Try   HackMD

資訊安全概論 HW2

Image Not Showing Possible Reasons
  • The image file may be corrupted
  • The server hosting the image is unavailable
  • The image path is incorrect
  • The image format is not supported
Learn More →

ARP Spoofing

Address Resolution Protocol,將IP位置對應到實體(MAC)位置的協定,查詢者會會發出ARP request,詢問網域內有誰match到該IP,被match到的人發回ARP reply,告訴查詢者「我是這個IP,然後我mac address是」,接著查詢者收到後會建立arp表,之後要再往該IP丟封包時就可以不用再問mac address了。
而ARP Spoofing就是攻擊者先用NMAP找到目標(通常為gateway)傳送偽造的ARP reply封包,欺騙受害者該IP對應到的是攻擊者的mac,讓受害者傳往該IP的封包都傳送到攻擊者這,接著攻擊者再透過IP轉發把封包轉給該IP真正所在地,神不知鬼不覺的竊聽二者的通訊。

$ arpspoof -i {NIC card} –t {victim IP} {Gateway IP)

用-i指定網路介面,-t指定受欺騙的機器,後面接著gateway的IP。

DHCP Spoofing

Image Not Showing Possible Reasons
  • The image file may be corrupted
  • The server hosting the image is unavailable
  • The image path is incorrect
  • The image format is not supported
Learn More →

一個網段裡通常會有DHCP伺服器,自動為新加入的機器分配IP、Gateway、net mask等設定,過程有四步驟,如下圖:
Image Not Showing Possible Reasons
  • The image file may be corrupted
  • The server hosting the image is unavailable
  • The image path is incorrect
  • The image format is not supported
Learn More →

而DHCP Spoofing利用了DHCP request是廣播封包的特性,在收到DHCP request時搶先發出DHCP offer給victim,而其中就包含了錯誤的資訊,如將Gateway設為自己,以便聽取封包,之後再將該封包轉往真正的gateway。

DHCP Snooping

Image Not Showing Possible Reasons
  • The image file may be corrupted
  • The server hosting the image is unavailable
  • The image path is incorrect
  • The image format is not supported
Learn More →

為了防止上述的DHCP Spoofing行為,近代的switch設備上常有DHCP snooping的選項,能夠在建置網路時將連接真正DHCP的port設為trusted port,任何DHCP協定的封包只能由trusted port進入,untrusted port會drop掉所有DHCP offer,而DHCP snooping database側錄了DHCP Server給予的租用IP,負責從中控管有沒有不合法的流量。

Last changed by 
Nemo
0
155

Read more

No More Chewy Centers: Introducing The Zero Trust Model Of Information Security

消除以往外部網路與內部網路的區別。也就是説,所有的流量都是untrust。內部資安人員應該對所有流量進行檢查與log並實行access control。 攻擊型態的轉變 2010年時一架飛機上載著10名看似正常不過且彼此互不認識的民眾——其中有人甚至幫微軟測試過軟體——從紐約飛往維也納,但他們的真實身份其實為俄羅斯間諜,且已保持著非常普通的狀態數年之久。他們努力的與美國具影響力的人物混熟,並向俄羅斯秘密發送獲取到的訊息。 從這個例子來說,現代的攻擊型態、週期已經拉長,駭客的攻擊手法已經變為"low and slow",也就是花漫長的時間搜集許多我們並不會特別留意的網路資料,整個時間會拉長到數月或著數年不等。且不同於以往的大範圍找尋可下手的目標,現代駭客的攻擊範圍只會越來越窄、越來越具針對性,特別是那些具有高價值的系統或資訊。 The Philip Cummings Problem Philip Cummings在一家為數個徵信所提供軟體的公司上班,其中與奈及利亞的犯罪集團合作,將客戶的信用資料轉給該集團。

Oct 1, 2022
TPM on Windows11

Hyper-V 使用Windows原生的hyper-v虛擬平台,可以建立具有TPM module、支援secure boot的虛擬機,並且也可以安裝windows11。 安裝步驟 Prerequisites 首先我們需要啟用hyper-v的功能,進入控制台->程式集->開啟或關閉windows功能->勾選Hyper-V選項。 接著我們可以到臺大計算機中心下載學校提供的WIN11 ISO檔,為等一下的虛擬機器安裝做準備(請注意要在臺大的網域下。)。 https://download.cc.ntu.edu.tw/download.php 以及認證用的KMS腳本。

Sep 11, 2022
TPM survey

Group Policy setting Windows10、Windows11中可以使用Group Policy Setting來設定Windows系統對於TPM的使用方式。 我們可以按下windows鍵+R,並輸入:gpedit.msc,即可打開Group Policy Setting。 接著轉至:系統管理範本->系統->可信賴平台模組服務,便可設定windows系統對於TPM的原則。 The Level of TPM owner authorization information available to the operating system 此設定可以調整Windows會使用TPM來進行哪些特定行為。越高的層級,允許使用TPM的行為就越多。例如:

Aug 11, 2022
111-2專題研究筆記 Week 15-16

Task Specification In this note, I was trying to figure out several questions, including: Is my laptop (macbook air 2020) support TPM? And if so is it TPM 2.0? what functions can be done with my computer's TPM module? What are the algorithms it uses? Where does it store the key? What should be done when user forget the key? Can TPM increase the performance of "data in motion"?

Jul 27, 2022
Read more from Nemo
Published on HackMD