[connect24h:2670] Re: 自宅サーバ運用者の知識

[hama <hamamoto@xxxxxxxxxxx>]

はまもとです。

> 　うえのです。

どうも。

> > ポートスキャンには少なくとも二種類あって、
> > 1)一つのサーバの0-65535をサーチするのと
> > 2)特定のポート（例80番とか）をセグメント丸ごとサーチ
> > するのと二つあると思います。
> 
> 　１を「ポートスキャン」と呼ぶ事に抵抗は無いのですが、２も「ポートスキャン」と
> 呼ぶ事は一般的なのでしょうか。

一般的じゃないですかねぇ。

> 　「ポートスキャン」を「ポートをスキャンする」と解釈すると、ポートを固定して
> IPアドレスをスキャニングする行為を「ポートスキャン」と呼ぶのに若干の抵抗を
> 感じてます(^_^;)

私は広域スキャンなどという場合もありますね。

> 　この結果にケチをつけるつもりは毛頭無いのですが、実際どうなんだろう、と
> 思いまして。

実社会の、侵入行為の前準備としてのポートスキャンは2)のほうがよっぽど多いと
思います。個人でもパーソナルファイアウォールとかを使っていると、Backdoor系
の探索と思われる単一ポートのscanを良く受けます。
IDSのログとか見てると、クラスc単位で、特定ポートをなめるようにscanしていく
のが毎日のように観察されます。

反対に、1)のようなスキャンは、あることはありますが、iplogとかのログが爆発
して、すぐに行為がばれちゃいますから、あまり使われないような気がします。
もし、1)を使うとしても、インターバルをおいて４〜５日かけてゆっくりscanする
スロースキャンとかのテクニックと併用される場合が多いと思います。

ん？どっちが多いかという議論じゃなかったか。
用語としては、両方ポートスキャンというんじゃないか。ですかね。

> ＃↑Newnewsで似たような話題が進行してます…。

ちなみにNewnewsってどこです？


+---------------------------------------------------------------------
| はまもと
| ■関西でのネットワーク＆セキュリティ イベント@Random始動
| http://www.at-random.org/
| ■常時接続の宴（インターネット常時接続ニュースサイト）
| http://cn24h.hawkeye.ac/
| ■24 時間常時接続メーリングリスト開催中
| http://cn24h.hawkeye.ac/connect24h.html
| ■セカンダリDNS互助会
| http://cn24h.hawkeye.ac/dns.html 
+----------------------------------------------------------------------