBMapについては、以前のブログで紹介したとおり、マルウェアを別のホストに
PPPoE IPoE併用ネットワークでv6プラスを利用しながらサーバー公開
IPoE接続を導入 前の記事で紹介した通り、混雑時のインタネットを高速化するために、我が家にはIPv4通信もIPv6-IPoE経由で行えるv6プラス(MAP-E)接続に対応するルーターを導入しました。 通常のユーザーならここで快適なインタネットを満喫しておしまいです。 ただし、通常使用に影響がないものの、MAP-Eには欠点があります:IPv4ポートが自由に使うことができません。 MAP-Eのポート割り当て v6プラスが代表しているMAP-EベースのIPv6トンネリングは最大32ユーザーが1つのIPv4アドレスを共有しているため、PPPoEのように自由にポートを使うことはできません。 自分に割り当てられたポートは固定で、自分のIPv6アドレスから計算できます。 v6プラスの場合は1ユーザーに4096~65535までの範囲で16x15の240個を割り当て、80や443などのウェルノウンポートは
Remote access to production infrastructure (death to the VPN!)
Views expressed within this post are entirely my own, and may not reflect the views of my employer, their leadership, or their security staff. One of the cooler things about how we run infrastructure at my company is our remote access story. It’s basically super super secure magic. I’ve talked to a lot of my security architect peers and auditors in the industry, and as far as I can tell, I think w
IPv6がなぜいまだに普及していないのか|Rui Ueyama
現在のインターネットの基本をなしているIPv4というプロトコルには、広く知られた大きな欠点がある。パケットのアドレスフィールドの幅が32ビットなので、ネットワークに接続可能なホスト数の上限が2³²(約43億)になってしまっているのだ。その欠点を修正するために、1990年代後半にIPv6という新たなプロトコルが設計されたのだけど、いまだにインターネットではIPv6は少数派で、主流ではいまだにIPv4が使われている。 1990年代当時は、IPv6は規格を策定すれば比較的すぐに普及するはずで、それによってインターネットが抱えているアドレス枯渇の問題が解決されるという雰囲気だったように思う。1998年にタイムトラベルして、20年たってもまだIPv4を置き換えることに成功していないと当時の人のIPv6推進者たちに教えたら、多分すごくびっくりされるだろう。一体どうしてこんなに普及が遅れてしまったのだろ
Shadowsocksって何のこと? どんな仕組みなの?VPNより高速に中国から海外のサイトを見るために
VPNの基礎知識 Shadowsocksって何のこと? どんな仕組みなの?VPNより高速に中国から海外のサイトを見るために SS, SSR, 中国語では影梭と呼ばれるShadowsocks。中国ではVPNよりも普及している感があります。グレートファイアウォール(GFW)を超えて海外のサイトを見る為の手段として多くの人が利用しています。 では、このShadowsocksとはなんでしょうか? Shadowsocksとは? ShadowsocksはClowwindyという中国人によって開発されたSocks5をベースとしたプロキシです。公式ホームページによれば、「トラフィックを守る安全なSocks5プロキシ」と称しています。そもそも、Clowwindyの開発した目的は「暗号化によって安全性を確保しながら、GFWを突破する」為とのことです。 暗号化の方法は、AES, Blowfish, IDEA,
【読んでみた】Amazon VPCを保護するためのベストプラクティス #reinvent #NET309 | DevelopersIO
はじめに こんにちは、佐伯です。 私はre:Invent 2017に参加していないので、レポートではなく「読んでみた」という形で以下ワークショップのスライドをGoogle翻訳を駆使して読んでみました。所々にAWSドキュメントのリンクも入れています。なお、ワークショップのスライドなので、ハンズオン部分は省いてます。ご了承ください! [slideshare id=83144263&doc=net309-best-practices-for-secu-d21b4ab5-aad1-4bf0-bf1e-4018bb9b832b-525728499-171201191331] 予防的制御 悪意のある、意図しない、または望ましくないアクティビティの防止 一般的にベースラインのセキュリティ要件(インターネットからのSSH接続を許可しないなど)を満たす インフラストラクチャの「望ましい状態」を表す AWSに
【AWSしかやったことない人向け】AWSとGCPのネットワークの違いを理解してみよう - まーぽんって誰がつけたの?
