2006年9月22日

[users 6842] Re: ハッキングされてしまったのですが

やまぐちです。

> > ポートスキャンって1台1台かけてると結構時間がかかるんですよね。
> > 攻撃者がポートスキャンする場合、アドレスレンジを指定して自動的に
> > スキャンかける場合が多いのですが(今までの運用経験上です)、
> > レンジが広いとこれまた時間がかかります。
> 時間がかかる。
> パケットをDropしている場合ですよね = ICMP

> 単純にRejectしている場合は、そこそこのプログラムでも時間はかからないと
> 思いますよ。
> ましてや、マルチスレッド・非同期通信で簡単に数百台ぐらいは(リソースによ
> る)
> ほぼ並行で検査できます。

これは、SYNスキャン等のポートスキャンが時間がかかるという話です。
1〜65535までスキャンしていると結構時間がかかりますので。

また、rejectとおっしゃっていましたが、一般的にFWでは
パケットをdropする事が多いのではないでしょうか。


> > そこで、まずpingスキャンをして稼動ノード、できればトポロジを判別して
> > それから攻撃対象を絞り込みポートスキャンする手口があります。
> すみません。理解できません。
> nmap でも -P0 オプション 商用でISS製品 eEye製品などでも・・・・
> いやいや ping でトポロジをどうすれば判定できるのでしょうか?
> 私の知っている範囲であれば traceroute なら理解できます。

pathpingを使ったり、replyのTTLを見れば大体のトポロジが
分かることもあります。


> > ポート変更に関しては私は何も申し上げてません。
> > 室谷さんと同じ考えです。
> ごめんなさい。私の勘違い連発です(^^;

ちょっとゴチャゴチャしていて分かりにくかったですもんね:)

> > Fedoraの話題から結構離れてしまいましたね。
> いえいえ、FC がクラックされたのですから大切なお話だと思います。
>

対策という意味ではFCに特化した話じゃなくなってきてしまいましたね。


> やまぐちさんに悪意を持って書いている訳ではありません、そこは
> ご理解いただければ幸いです。

室谷さんのメールを見ていればそこはわかりますよ^^

あと、先のメールでゃpingスキャンを例に出して書かせて頂きましたが、
icmpエラーメッセージでOSの判別をする方法もあります。
RFC1812と実際に挙動を比べてOSを判別するとかですね。
# Linuxカーネルは、Distination Unreachableメッセージの生成を4秒毎に
# 80個までに制限していたりします


ではでは

------
Masanori YAMAGUCHI
captain-picard-195@xxxxx
AIS
http://ais-jp.biz

_______________________________________________
users mailing list
投稿先アドレス: mailto:users@xxxxx
総合案内: http://fedora.jp/mailman/listinfo/users
過去の投稿の検索: http://fedora.jp/kabayaki/

投稿者 xml-rpc : 2006年9月22日 22:27
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/46347
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。