VPC의 복습/처음에 정리

사양적으로는 이하의 기술이 모두이며, 이번의 검증 결과도 이하의 기술의 내용을 확인하는 내용이 되어 있다.

소스/대상 검사를 비활성화하면 인스턴스의 IP 주소 이외의 소스/대상 패킷도 송수신 할 수 있습니다

Network Address Spoofing
Network MAC addresses are dynamically assigned to Amazon Elastic Compute Cloud (Amazon EC2) instances by the AWS network infrastructure. IP addresses are either dynamically assigned by the AWS network infrastructure or statically assigned by an EC2 administrator through authenticated API EC2 instances to send traffic from IP and MAC addresses specifically assigned to them, or the traffic will be dropped.
By default, AWS also protects EC2 instances by treating an instance as a standalone network host, not a router or network gateway, and drops any traffic not specifically addressed to the instance. Customers who need EC2 network applia or firewall services can change this default behavior by disabling the Source/Destination Check attribute and configuring VPC route tables to send outbound traffic through the network appliance.

VPC Security Capabilities – AWS Answers htps : // 아 ws. 아마존. 코 m / jp / 안수 rs / 네토 ぉ r g / vpc - 세키 ty 카파비 치에 s /? 응 c1=h_ls

검증 구성, 검증 내용

VPC 내 EC2 인스턴스 x 2

ICMP 소통 확인

소스 IP 주소를 가장할 수 있는지 확인 (hping 사용)

대상 IP 주소를 가장 (?) 할 수 있는지 확인 (ARP 캐시를 변수하고 올바른 MAC 주소에 대해 잘못된 IP 주소를 지정하고 패킷이 대상에 도착했는지 확인)

명령 예

소스 IP 가장

$ sudo hping -C 8 -a [偽装した送信元IPアドレス] [宛先IPアドレス]

대상 IP 가장(또는 대상 호스트의 IP 주소가 아닌 IP 주소로 전송. MAC 주소는 대상 호스트)

요점은 라우터를 통해 다른 호스트로 전송하는 것과 같지만, 이번에는 목적지 IP 주소를 VPC 내의 주소로 해보자.

$ sudo arp -s [宛先IPアドレス（実際には無いアドレス）] [MACアドレス（）] -i eth0

결과

기본 상태에서는 두 경우 모두 대상 호스트에 도착하지 않습니다.

클라이언트 측에서 소스 확인을 비활성화하면 소스 IP를 가장하는 패킷이 대상 호스트에 도착합니다 (단, 응답 할 때 대상 주소를 확인할 수 없기 때문에 응답이 실패합니다)

서버 측에서 소스 확인을 비활성화하면 자신의 대상이 아닌 패킷도 수신 할 수 있습니다. 자신에게 보내지 않기 때문에 자신은 응답하지 않습니다

아래 결과 표. 체크의 열은 「○」가 무효화. 접속성이 「→」는 송신에는 성공(응답은 실패).

관련

VPC에서 주소 확인 (ARP) 확인 (캡처 포함) - Qiita htps : // 이 m / 준 / ms / d6 5 A71689784 029f