ConoHaで対応してもらえました(2021/11/14) [仮想化]
11月12日夕方にConoHa事務局からメールがあり、対策を行ったとのことでした。
当方でarpテーブルを確認し、さらにarpキャプチャを行ったところ、確かに解消されていました。ただ前日の11日中は問題事象発現中であることは確認していますし、結果的に対策はされましたが、事象報告から約一週間が経過しており、セキュリティ事案に対して呑気すぎるという印象です。
ちなみにスプーフィングの挙動を知りたかったので、LAN上のノードに適当にpingを1発撃ち、arpテーブルを表示させたものが以下となります。見る人が見れば戦慄が走ることでしょう。
192.168.10.zzz のarp解決結果がzz:zz:zz:zz:zz:zzであることは本体だから良いとして、それ以外の192.168.10.xxx のarp解決結果がzz:zz:zz:zz:zz:zzとなっているのは、怪しいノードに乗っ取られた結果となります。(偽装されてしまっている)
ゲートウェイの乗っ取りだけでなく、VPSノード側も含めこのセグメントが広範囲に汚染対象になっていることを示しています。
それは言い換えれば、自分のVPSも危ないわけですね。私はスタティックarpによって、私のVPSがゲートウェイを見失わないように対策しましたが、ゲートウェイが私のVPSを見失わないことを保障するものでありません。
気休めの対策になりますが、私のVPSからゲートウェイに対して定期的なpingを撃つようにcronを設定しました。(1分毎に5秒間隔で3発程度) 本来pingは処理負荷を発生させるものなので、無闇に撃つものではありません。しかし状況が状況だけに、今回は致し方なしということで。
主な狙いは
・arp学習を促すこと
・学習済みのarpキャッシュの更新(エントリから消さない)
・万一汚染されていた場合の上書き
です。本当に気休めかもしれませんが。
怪しいノードは抹殺されたようなので、頃を見てcronは消すことにします。
当方でarpテーブルを確認し、さらにarpキャプチャを行ったところ、確かに解消されていました。ただ前日の11日中は問題事象発現中であることは確認していますし、結果的に対策はされましたが、事象報告から約一週間が経過しており、セキュリティ事案に対して呑気すぎるという印象です。
ちなみにスプーフィングの挙動を知りたかったので、LAN上のノードに適当にpingを1発撃ち、arpテーブルを表示させたものが以下となります。見る人が見れば戦慄が走ることでしょう。
openbsd # arp -an Host Ethernet Address Netif Expire Flags 192.168.10.1 aa:aa:aa:aa:aa:aa vio0 static 192.168.10.xxx 00:00:00:00:00:1x vio0 17m29s 192.168.10.xxx zz:zz:zz:zz:zz:zz vio0 18m15s 192.168.10.xxx 00:00:00:00:00:2x vio0 19m30s 192.168.10.xxx zz:zz:zz:zz:zz:zz vio0 19m23s 192.168.10.bbb bb:bb:bb:bb:bb:bb vio0 permanent l ← 自分自身 192.168.10.xxx zz:zz:zz:zz:zz:zz vio0 19m37s 192.168.10.xxx 00:00:00:00:00:3x vio0 19m43s 192.168.10.xxx 00:00:00:00:00:4x vio0 19m45s 192.168.10.xxx zz:zz:zz:zz:zz:zz vio0 19m41s 192.168.10.xxx zz:zz:zz:zz:zz:zz vio0 19m42s 192.168.10.zzz zz:zz:zz:zz:zz:zz vio0 20m0s ← 怪しいノード本体 192.168.10.xxx zz:zz:zz:zz:zz:zz vio0 19m43s 192.168.10.xxx zz:zz:zz:zz:zz:zz vio0 19m46s 192.168.10.xxx 00:00:00:00:00:5x vio0 19m58s 192.168.10.xxx zz:zz:zz:zz:zz:zz vio0 19m55s
192.168.10.zzz のarp解決結果がzz:zz:zz:zz:zz:zzであることは本体だから良いとして、それ以外の192.168.10.xxx のarp解決結果がzz:zz:zz:zz:zz:zzとなっているのは、怪しいノードに乗っ取られた結果となります。(偽装されてしまっている)
ゲートウェイの乗っ取りだけでなく、VPSノード側も含めこのセグメントが広範囲に汚染対象になっていることを示しています。
それは言い換えれば、自分のVPSも危ないわけですね。私はスタティックarpによって、私のVPSがゲートウェイを見失わないように対策しましたが、ゲートウェイが私のVPSを見失わないことを保障するものでありません。
気休めの対策になりますが、私のVPSからゲートウェイに対して定期的なpingを撃つようにcronを設定しました。(1分毎に5秒間隔で3発程度) 本来pingは処理負荷を発生させるものなので、無闇に撃つものではありません。しかし状況が状況だけに、今回は致し方なしということで。
主な狙いは
・arp学習を促すこと
・学習済みのarpキャッシュの更新(エントリから消さない)
・万一汚染されていた場合の上書き
です。本当に気休めかもしれませんが。
怪しいノードは抹殺されたようなので、頃を見てcronは消すことにします。
タグ:conoha
コメント 0