--- title: Lab Meeting Minutes 2023/03/10 tags: lab_meeting --- > Outline > [TOC] --- # PERAL Lab Meeting - 時間：112 年 03 月 10 日 9:00 - 地點：科三 321 - 線上會議連結 : [Online](https://meet.google.com/fqk-jajh-afa) - 出席者：吳坤熹老師、謝萬霖、吳騰然、劉怡君、田蕙瑜、莊才賢、紀見如、劉冠伶、林大智、繆亭霄、洪胤勛(請假) - 會議主題：[Network Steganography Decoy Mechanism for ARP-cache Dead Drops](https://docs.google.com/presentation/d/1WJFIU00eTDCJzPHDAkOCwGVMhLU3DKWYJOAIoA5H35I/edit?fbclid=IwAR33DzbxCAzboc-g549rMXB3AM0NHTLGrDBTEUQ2NXr-O-FVZRQ3WKhaPkg) - 主講者: 紀見如 - 主記: 劉冠伶 ## 會議內容 ### Research Motivation - Network Steganography - 資訊隱藏就像是在網路上搭便車傳送訊息 - 缺點是會被守株待兔 ### Previous Work - RFC 6437 - Tobias Schmidbauer, Steffen Wendzel, Aleksandra Mileva, and Wojciech Mazurczyk, "Introducing Dead Drops to Network Steganography using ARP-Caches and SNMP-Walks", 14th International Conference on Availability, Reliability and Security (ARES 2019). New York, NY, USA, Article 64, 1–10 - 改進這篇的內容 ### The method in ARES 2019 paper - ARP - Dead Drop - 秘密情報放置點 - SNMP #### ARP - 找出 IP address 的 MAC address - brocast - 會把詢問過的資料放到 ARP Cache - MAC address - the former 3 bytes: OUI (廠商 ID) - the later 3 bytes: NIC ID #### ARP-Caches and SNMP-Walks Mechanism - Step.1  - Step.2  - Step.3  - Step.4  ### Improved ARP-cache Dead Drops Mechanism >     - 不使用 ARP Cache 去存資料 - 一直 listen 在這個 domain 上的 ARP Packet，然後用 sniff 去抓 ### Background technology - send ARP packet - python scapy - code (in CR) to filter the informations and write them into a file - python scapy - Dead Drop is an unused ip address in the subnet ### Experiment Environment - ARP packet:scapy - All hosts are in the same subnet - host1(10.22.21.21): Dead Drop - host2(10.22.21.219): Covert Sender (CS) - host3(10.22.21.218): Covert Receiver (CR) ### Experimental Result - No secret information in Dead Drop’s arp cache > 聲東擊西！ - The amount of data transmitted can be increased and better than the ARES 2019’s paper. - in ARES 2019，the data in a hour only coud be send 3*125=375 bytes > 效率更好！ ### Future Work - 用 WireShark 來證明這個比舊的好 ### Demo - 發送方 CS  - 接收方 - 啟動聆聽模式 - 送訊息到開啟聆聽的接收方  --- ### 建議&問題 1. Dead drop 是不是一台實體機器 [name=lawrence] Ans: 不是，因為它是一個沒有在使用的 IP address 所以不應該有[name=] 1. P24 為甚麼一小時只能傳遞 375 bytes [name=august] Ans: 3 mac address 3 bytes, 一個 domain 下通常可以有一半沒在使用，所以 3*125 = 375.[name=jennifer] 1. 如果是不小心存到有在使用的 ip address，那我們想隱藏的資訊會找不到嗎？[name=august] Ans: 目前看起來是不會，直接 demo 給大家看，結果是會影響！  每次都只會抓到最前面的 ARP packet. [name=jennifer] 1. 照理來說，brocast 應該就是大家都聽得到，所以為什麼會這樣，是 sender 就沒送了嗎？[name=august] Ans: 目前還不清楚原因 [name=jennifer] Ans: 感覺是問到了，所以他就不會再問了 [name=solomon] 1. 說不定之後可以用一台 dead drop (無辜的機器) 來嫁禍給它，老師還分享了西班牙馬德里的火車恐怖攻擊的例子 [name=solomon] 1. network steganography 可以不要叫 motivation 可以改叫introduction [name=ashley] 1. P7 的圖可以拉好一點，會擋到[name=august] 1. 如果其他主機，arp cache 會爆掉？[name=jerry] Ans: 只有 destination 答案才會放在 arp cache 裡面，所以 domain 內裡面的主機並不會有 arp cache 爆掉的問題[name=jennifer] 1. 論文要記得寫 window arp cache 跟 linux arp cache [name=solomon] 1. receiver 上的 arp cache 是不會有隱藏資訊的 [name=solomon] 1. dead drop 是使用沒有在使用的 ip address，然後要如何約定接收方跟發送方都使用這個 ip address？[name=angela] Ans: 約定的部分目前還沒有包裝好，目前只是驗證的概念可行[name=jennifer] 1. 如果有一個好的溝通原則，就可以用動態的更改 dead drop 的 ip address [name=angela] 1. source ip 有一串的用意是為了不容易被發現嗎？[name=phoebe] Ans: 應該是更多(125)，目的是為了提高傳輸的速度[name=jennifer] 1. 有放上動畫是非常的清楚的[name=toby] 1. 原本論文的方法是用 SNMP 去 dead drop 抓資料，這樣是可以 receiver 是可以在不同的 domain 下，但如果用成你的方法，就會必須要同一個 domain 下。這樣資料是傳不出這個 domain 的。[name=edger] 1. 因為 dead drop 目前是一台存在的 ip，所以如果不小心把 arp cache 塞爆，會不會影響這台機器的運作 [name=edger] Ans: 還沒嘗試，會列入 future work [name=jennifer] 1. P6 要改一下，因為原本的版本 CR 應該是可以在 domain 外的。[name=solomon] ## 待追蹤事項 - 無 ## 臨時動議 1. 如果未來都這樣子，要不要改成線上 lab meeting [name=angela] 2. 要不要下下禮拜 3/26(日)下午來跑步 [name=angela] - 這周路會有新的路線圖 [name=solomon] --- 散會結束時間： 2023-03-10 10:25 AM