[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[connect24h:2807] Re: port scan １回でも攻撃とみなすか？

To: <connect24h@xxxxxxxxxx>
Subject: [connect24h:2807] Re: port scan １回でも攻撃とみなすか？
From: "他力本願堂" <tarikihongandou@xxxxxxxxxxx>
Date: Fri, 15 Feb 2002 23:30:52 +0900

たりきです。

----- Original Message -----
From: <kobayasi@xxxxxxxxxxxxxxxxxxxx>
Sent: Friday, February 15, 2002 6:54 PM
Subject: [connect24h:2791] Re: port scan １回でも攻撃とみなすか？


>  >これだとOKなの？
>
> まずいと思います。検索サイトの運営に際しては対策をして欲しいと思います。

事実上不可能でしょう。フリースペースに無数のアカウントを
取って、そこから10個程度探したらどうなるんでしょ。
デッドリンクを避けるひとつの方法として、公開されているサーバ
だけを対象にする方法があります。
そのリストはどこから入手すれば良いかは？

検索サイトから入手すれば良いんです。

> 例えば、同一サイトのコンテンツに一定以上の無効なリンクが含まれていた場合に
> はそこからのリンクを辿るのを中止し、そこから得られた情報はデータベースには
> 載せない、とか。

フリースペースに無限アカウントでも取って、10個や20個程度
先述の有効なサーバに対してアクセスさせたとしたら？
少なくとも WEB サーバは存在するわけで、エラーページくらい
は出力してきそうですね。
となると、404 や 500 を返してきたらデータを保持してはダメ
ってことになります。
となると、たとえば Google の「消えたページも一定期間内なら
キャッシュで参照できる」といったアドバンテージが失われます。
企業としてはそんなロスは嫌うでしょうね。

> なんでしょう? 自分の管理下にある address block を対象にして実験してしてみ
た
> 方とかおられます?

生きているページは参照できました。完全にリンク先が全部
リストされているわけではないので、実際に悪用するとしても
効率は悪そうですが、メリットも大きい様子ですし。

> 検索エンジンと同様の方法をとっても、悪意ある者の作成したページによって
> 広域無差別 80 番 port probe をさせられる危険があるのでそれに対する対策
> は必要でしょう。

ところで、これって本当に危険なんでしょうか？
PHP やサンプルスクリプトでファイル引っこ抜くとか、デフォルト
のまんまデータファイル置いておくとか、そういった間抜けな
実装をしてさえいなければなんてことないわけで。

では、BOT を使わない方法なんてのも。
昨年２ちゃんねるで騒動となった fusianasan トラップ。
アレの変種でスキャンアドレスを乱数で発生させて、さらに
結果を MSN メッセンジャートラップと同様に WEB メールや
BBS 書き込みといった方法で特定のホストに送信。

待ってるだけで脆弱なサイトのリストが得られます。
いまだに Document.Popup の穴は残ってる様子ですし、こういう
手法を利用されたら困りそうですね。
うまくやれば、Cross Site Scripting をトリガに使って無差別に
砲台を準備できるかも。

個人的には、たかがスキャンくらいで慌ててくれる管理者は
その管理者自体が DDoS に弱いといった感じで萎えます。
そっちに手間とられてくれたら他の本命攻撃がやりやすい。
NIDS に対する STICK みたいに使えますよね。

他力本願堂本舗--------------------------
http://tarikihongandou.shadowpenguin.org
Mailto:tarikihongandou@xxxxxxxxxxxxxxxxx
        tarikihongandou@xxxxxxxxxxx

--[PR]------------------------------------------------------------------
■□□格安情報がい～っぱい！！納得・満足のホテル予約サイト！□□■
電話・ＷＥＢ・i-mode対応で、いつでもどこでも簡単にホテル予約が可能！
　　　「わがまま予約」であなたの希望もかなえてもらえるかも？！
更に５０％ＯＦＦなどの割引情報が目白押し！さぁ今すぐサイトへＧＯ★
 http://ad.freeml.com/cgi-bin/ad.cgi?id=aJk4u
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online  www.gmo.jp

Follow-Ups:
- [connect24h:2811] Re: port scan １回でも攻撃とみなすか？
  - From: kobayasi

References:
- [connect24h:2791] Re: port scan １回でも攻撃とみなすか？
  - From: kobayasi

Prev by Date: [connect24h:2806] Re: port scan １回でも攻撃とみなすか？
Next by Date: [connect24h:2808] Re: port scan １回でも攻撃とみなすか？
Previous by thread: [connect24h:2820] Re: port scan １回でも攻撃とみなすか？
Next by thread: [connect24h:2811] Re: port scan １回でも攻撃とみなすか？
Index(es):
- Date
- Thread