[connect24h:4575] Re: IPアドレスを詐称するワームについて

[Kensuke Nezu <nez@xxxxxxxxxxx>]

根津です。

Hiroaki Shindo wrote:
> > これは ISP が無知なだけでしょう。source address を詐称したパケッ
> > トを送ることは出来ますが，詐称したまま TCP/IP のセッションとして
> > 確立できましたっけ？

できます。通常の３ウェイハンドシェイクをだますのはちょっと大変ですけど、
ソースルーティング＋IP詐称なら、ちゃんとこういうのを弾く設定になっていない
ところはやられる可能性があります。

> ちょうど先ほど取れたてのバウンスされたワームですが、
> この場合、IP1A0288.fko.****.ad.jp [211.***.110.162]が送信者
> のはずだと私は思ってました。
> （これは正しいですよね）

括弧の中は一応、[by smtp.****.jp(Postfix)] をつけたところがIPアドレスから
逆引きした結果で名前を出していますが、それも

１．IPアドレスが詐称されている可能性がある
２．そのヘッダをつけたマシンが参照しているDNSのキャッシュが操作されている
　　可能性があるので、IPアドレスとFQDNが一致していない可能性がある

の２点の可能性があることは理解しておく必要があります。

従って、１００％クロではないので、「IPアドレスが詐称されている可能性が
ないわけではないことは承知しているが、当該時間にそちらのサーバの記録と
当該ユーザと思われるユーザのセッション記録をあたってほしい」という形での
調査依頼の形にしないと、冤罪になる可能性がないわけではありません。

-- 
------
根津 研介 日本Sambaユーザ会 / セキュリティ・スタジアム実行委員会 / (株)ファム
日本Sambaユーザ会      : http://www.samba.gr.jp
セキュリティスタジアム : http://www.security-stadium.org  ＜2002年もやります！>
ファムオープンソースセミナー : http://www.famm.jp
 ※日経ネットワークセキュリティ VOL.2 好評発売中
   http://nikkeibyte.com/Books/#NikkeiNetworkSecurity2

--[PR]------------------------------------------------------------------
　　　　　　　　　┏━┓┏━┓┏━┓┏━┓┏━┓　　★お肌ツルツル★
【HQCCゲルソン】で┃宿┃┃便┃┃を┃┃取┃┃る┃！　　★痩せ痩せ★
　　　　　　　　　┗━┛┗━┛┗━┛┗━┛┗━┛　　★体調ＧＯＯＤ★
　 腸内洗浄！先着500名様500セット限定商品！急げ!!
 http://ad.freeml.com/cgi-bin/ad.cgi?id=bktAt  宿便は諸悪の根源!!
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online  www.gmo.jp