2006年9月22日

[users 6840] Re: ハッキングされてしまったのですが

やまぐち様

室谷です。

> ただ、死活判断を行う方法は色々あるとは思いますが、
> 運用上必要のない通信であるのならば遮断してしまい、
> 当該通信を使った死活判断を行えなくすることでリスクを
> 軽減することも必要なのでは?と言いたかったのです。

その通りだと思います。ここは私の勘違いでした。

> ポートスキャンって1台1台かけてると結構時間がかかるんですよね。
> 攻撃者がポートスキャンする場合、アドレスレンジを指定して自動的に
> スキャンかける場合が多いのですが(今までの運用経験上です)、
> レンジが広いとこれまた時間がかかります。
時間がかかる。
パケットをDropしている場合ですよね = ICMP
単純にRejectしている場合は、そこそこのプログラムでも時間はかからないと
思いますよ。
ましてや、マルチスレッド・非同期通信で簡単に数百台ぐらいは(リソースによ
る)
ほぼ並行で検査できます。

> そこで、まずpingスキャンをして稼動ノード、できればトポロジを判別して
> それから攻撃対象を絞り込みポートスキャンする手口があります。
すみません。理解できません。
nmap でも -P0 オプション 商用でISS製品 eEye製品などでも・・・・
いやいや ping でトポロジをどうすれば判定できるのでしょうか?
私の知っている範囲であれば traceroute なら理解できます。

> 上記の手口の場合には、icmp(echo/request)を遮断しておけば
> 攻撃対象に含まれなくて済む可能性が高くなり、その分リスクは
> 軽減されます。
これは理解できます。trace するって事ですね。

> ポート変更に関しては私は何も申し上げてません。
> 室谷さんと同じ考えです。
ごめんなさい。私の勘違い連発です(^^;

> Fedoraの話題から結構離れてしまいましたね。
いえいえ、FC がクラックされたのですから大切なお話だと思います。

やまぐちさんに悪意を持って書いている訳ではありません、そこは
ご理解いただければ幸いです。


_______________________________________________
users mailing list
投稿先アドレス: mailto:users@xxxxx
総合案内: http://fedora.jp/mailman/listinfo/users
過去の投稿の検索: http://fedora.jp/kabayaki/

投稿者 xml-rpc : 2006年9月22日 00:54
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/46464
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。