[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[connect24h:01837] Re: WWW アクセスするとステルススキャンされる
- To: connect24h@xxxxxxxxxxxxx
- Subject: [connect24h:01837] Re: WWW アクセスするとステルススキャンされる
- From: Yoshiaki Matsushima <yo-matsu@xxxxxxxxxxxxxxxx>
- Date: Wed, 28 Feb 2001 22:26:16 +0900 (JST)
松島です。
"H.Kawaguchi" <kawa@xxxxxxxxxxxxxxxxxxxxxxx> さんが、
Wed, 28 Feb 2001 19:58:56 +0900 頃書いた、
[connect24h:01832] WWW アクセスするとステルススキャンされる への返信です。
kawa> ステルススキャンのログが気になって調べていたところ
kawa> http://www.interq.net/
kawa> http://www.interq.co.jp/
kawa> にブラウザでアクセスするとアクセス直後に interq よりステルススキャンが
kawa> かけられてきます。ログは以下のような感じになります。
kawa>
kawa> Feb 28 19:53:15 myhost snort[574]: spp_portscan: PORTSCAN DETECTED from 210.172.128.20 (STEALTH)
kawa> Feb 28 19:53:19 myhost snort[574]: spp_portscan: portscan status from 210.172.128.20: 1 connections across 1 hosts: TCP(1), UDP(0) STEALTH
kawa> Feb 28 19:53:23 myhost snort[574]: spp_portscan: End of portscan from 210.172.128.20: TOTAL time(0s) hosts(1) TCP(1) UDP(0) STEALTH
kawa>
家には来ないみたいですけど、このステルススキャンのパケットってどんな物
なのでしょう?、
家では、SYN AckのパケットのSEQが0と成っているだけで、普通のセッション
に見えるのだけど、途中何処かで落とされてて届いてないのかな・・・、
--
松島 義明 (yo-matsu@xxxxxxxxxxxxxxxx | matusima@xxxxxxxxxxxxx)