[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[connect24h:2822] Re: port scan 1回でも攻撃とみなすか?
- To: <connect24h@xxxxxxxxxx>
- Subject: [connect24h:2822] Re: port scan 1回でも攻撃とみなすか?
- From: "他力本願堂" <tarikihongandou@xxxxxxxxxxx>
- Date: Sat, 16 Feb 2002 11:00:25 +0900
たりきです。
----- Original Message -----
From: <kobayasi@xxxxxxxxxxxxxxxxxxxx>
Sent: Saturday, February 16, 2002 2:52 AM
Subject: [connect24h:2818] Re: port scan 1回でも攻撃とみなすか?
> 直 IP address 羅列への対策ですから、hostname によるリンクが dead であって
も
> カウントする必要はないので、それほど厳しい条件ではないと思うのですが。
ええと、スキャンの手法やその手法への対策ではなくて。
それこそ、直 IP アドレスな表記されたアンカータグは追跡
しないようにすればいいって話になるわけです。これだと。
> >サーバが立てられているとは思えないものを除去できるわけ
> >です。
>
> 正にこのようなホストがバックドア探索や無自覚放置サーバ探索の対象ですから
バックドアの検索を行うならそうでしょう。しかし、エラーページ
を利用するなどしてサーバそのものの情報を得ようとした場合
にはそもそも存在しない(かもしれない)アドレスは除外できる
わけです。
単に何を狙うかで的が変わるだけですね。
> そうですね。正当な公開サーバへの 直 IP address リンクを混ぜるという手が
> ありますので、割合ではなく無効な直 IP address リンクの絶対数での閾値を
> 設定する必要があると思います。
ちょっと食い違っているかも。
そもそもの話題は「80番相手のスキャンってどうよ」で、感情的
にイヤだとかたいしたことないんじゃないの?とかでしたよね。
で、「嫌がろうがなんだろうがそもそも区別つかないスキャンも
できる」ってことでBOTスキャンを例示したわけです。
例示した私からすれば、BOTスキャンが対策されたって痛くない。
いくらでも代替手段はありますし、全てのBOT型エンジンが対策
するまでは有効な手法です。そして全てが対策すると思うか?
と問われれば、NO と答えます。
> いえ virus ばら撒き作戦の場合、この時点で侵入はなんらかの受動的攻撃に
> よって(何処かで)成功しているわけです。攻撃者がやりたいのは何処に儀牲者
> がいるかを探すことです。
この点については、スキャンして探す攻撃者よりも感染した事
に問題があるわけです。
スキャンを防止しようとしても、いくらでもスキャンする方法は
あるわけですから無駄になります。
それに、例示した貸与アドレス空間はホストが入れ替わります
ので、検索のBOTの反応速度ではそもそも役に立たないでしょう。
> ええと、ちょっと話がすれ違ってしまっているような気がするのですが、私が
> 問題にしている「攻撃者」は自分がばら蒔いた virus が膨大な address 空間の
> どこかに作ったバックドアを探そうとしています。
> 彼はそのために自分をネットワーク資源を費やしたくないでしょうし、十分な
> リソースを持っているとは限りません。(特に匿名性を維持したい場合には)
> そこでその膨大な量の探索(総当り)を検索サイトに肩代わりさせようというわ
> けです。
特定の事件を想定するなら、その検索サイトからのアクセスを
一時的にブロックすることで対策できるでしょう。
他の方法として、CGI が使えるサーバに匿名でサインアップして
スキャナを置くとかできますね。
検索サイトでの対策は事実上無意味でしょう。
> 検索サイトの悪用によって、彼(攻撃者)が本来持ち合わせていないはずの強大な
> 探索能力を手にしてしまうのではないかということです。
これは他のホストの使い方をナナメに考えればいろいろ思い
つくので、検索サイトに対策を求めて効果を期待するのは
ちょっと辛いでしょう。
> >よくある大阪弁変換ゲートウェイなども使えるかも。
>
> docomo.ne3.jp とかでしょうか。
個人で設置されてる方もおられますね。
> すみません、明示しなかったので誤解を招いたかもしれませんが、この
> メールや[connect24h:2791],[connect24h:2811]では検索サイトの悪用
> の可能性とそれへの対策に絞って議論しているつもりです。
> (他のメールでは scan 云々についての議論も続けていますが)
ああ・・・了解。
検索サイト利用の可能性は多いにあるでしょうね。BOT を使う
だけでなく、現状でさえ i mode ショップサイトの事例で解るように
検索するだけでデータファイルが漏れていたりします。
それを狙うことも可能になってきますし。
単純に HTML・画像系・ドキュメント系の三種以外へのリンクは
追跡しない、といったものでもいいかも。
ただ、管理者なら外部に泣きつくなよ、と思いますけどね。
たとえバックドア探しにBOT使われたとしても、そもそも感染し
なければいいわけだし除去できればいい。
大規模に検索して効果が期待できるほどに広まったウイルス
なら必ず人目につきます。それを即時対策しないのが問題。
検索サイトは単に利用されるだけでサイトそのものに責任を
負わせるのはちょっと筋違いなんじゃないっすか?
匿名ったって結構簡単にどうにかできますし。
> バックドアを作られてしまう利用者に問題があるのはもちろんですが、だから
> といって cracker に便利な道具を提供してしまうのもまずいと思うのです。
インターネット自体が便利な道具です。とか言ってみる。
それは冗談としても、ひとつの事例に対してどうにかしよう、と
いうのは徒労に終るような気がします。
前提として堅牢なネットワークを構築するとして、
・単なるスキャン(Well known なポートへの TCP Full connect)
は放置してもかまわない
・バナー取得くらいならどうってことない
・脆弱性スキャンくらいどうってことない
くらいの感覚でいて、その上で
・DDoSは許さん
・DoSも許さん
など、実被害が想定できる攻撃には対応すれば良い。
そこに第三者のサーバがあるかどうかは問題じゃないわけです。
もちろん、踏み台にされてるかも知れないんで追跡調査はします
けれども。
他力本願堂本舗--------------------------
http://tarikihongandou.shadowpenguin.org
Mailto:tarikihongandou@xxxxxxxxxxxxxxxxx
tarikihongandou@xxxxxxxxxxx
--[PR]------------------------------------------------------------------
あの人気のPC、商品券などが・・・!!!
お申込みは今すぐ→ http://www.freeml.com/ctrl/html/UserRegForm
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online www.gmo.jp