背景 AWSでVPC作ったりしたことあるけど、GCPやったことないって人は色々違いに戸惑う アカウントの関係性、ネットワークの概念の違いなどを理解したのでまとめた AWSとGCPのアカウントの考え方の違い AWSの場合、ある人間に対して色々なAWSアカウントが付与される。 (人間) -> 個人で発行されたアカウント -> 会社で発行されたアカウント GCPの場合、ある人間は色々なプロジェクトというものに属することができる。 そして、その人間が使うアカウントはGmailとかで使ってるようなGoogleアカウントである。 (人間 with Googleアカウント) -> プロジェクト 会社のやつ -> プロジェクト 何の関係もない個人のやつ GCPの方が始めるのはすごく簡単な気がする。アカウント管理もGoogleアカウントさえやっときゃいいみたいな感じなので、Googleにロックインされる感は
ネットワーク越しでパイプしたり、あらゆるデバイス間でデータ転送したい! - Qiita
何を解決したいか? Mac, Windows, Linux, iPhoneやAndroidのスマホ・タブレットとかのデバイス間でデータの転送したいことがあります。 SlackとかLineとかSkypeとかAirDropとかあっても 送りたい相手と共通して使っているサービスを探す必要とか、 GUIのソフトウェアのインストールが必要とか、 AirDropだとApple系OSである必要 があるなどの転送の障壁があって、GUIが使えないデバイスに送りたいときなどは困ってしまいます。 すでにたくさんのファイル共有系のサービスがありますが、コマンドを使ったCUIベースにあまり親切な設計なものはあまりないと思います。 そこで、上記の問題を解決するために、以下のようなファイル転送の仕組みを作りました。 他デバイス間でデータ転送ができ、 別途ソフトウェアのインストール不要で、 パイプにとても親和性が高くエン
SDN 温故知新 - Qiita
SDN は Software Defined Networking の略称で、ネットワークをソフトウェアで定義するもの全般を指す概念です。これだけだと本当に幅広い意味に取れるので、スイッチに SSH で入ってコマンドを叩くプログラムも SDN だし、そうなると当然 TeraTerm マクロでスイッチの設定するものも SDN です、と言い張れるわけですが、この記事では OpenFlow プロトコルの登場から現在までのネットワーク周りのソフトウェアを中心とした話題を取り上げます。 OpenFlow OpenFlow は 2008 年にスタンフォード大学の学生の研究から生まれたもので、従来のコントロールプレーンとデータプレーンを同じ物理スイッチ上で動作させていたモデルから、コントロールプレーンを切り出し、このコントロールプレーンを実装したコントローラからデータプレーンを提供する複数のスイッチを集
.ioドメイン不調に伴うMackerelの死活監視アラートの誤報の発生とそれに対する対応について - Mackerel お知らせ #mackerelio
Mackerelサブプロデューサーの id:Songmu です。表題の件、ユーザーの皆様には度々ご迷惑をおかけしており大変申し訳ありません。 本件の詳細に関する説明と、今後の対応に関してお知らせいたします。 死活監視のアラート誤報に関して Mackerelでは、mackerel-agentから一定時間メトリック投稿が途絶えた事をもって、サーバーがダウンしたと判断し、死活監視アラートを発報する仕組みになっています。 現在、 mackerel.io ドメインの名前解決が不安定になっております。それに伴い、 mackerel.io ドメインの名前解決が一定期間失敗し、Mackerelへのアクセスが一時的にできない環境において、 mackerel-agent がMackerelへのメトリック投稿をおこなうことができず、Mackerelシステム側でサーバーがダウンしたと判断してしまい、死活監視のアラ
Mac pfctl Port Forwarding - Sal Ferrarello
Historically, I used ipfw from the command line to do port forwarding on my Mac. Unfortunately, as of Yosemite OS X 10.10 ipfw has been removed. (In all fairness, ipfw has been deprecated for some time but I continued using it because it was way easier than pfctl on the command line). Command Line pfctl pfctl seems to prefer configuration files to command line parameters, which I find frustrating.
