Lab Meeting Minutes 2022/11/29

--- title: Lab Meeting Minutes 2022/11/29 tags: lab_meeting --- > Outline > [TOC] --- # PERAL Lab Meeting - 時間：111 年 11 月 29 日 08:00 - 地點：科三 321 - 線上會議連結 : [Online](https://meet.google.com/tio-xyor-ijo) - 出席者：吳坤熹老師、謝萬霖、吳騰然、劉怡君、田蕙瑜、洪胤勛、丘世宇、莊才賢、紀見如、林大智、繆亭霄、劉冠伶(缺席) - 會議主題：[Introducing Dead Drops to Network Steganography using ARP-Caches and SNMP-Walks](https://docs.google.com/presentation/d/16irD-GNsndhjNldvQjNCUEVporx89NmqWpB7XZmlBIE/edit?fbclid=IwAR2cIzLeESzy7f2xMgbzzsfCN7SDw0xfAgrllHsKHDLs1r2P3feOUSKWC-Q#slide=id.p) - 主講者: 紀見如 - 主記: 繆亭霄 ## 會議內容 ![](https://i.imgur.com/lAhqtQm.png) - Dead Drop存放資訊 - CS向Dead Drop要資訊 ![](https://i.imgur.com/EY06QwV.png) - ARP負責ip查詢mac address ![](https://i.imgur.com/iLQaTbS.png) - RARP用mac address查詢ip ![](https://i.imgur.com/GK0eFcu.png) 1. HostA送出ARP request 2. HostX回送ARP reply 3. Arp reply: - sender mac會是HostX本身的mac address - sender ip是arp request的target ip - target mac是arp request的sender mac - target ip是arp request的sender ip - HostX會將自己的mac address reply回去 - HostX也會將HostA的mac address寫進自己的ARP table ![](https://i.imgur.com/9ACuPec.png) ![](https://i.imgur.com/2aQgV7U.png) ![](https://i.imgur.com/44jnBgd.png) - recommunity每台機器可以自行設定 ![](https://i.imgur.com/yM4H42z.png) ![](https://i.imgur.com/EZnkdMF.png) - CS將想要隱藏的資訊藏進ARP packet - 資訊藏在source mac address後面3個byte ![](https://i.imgur.com/jZIpif7.png) ![](https://i.imgur.com/e8jMStB.png) - 帶有資訊的source mac address會被存進Dead drop的ARP cache ![](https://i.imgur.com/zpHSj1d.png) ![](https://i.imgur.com/q4pFqtI.png) ![](https://i.imgur.com/YUGrqjs.png) ![](https://i.imgur.com/5Sel70S.png) - pdst: destanation ip(vm2) - psrc: source ip(vm1) - hwsrc:放假的mac，想要藏的資訊 ![](https://i.imgur.com/vJdRhTj.png) ![](https://i.imgur.com/VubxyRS.png) - 確認Dead Drop(vm2)是否成功儲存想隱藏的資訊 ![](https://i.imgur.com/hg4Q6eE.png) - 在Receiver(vm3)上用snmp獲取Dead Drop的ARP table ![](https://i.imgur.com/8EqLxGW.png) ![](https://i.imgur.com/2CWlZKY.png) --- ### 建議&問題 1. P.7 哪個部分有問題?[name=Solomon] Ans: 步驟a的target mac跟步驟b的target mac不一致。步驟a的sender mac跟圖中的HostA不一致。[name=Solomon] 2. P.7 Sender protocal代表什麼?[name=Angela] Ans: 這邊應該是標錯了，應該叫sender ip。[name=Solomon] 3. 讀paper的三個境界?[name=Solomon] Ans: 1.讀懂technical detail。 2.試著改善presentation，讓例子更簡單。 3.提出這篇paper好在哪裡，不好在哪裡。 4. 避免用你，我，他這些代名詞，用專有名詞。[name=Solomon] 5. P.19 如果有機器的防火牆把 ping 擋下來，不回 ICMP Echo Reply. 你的機制是否就會受影響了？[name=Solomon] - Branko: 若沒有 arping, 會怎麼樣？ - Jennifer: 若用到別人已在用的 IP address, 我藏在 ARP table 中的資料會被它蓋掉. 6. 隱藏的資訊是不是不能太大?[name=Lawrence] 7. ARP exipre time. 所以要一定時間內去取資料？ [name=August] Ans: 可以自行設定expire time，所以不會發生資料遺失。[name=Jennifer] 8. Free ip是什麼意思?[name=Angela] Ans: 這個subnet下沒人佔用的ip[name=Jennifer] 9. 只能使用固定的free ip嗎?[name=Choffin] Ans: 只要收送雙方約好用哪個free ip就可以，不限定某個ip。[name=Jennifer] 10. 怎麼把不同free ip拿到的資訊組回去?[name=Jerry] Ans: 通常會按照ip的順序。[name=Jennifer] 11. 若是傳遞資訊的某個階段，原本的free ip被佔用了，這樣資訊的重組會不會受影響?[name=Jerry] Ans: 送資訊的時候送方應該會先記錄好用了那些free ip並告知收方。[name=Jennifer] 12. 如果為了追求最高的效率，要把這個 subnet 的所有 free IP 都拿來利用做資訊隱藏，但你之前有遇到連續 arp ping 卻得到不同的結果，這樣當 CS 跟 CR arp ping 的結果不同時會影響到資訊的傳遞。(既然CS跟CR有事先溝通要用哪些 free IP 那我就沒問題了)[name=Phoebe] 13. Demo1跟Demo2比較的結論? 為什麼在同一個subnet中，VM3 不會收到 broadcast?[name=Angela] Ans: 因為pdst有指定是10.22.21.21, 所以其他人雖然有收到ARP Request, 但看到不是問自己，就會把封包丟掉。 14. 可以用EndNote匯入論文，這樣作者、出處看起來會比較清楚。[name=Toby] 15. Inconsistent MAC/IP pair will be easily detected. (How?) [name=Edgar] ## 待追蹤事項 1. 根據上週環安衛教育訓練，大三 & 碩一都需完成教育訓練，並交付 Word 給環安衛負責人(Toby)[name=Toby] 2. [name=] ## 臨時動議 1. 明天(11/29)要拍攝宣傳照片。預計拍兩小時，目前會參與的人：Angela，Phoebe，Toby，Lawrence --- 散會結束時間： 2022/11/29 10:09