[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[connect24h:2811] Re: port scan 1回でも攻撃とみなすか?
- To: connect24h@xxxxxxxxxx
- Subject: [connect24h:2811] Re: port scan 1回でも攻撃とみなすか?
- From: kobayasi@xxxxxxxxxxxxxxxxxxxx
- Date: Sat, 16 Feb 2002 00:42:42 +0900 (JST)
こばやしです
もう少し考えてみたい話題なので宜しければもう少しお付き合い下さい。
In message <OE12vffB4Z8DSMvT6ov00003358@xxxxxxxxxxx>
tarikihongandou@xxxxxxxxxxx wrote:
>> まずいと思います。検索サイトの運営に際しては対策をして欲しいと思います。
>
>事実上不可能でしょう。フリースペースに無数のアカウントを
>取って、そこから10個程度探したらどうなるんでしょ。
いえ、account 単位ではなく web server 単位で閾値を設定してはどうかという
ことです。(フリースペースを提供している web server の数)×10 程度ではたい
した規模の探索はできませんよね。
>デッドリンクを避けるひとつの方法として、公開されているサーバ
>だけを対象にする方法があります。
ええと、検索エンジンに address block への総当りをやらせるという話でした
よね。それとこの文がどう関係するかわかりません。
公開されている server が robot の探索を受けるのは(robot の是非はともかく
として)当たり前ですよね。
>検索サイトから入手すれば良いんです。
既に検索サイトに登録されている server をさらに探索させても、攻撃者には
なんの利益もないと思うのですが。
>> なんでしょう? 自分の管理下にある address block を対象にして実験してしてみ
>た
>> 方とかおられます?
>
>生きているページは参照できました。完全にリンク先が全部
>リストされているわけではないので、実際に悪用するとしても
>効率は悪そうですが、メリットも大きい様子ですし。
どの程度の規模の address block で試されました?
私が想定していた「実験」は、ある程度の規模のセグメント(数百ぐらい?)の
address を他力さんが書かれていたように羅列したページをどこかに作り、
検索サイトの robot によるそのリストへの総当りが来るかどうかをそのセグメント
のゲートウェイで監視してみる、とうものだったのですが。
>ところで、これって本当に危険なんでしょうか?
攻撃者が 80 番にバックドアを作るような virus 等をばら蒔いたあと、どこにある
かわからないその感染マシンを探す手段を与えてしまわないか? ということです。
もちろん、フリーなメールサービスなどの匿名性の高い address に送信させるとい
う手が一般的でしょうが、この検索エンジンを使った方法のほうがよりリスクが低い
ですよね。
またこの方法を用いた場合の(悪意ある者にとっての)利点として次のようなものも
考えられます。
感染すると検索エンジンにアクセスして、上記のバックドア持ちホストを探し、
そのバックドアにアクセスして攻撃者からの「指令」を受け取るような virus
を作ってばら撒くわけです。この場合、80 番 port しか使いませんから、途中
に firewall があっても(たとえ NAT の中でも)ブロックするのが難しいです。
この方法の(攻撃者にとっての)利点にはバックドアホストをハードコーディング
せずに済み、仮にひとつのバックドアが塞がれたとしても、クライアントウィルス
は検索エンジンを用いて次なるバックドアを見付けてしまうということも挙げら
れます。
もし検索エンジンが対策をしていなければ、cracker に結構強力な武器を与えか
ねないと思うのですが、いかがでしょうか。
>では、BOT を使わない方法なんてのも。
>昨年2ちゃんねるで騒動となった fusianasan トラップ。
でも、これは欠陥として認識されて既に対策が施されましたよね。
まだでしたっけ? 仮にまだだとしても技術的に対策は可能ですし。
問題は欠陥が発見された後にそれを是正するか(或いは是正が可能か)どうか
ですよね。
--
KOBAYASHI Yoshiaki
--[PR]------------------------------------------------------------------
◇◆◇★メールマガジン「日経ブッククラブ」でビジネスの潮流がわかる★◇
日本経済新聞社の新刊案内、サイン会、フェア情報を月2回無料でメール配信
旬の「ビジネス用語」解説も大好評!「ビジネス英語Q&A」も近々スタート予
ご登録は右記ホームページで→ http://ad.freeml.com/cgi-bin/ad.cgi?id=aJldH
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online www.gmo.jp