[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[connect24h:2816] Re: port scan 1回でも攻撃とみなすか?
- To: <connect24h@xxxxxxxxxx>
- Subject: [connect24h:2816] Re: port scan 1回でも攻撃とみなすか?
- From: "他力本願堂" <tarikihongandou@xxxxxxxxxxx>
- Date: Sat, 16 Feb 2002 01:57:45 +0900
たりきです。ちょっと手法に注目しすぎたかなあ。
----- Original Message -----
From: <kobayasi@xxxxxxxxxxxxxxxxxxxx>
Sent: Saturday, February 16, 2002 12:42 AM
Subject: [connect24h:2811] Re: port scan 1回でも攻撃とみなすか?
> >> まずいと思います。検索サイトの運営に際しては対策をして欲しいと思いま
す。
> >
> >事実上不可能でしょう。フリースペースに無数のアカウントを
> >取って、そこから10個程度探したらどうなるんでしょ。
>
> いえ、account 単位ではなく web server 単位で閾値を設定してはどうかという
となると、たとえば GeoCityes のようなサイトのサーバ、です
から、わかりやすいとこではドメイン単位でしょうか。
となると、膨大なユーザ全体でデッドリンクが許されなくなり
ますね。一人あたり何件まで許可できるんでしょうか。
> >デッドリンクを避けるひとつの方法として、公開されているサーバ
> >だけを対象にする方法があります。
>
> ええと、検索エンジンに address block への総当りをやらせるという話でした
> よね。それとこの文がどう関係するかわかりません。
ですから、ええと、プロパイダがユーザに割り当てるような、
サーバが立てられているとは思えないものを除去できるわけ
です。
これだけでもデッドリンクは避けられます。
また、「リンクページの20%が死んでいたら」といったフィルタを
かけて検索を止めようとしても同様に生きているとハッキリ
わかるサイトへのアドレスを含めておけば回避できます。
言葉足らずでした。
> どの程度の規模の address block で試されました?
うちのリンクですんで、少ないです。
> 私が想定していた「実験」は、ある程度の規模のセグメント(数百ぐらい?)の
> address を他力さんが書かれていたように羅列したページをどこかに作り、
そこまではやってません。
Google の扱いがよくわかんないんで、うまく BOT を誘導する
自信もなくてヽ(´д`;)ノ
> 攻撃者が 80 番にバックドアを作るような virus 等をばら蒔いたあと、どこにあ
る
> かわからないその感染マシンを探す手段を与えてしまわないか? ということで
す。
脆弱性のスキャンはグレイゾーンでしょう。その後の攻撃に
直結しますし、ユーザの自衛手段でもあります。
単純にサービススキャンしただけでは脆弱性の存在などは検出
されませんよね。
私が例示したものは、せいぜいスキャン元を隠すくらいの効果
しか出せないと思います。
本質的にはブラウザで URL 入れて歩くような方法とかわりま
せん。
ツールとして BOT を利用させていただくだけで、80番相手の
広域スキャンが可能であることには変わりなく、代替の手法は
いくらでもありますので検索サイト側での対策というのは本質
的には何ら解決にはなりません。
> もし検索エンジンが対策をしていなければ、cracker に結構強力な武器を与えか
> ねないと思うのですが、いかがでしょうか。
よくある大阪弁変換ゲートウェイなども使えるかも。
根本的には、NET からアクセスできるサーバは
・その存在
・動いているネットワークサービスの存在
・それらのバージョン
あたりまでは公開情報で、さらに
・認証などでアクセス制限されていない WEB サイト/ドキュメント
も公開情報として認識するべきです。
で、そこにアクセスされたからといって問題視するのはどうかと。
脆弱性のスキャンにしても、対策さえしていれば鬱陶しいものの
実害はありませんし。
つまりは、誤解を招くようなアクセス/スキャンが問題なのでは
なく、その程度のものを誤解してしまうような運用してるサーバ
と、誤解する程度の管理者が問題なわけです。
ややこしくなるのを避けるために一応書いておきますが、
DDoS やら連続リロードは別物です。そりゃ明らかに悪意が
ありますから。
こういったものを「やるのはカコワルイよねー」という風潮に
なってくれればいいかも。
ただ、LAN なんかだとコリジョン多発したりして迷惑がかかる
かも知れないので、必要なときにあらかじめ告知するくらい
してから作業したほうがいいですよね。
もちろん、それが通るのはたぶん管理者の作業でしょうし、
そのへんは各組織でポリシーをしっかり適用すればOKOKで
しょう。
> >では、BOT を使わない方法なんてのも。
> >昨年2ちゃんねるで騒動となった fusianasan トラップ。
>
> でも、これは欠陥として認識されて既に対策が施されましたよね。
> まだでしたっけ? 仮にまだだとしても技術的に対策は可能ですし。
一般のユーザがどれだけ対策してくれるかという問題が
あります。
経験上、パッチ当てるという作業はあまりやってくれないよう
です。Windows Update を利用していても完全ではありません。
デフォルトで利用している、メーカ品のクライアントの場合、
Windows Update をそのまま適用しているだけでは改善されない
欠陥もあります。
手元で確認したところ、Word が RTF ファイルのテンプレート
に含まれたマクロを実行する欠陥は Windows Upodate では
改善されませんでした。
また、最新のパッチでも対策されていない欠陥もあるようです。
> 問題は欠陥が発見された後にそれを是正するか(或いは是正が可能か)どうか
> ですよね。
欠陥が発見されたこと自体を知らないことが最大の問題かも。
(このへんOFF TOPIC ですね)
他力本願堂本舗--------------------------
http://tarikihongandou.shadowpenguin.org
Mailto:tarikihongandou@xxxxxxxxxxxxxxxxx
tarikihongandou@xxxxxxxxxxx
--[PR]------------------------------------------------------------------
☆ 本物の教材が欲しい方!! 【TOEICリスニング満点】☆
「NHKやさしいビジネス英会話」「イングリッシュ・ジャーナル」等の広告
でおなじみの、実績No.1を誇る英語教材「スーパーエルマー」。 300時
間程度の学習でOK。1日1時間、300日で聴こえる鋭い耳を作ります!!
http://ad.freeml.com/cgi-bin/ad.cgi?id=aJl2H
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online www.gmo.jp