[connect24h:2839] Re: port scan １回でも攻撃とみなすか？

[kobayasi@xxxxxxxxxxxxxxxxxxxx]

こばやしです

In message <OE19ENwDGNppWUA8DiZ0001cd15@xxxxxxxxxxx>
tarikihongandou@xxxxxxxxxxx wrote:
 >それこそ、直 IP アドレスな表記されたアンカータグは追跡
 >しないようにすればいいって話になるわけです。これだと。

もちろんそうですが、実際に直 IP address なページが検索エンジンのデータベース
に載っているという事実がありますので、dead リンクの上限という事を考えました。

 >そもそもの話題は「80番相手のスキャンってどうよ」で、感情的
 >にイヤだとかたいしたことないんじゃないの？とかでしたよね。

いえ、[connect24h:2774]の前段における私の主張は「検索エンジンの BOT は
address block 総当りをしない」です。そして、それに対して[connect24h:2777]
において他力さんが反例を提示されました。そこで私は検索エンジンはそれへの
対策をしているorするべきでは? と思い、その理由と方法について考えてみたわけ
です。

 >で、「嫌がろうがなんだろうがそもそも区別つかないスキャンも
 >できる」ってことでBOTスキャンを例示したわけです。
 >例示した私からすれば、BOTスキャンが対策されたって痛くない。

だとすれば、[connect24h:2774]へのフォローとしては書いていただきたくなかった
です。

 >いくらでも代替手段はありますし、全てのBOT型エンジンが対策
 >するまでは有効な手法です。そして全てが対策すると思うか？
 >と問われれば、NO と答えます。

大手のサイトが対策すれば十分だと思います。非力な検索サイトは攻撃者にとって
も実用的な武器足り得ません。

ところで、私は既に対策は行なわれていると思っています。スキャン云々は別にし
ても、無効な URL で満されたページを吐き出し続けるようないたずら CGI は簡単
に作れます。検索サイトの BOT たちがそのようないたずらに付き合ってリソースを
浪費しているとは到底思えません。このような CGI への対策が成されていれば、同
時に他力さんの例示されたものへの対策になっています。

 >スキャンを防止しようとしても、いくらでもスキャンする方法は
 >あるわけですから無駄になります。

私は検索サイトを悪用したスキャンとして、数千万から数億個の IP address への
総当りを想定していました。これ程の規模のスキャンがそう簡単に可能だとは思い
ません。

 >それに、例示した貸与アドレス空間はホストが入れ替わります
 >ので、検索のBOTの反応速度ではそもそも役に立たないでしょう。

定額接続の普及に伴って DHCP や IPCP を利用していながら、何か月にもわたって
IP address が変らないようなホストが増えているのではないかと思います。
また、YahooBB のように同一 MAC address にはなるべく同じ IP address を振るよ
うな実装を利用しているとおぼしきサービスもあります。

 >他の方法として、CGI が使えるサーバに匿名でサインアップして
 >スキャナを置くとかできますね。

そのようなスキャナが数億個の IP address への総当りを行えるとは思えないです。
-- 
KOBAYASHI Yoshiaki

--[PR]------------------------------------------------------------------
◆◇◆野村ファンドネット証券は投資信託専門のオンライン証券会社◆◇◆
　　そろそろ投資をお考えですか？「ツミタテルーム」は月々１万円で
　　気軽にファンドが買えます。購入代金は自動引落しで手間いらず。
　　インターネットやお電話でお手続きも簡単です。詳しくはこちらへ。
 http://ad.freeml.com/cgi-bin/ad.cgi?id=aJqDR
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online  www.gmo.jp