2006年9月21日

[users 6834] Re: ハッキングされてしまったのですが

やまぐちです。

> ping(ICMP)だけがノードの死活を相手に教える訳ではないと思うのですが
> その他の単純なポートスキャンでも死活は判断できると思います。
> ご存知の通り nmap などを利用すればいろいろ死活判定はできます。
> ましてや外部にオープンしているサイトはポートを開いてます。
> 即ち、ポートがオープン(誤解のないようにTCPなら SYN-> <-ACK/SYN)して
> いるのですから死活は判定できます。


室谷さんのおっしゃるとおり、ポートスキャンしてしまえば死活判断は
行えますね。

ただ、死活判断を行う方法は色々あるとは思いますが、
運用上必要のない通信であるのならば遮断してしまい、
当該通信を使った死活判断を行えなくすることでリスクを
軽減することも必要なのでは?と言いたかったのです。


例えば、
ポートスキャンって1台1台かけてると結構時間がかかるんですよね。
攻撃者がポートスキャンする場合、アドレスレンジを指定して自動的に
スキャンかける場合が多いのですが(今までの運用経験上です)、
レンジが広いとこれまた時間がかかります。

そこで、まずpingスキャンをして稼動ノード、できればトポロジを判別して
それから攻撃対象を絞り込みポートスキャンする手口があります。

上記の手口の場合には、icmp(echo/request)を遮断しておけば
攻撃対象に含まれなくて済む可能性が高くなり、その分リスクは
軽減されます。

> そうですね。外部に公開しているのであれば開いているポートが存在します。
> 例えば 80 でしたら 8080 に変更するのでしょうか?
> そうすれば、サイトを見にきてくれた善意の人は (:8080) をつける必要
> があるのですが、それをどこで周知するのでしょう?
> 80 ポートでしょうか?
>

ポート変更に関しては私は何も申し上げてません。
室谷さんと同じ考えです。


Fedoraの話題から結構離れてしまいましたね。

------
Masanori YAMAGUCHI
captain-picard-195@xxxxx
AIS
http://ais-jp.biz

_______________________________________________
users mailing list
投稿先アドレス: mailto:users@xxxxx
総合案内: http://fedora.jp/mailman/listinfo/users
過去の投稿の検索: http://fedora.jp/kabayaki/

投稿者 xml-rpc : 2006年9月21日 01:27
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/46382
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。