--- title: Lab Meeting Minutes 2023/03/10 tags: lab_meeting --- > Outline > [TOC] --- # PERAL Lab Meeting - 時間:112 年 03 月 10 日 9:00 - 地點:科三 321 - 線上會議連結 : [Online](https://meet.google.com/fqk-jajh-afa) - 出席者:吳坤熹老師、謝萬霖、吳騰然、劉怡君、田蕙瑜、莊才賢、紀見如、劉冠伶、林大智、繆亭霄、洪胤勛(請假) - 會議主題:[Network Steganography Decoy Mechanism for ARP-cache Dead Drops](https://docs.google.com/presentation/d/1WJFIU00eTDCJzPHDAkOCwGVMhLU3DKWYJOAIoA5H35I/edit?fbclid=IwAR33DzbxCAzboc-g549rMXB3AM0NHTLGrDBTEUQ2NXr-O-FVZRQ3WKhaPkg) - 主講者: 紀見如 - 主記: 劉冠伶 ## 會議內容 ### Research Motivation - Network Steganography - 資訊隱藏就像是在網路上搭便車傳送訊息 - 缺點是會被守株待兔 ### Previous Work - RFC 6437 - Tobias Schmidbauer, Steffen Wendzel, Aleksandra Mileva, and Wojciech Mazurczyk, "Introducing Dead Drops to Network Steganography using ARP-Caches and SNMP-Walks", 14th International Conference on Availability, Reliability and Security (ARES 2019). New York, NY, USA, Article 64, 1–10 - 改進這篇的內容 ### The method in ARES 2019 paper - ARP - Dead Drop - 秘密情報放置點 - SNMP #### ARP - 找出 IP address 的 MAC address - brocast - 會把詢問過的資料放到 ARP Cache - MAC address - the former 3 bytes: OUI (廠商 ID) - the later 3 bytes: NIC ID #### ARP-Caches and SNMP-Walks Mechanism - Step.1 ![](https://i.imgur.com/7S54pQk.png) - Step.2 ![](https://i.imgur.com/B0RLDqE.png) - Step.3 ![](https://i.imgur.com/h6HipdG.png) - Step.4 ![](https://i.imgur.com/bmaPtRo.png) ### Improved ARP-cache Dead Drops Mechanism > ![](https://i.imgur.com/5Z76BkV.png) ![](https://i.imgur.com/Sepvo1I.png) ![](https://i.imgur.com/OZrlvZp.png) ![](https://i.imgur.com/mntPqPY.png) - 不使用 ARP Cache 去存資料 - 一直 listen 在這個 domain 上的 ARP Packet,然後用 sniff 去抓 ### Background technology - send ARP packet - python scapy - code (in CR) to filter the informations and write them into a file - python scapy - Dead Drop is an unused ip address in the subnet ### Experiment Environment - ARP packet:scapy - All hosts are in the same subnet - host1(10.22.21.21): Dead Drop - host2(10.22.21.219): Covert Sender (CS) - host3(10.22.21.218): Covert Receiver (CR) ### Experimental Result - No secret information in Dead Drop’s arp cache > 聲東擊西! - The amount of data transmitted can be increased and better than the ARES 2019’s paper. - in ARES 2019,the data in a hour only coud be send 3*125=375 bytes > 效率更好! ### Future Work - 用 WireShark 來證明這個比舊的好 ### Demo - 發送方 CS ![](https://i.imgur.com/MntW7Nc.png) - 接收方 - 啟動聆聽模式![](https://i.imgur.com/ZwNkQqH.png) - 送訊息到開啟聆聽的接收方 ![](https://i.imgur.com/yuRnvod.png) --- ### 建議&問題 1. Dead drop 是不是一台實體機器 [name=lawrence] Ans: 不是,因為它是一個沒有在使用的 IP address 所以不應該有[name=] 1. P24 為甚麼一小時只能傳遞 375 bytes [name=august] Ans: 3 mac address 3 bytes, 一個 domain 下通常可以有一半沒在使用,所以 3*125 = 375.[name=jennifer] 1. 如果是不小心存到有在使用的 ip address,那我們想隱藏的資訊會找不到嗎?[name=august] Ans: 目前看起來是不會,直接 demo 給大家看,結果是會影響! ![](https://i.imgur.com/BuTZdsh.png) 每次都只會抓到最前面的 ARP packet. [name=jennifer] 1. 照理來說,brocast 應該就是大家都聽得到,所以為什麼會這樣,是 sender 就沒送了嗎?[name=august] Ans: 目前還不清楚原因 [name=jennifer] Ans: 感覺是問到了,所以他就不會再問了 [name=solomon] 1. 說不定之後可以用一台 dead drop (無辜的機器) 來嫁禍給它,老師還分享了西班牙馬德里的火車恐怖攻擊的例子 [name=solomon] 1. network steganography 可以不要叫 motivation 可以改叫introduction [name=ashley] 1. P7 的圖可以拉好一點,會擋到[name=august] 1. 如果其他主機,arp cache 會爆掉?[name=jerry] Ans: 只有 destination 答案才會放在 arp cache 裡面,所以 domain 內裡面的主機並不會有 arp cache 爆掉的問題[name=jennifer] 1. 論文要記得寫 window arp cache 跟 linux arp cache [name=solomon] 1. receiver 上的 arp cache 是不會有隱藏資訊的 [name=solomon] 1. dead drop 是使用沒有在使用的 ip address,然後要如何約定接收方跟發送方都使用這個 ip address?[name=angela] Ans: 約定的部分目前還沒有包裝好,目前只是驗證的概念可行[name=jennifer] 1. 如果有一個好的溝通原則,就可以用動態的更改 dead drop 的 ip address [name=angela] 1. source ip 有一串的用意是為了不容易被發現嗎?[name=phoebe] Ans: 應該是更多(125),目的是為了提高傳輸的速度[name=jennifer] 1. 有放上動畫是非常的清楚的[name=toby] 1. 原本論文的方法是用 SNMP 去 dead drop 抓資料,這樣是可以 receiver 是可以在不同的 domain 下,但如果用成你的方法,就會必須要同一個 domain 下。這樣資料是傳不出這個 domain 的。[name=edger] 1. 因為 dead drop 目前是一台存在的 ip,所以如果不小心把 arp cache 塞爆,會不會影響這台機器的運作 [name=edger] Ans: 還沒嘗試,會列入 future work [name=jennifer] 1. P6 要改一下,因為原本的版本 CR 應該是可以在 domain 外的。[name=solomon] ## 待追蹤事項 - 無 ## 臨時動議 1. 如果未來都這樣子,要不要改成線上 lab meeting [name=angela] 2. 要不要下下禮拜 3/26(日)下午來跑步 [name=angela] - 這周路會有新的路線圖 [name=solomon] --- 散會結束時間: 2023-03-10 10:25 AM
×
Sign in
Email
Password
Forgot password
or
By clicking below, you agree to our
terms of service
.
Sign in via Facebook
Sign in via Twitter
Sign in via GitHub
Sign in via Dropbox
Sign in with Wallet
Wallet (
)
Connect another wallet
New to HackMD?
Sign up