2006年9月20日

[users 6827] Re: ハッキングされてしまったのですが

大里です。

On Wed, 20 Sep 2006 10:09:35 +0900
mori <mmmd6@xxxxx> wrote:

> > 単純によくある間違いの部類に入る気がしますが、
> > それとも敢えて *全部の種類の ICMP を* 蹴る意味があるんでしょうか?
>

> 恐らく、Echo RequestやEcho Replyだけ止めればいいというご指摘かと思い
> ます。pingやtracerouteで攻撃対象サーバーが再起動されたことを知られるの
> を防ぐためだけですので、本来全部止める必要は無いと思います。

何かよく分からないのですが、ping や traceroute を使って対象ノードの生
き死にを知ることは、*悪いこと*なんですか?
普通は再起動して生き返ったら知って欲しい。でないといつまでも死んでると
思われたりしません? 死んだふりをしたい特別な理由があるなら別ですが。
ネットワーク管理者はどうやってルータやサーバを管理したらいいんでしょう。

> ちょっと本題とずれてしまって申し訳ないのですが、外部からDMZへのicmp
> 全部を止めた場合、起こりうるトラブルを教えて頂けないでしょうか?

当然ですが icmp を使うもの全てが影響を受けます。
例としては、destination-unreachable の fragmentation-needed をフィルタ
してしまったために、NTT-flets 網に繋がった NAT の奥にある host 同士で通信
できなくなったりとか。
ipfwadm の昔は不可能でしたが、ipchains 以降ならば、icmp のサブタイプ
コード単位で制御はできます。

--
kazz

_______________________________________________
users mailing list
投稿先アドレス: mailto:users@xxxxx
総合案内: http://fedora.jp/mailman/listinfo/users
過去の投稿の検索: http://fedora.jp/kabayaki/

投稿者 xml-rpc : 2006年9月20日 17:43
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/46240
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。