2006年9月20日

[users 6831] Re: ハッキングされてしまったのですが

室谷と申します。
乱入失礼します。
幾許さんとのやり取りを見て、やまぐちさんに少しばかり教えていただきたいの
ですが.

2006-09-20 (水) の 23:07 +0900 に murasaki@xxxxx さんは書き
ました:
> 幾許です。

>
> On Wed, 20 Sep 2006 21:25:57 +0900
> Masanori YAMAGUCHI <captain-picard-195@xxxxx> wrote:
>
> >やまぐちです。
> >
> >> 何かよく分からないのですが、ping や traceroute を使って対象ノードの生
> >> き死にを知ることは、*悪いこと*なんですか?
> >
> >攻撃の事前準備の手法に、pingスキャナーという手法があります。
> >攻撃対象のネットワークトポロジーなどの情報を攻撃者に与えてしまう
> >可能性がありますので、中にはicmp、tracerouteを全て遮断している
> >ところもあります。
> icmp を全て叩き落とす事によって生じるかもしれない事象を勘案した上で
> 敢えて上記の様に していると言うのであれば、それを どうこう言う気は
> 無いのですが、その程度の事って icmp を全て弾く理由として充分ですかね?

ping(ICMP)だけがノードの死活を相手に教える訳ではないと思うのですが
その他の単純なポートスキャンでも死活は判断できると思います。
ご存知の通り nmap などを利用すればいろいろ死活判定はできます。
ましてや外部にオープンしているサイトはポートを開いてます。
即ち、ポートがオープン(誤解のないようにTCPなら SYN-> <-ACK/SYN)して
いるのですから死活は判定できます。

> >> 普通は再起動して生き返ったら知って欲しい。でないといつまでも死んでると
> >> 思われたりしません? 死んだふりをしたい特別な理由があるなら別ですが。
> >> ネットワーク管理者はどうやってルータやサーバを管理したらいいんでしょう。
> >
> >外部から生き返ったことが分かったら、再度攻撃者に狙われてしまう
> >可能性を懸念しているのでは?
> >攻撃者からは脆弱で"あった"ノードとして認識されていると思いますし。
>
> 狙われても支障が無いように構築・運用していれば何も問題は無い訳ですし。
> なので、icmp を全て塞いで死んだふりをしても意味が無いと思いますが、
> どうなのでしょうか。

そうですね。外部に公開しているのであれば開いているポートが存在します。
例えば 80 でしたら 8080 に変更するのでしょうか?
そうすれば、サイトを見にきてくれた善意の人は (:8080) をつける必要
があるのですが、それをどこで周知するのでしょう?
80 ポートでしょうか?

ごめんなさい。私には理解できません。


_______________________________________________
users mailing list
投稿先アドレス: mailto:users@xxxxx
総合案内: http://fedora.jp/mailman/listinfo/users
過去の投稿の検索: http://fedora.jp/kabayaki/

投稿者 xml-rpc : 2006年9月20日 23:37
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/46258
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。