kazeburo/choconと、それを支えるnet/httpの実装について
【資料公開します】AWS Dev Day Tokyo 2017 にて登壇しました/choconの簡単なご紹介 - Mercari Engineering Blog こんにちは。SREの @ kazeburo です。2017年5月31日から6月2日にAWS Summit Tokyo 2017と同時に開催された「AWS Dev Day Tokyo 2017」に登壇しました。 登壇する機会をいただき、ま… 先日、というか昨日、この資料が流れてきまして、Private Networkの外部との通信を効率良く行うためのミドルウェア、choconというproxyサーバーが紹介されていました。SSL, HTTP/2を加味した上での超シンプルで高速なforward proxyサーバー実装という印象です。 使い方やAPIの叩き方は上記のリンクを参考にしていただくとして、やたらマイクロな実装でなぜこうも高速に
Go 言語のプロファイル機能とネットワークコネクションにまつわるトラブルシューティング
ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog インフラエンジニア見習いの森本です。これまで数年ほどサーバーサイドエンジニアとして開発ばかりをしてきた人が最近インフラエンジニアになりました。 3月末に開催された Go Conference 2017 Spring で開発チームの後藤から弊社で開発・運用している AWS S3 互換の分散オブジェクトストレージ Dragon についての発表がありました。 Goでヤフーの分散オブジェクトストレージを作った話 私は Dragon の運用を担うチームに所属しており、本稿ではその業務の中で発生したトラブルシューティングについて紹介したいと思います。 分散オブジェクトストレージ Dragon で発生していた課題 Dragon で gorout
ネットワークキャプチャデータを見る時のTips - Qiita
ネットワークのトラブルシュートなどをする時にtcpdumpやwiresharkといったツールを使ってキャプチャデータを取得し、正常ではない通信を特定するなど分析します。その時にIPアドレスやポート番号といったことは当然確認すると思いますが、本記事ではそれ以外に分析に利用できそうな小技をいくつか紹介したいと思います。お題は以下のとおりです。 MACアドレスからNICのベンダーが分かる IPヘッダからおおよそのホップ数が推測できる TCP/IPヘッダからOSを推定できる TCPの3-way-handshakeからネットワークの遅延を測れる TCPの再送状況からネットワーク品質の変化を見れる DHCP/mDNS/NBNS/LLMNR から同一ネットワーク内のホスト名がわかる TLSのclient helloから接続先のホスト名がわかる 【注意事項】 本職のネットワークエンジニアの方にとっては当た
Re:golang の http.Client を速くする
先日mattnさんの記事を読みました。 golang の http.Client を速くする nettというパッケージを使って 名前解決の結果をキャッシュすることで、http.Clientを早くするというものです。 この記事に関して、ちょっと疑問に思ったことがあったので、検証してみました。 疑問 疑問に思ったのは以下の点です。 名前解決遅すぎでは? ベンチマークの結果を見ると5億ns(=500ms)ほど速度が改善しています。 3つのURLに対してリクエストを投げているので、初回を除く2回DNSのキャッシュがヒットし、 名前解決2回分の速度改善になるはずです。 と、いうことは、名前解決1回あたり250msかかっている計算になります。 googleのsearchは302でリダイレクトがかかるので、Client.Getの呼び出し1回あたり2回リクエストが飛ぶ、 ということを計算に入れても100m
GoReplayを導入して、Production環境へのリクエストを複製し、Staging環境に転送する仕組みを作った - Glide Note
結構前に作っていたんですが、いろいろと忙しくてブログに書くタイミングを失していたので年末のタイミングで紹介。 TL;DR GoReplayを利用して、Production環境のリクエストを複製し、Stagins環境、開発環境に投げる仕組みを作った インフラ構成の大きな変更無しで、手軽にProduction環境の実リクエストを複製し、開発、動作検証ができるようになった 2016年の弊社サービスのDocker化や、インフラ構成の大幅な変更、ミドルウェアのアップデート、アプリの改修時のバグ事前検知と事故防止に大いに役に立った GoReplayの説明 GoReplay Goで書かれており、バイナリを設置し、オプションを指定し実行するだけで動作する アプリが稼働しているサーバで動く。(例えばNginx+Railsが稼働しているサーバで一緒にGoReplayを動かす感じ。) libpcap を利用して
UDPソケットをGoで叩く
前回と前々回の記事では、Go言語によるTCPソケットの通信例を紹介してきました。 今回は、ネットワークの解説でTCPと一緒に紹介されることが多いUDPのソケットをGo言語で触ってみます。 今回の記事の概要部分は佐藤貴彦氏、若山史郎氏、小泉守義氏にアドバイスをいろいろもらいました。 ありがとうございます。 UDPが使われる場面は昔と今で変わってきている UDPはTCPと同じトランスポート層プロトコルですが、TCPと違ってコネクションレスであり、誰とつながっているかは管理しません。 プロトコルとしてデータロスの検知をすることも、通信速度の制限をすることもなく、一方的にデータを送りつけるのに使われます。 その際にはパケットの到着順序も管理しません。 TCPとくらべて機能が少なくシンプルですが、そのかわりに複数のコンピュータに同時にメッセージを送ることが可能なマルチキャストとブロードキャストをサポ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
AWS Transit Gatewayは多種多様なリソースを単一のネットワークトポロジーの下に収めてアクセスと管理を容易化 | TechCrunch Japan
Traefik Labs: Say Goodbye to Connectivity Chaos
はてなにおけるLinuxネットワークスタックパフォーマンス改善 / Linux network performance improvement at hatena
