[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[connect24h:03976] Re: code red

To: connect24h@xxxxxxxxxxxxxxxxxxxx
Subject: [connect24h:03976] Re: code red
From: Hiroyuki Yamashita <hiroya@xxxxxxxxxxxxx>
Date: Sun, 12 Aug 2001 02:23:39 +0900

  はじめまして。山下です。

> > 　アタックパターンを収拾するために生贄サーバを作ろうかと思ってる
> > のですが、Win2000で動くパケットキャプチャツールでディスクにパケ
> > ットダンプを吐き続けてくれるツールって何かお薦めありませんか?

> 新たにサーバを立てられるならCodeRedには安全なLinuxでtcpdumpなんでの
> はいかがでしょうか？何もWin2000にこだわらなくても良いと思います。
> それともWin2kで無ければならない理由があるのでしょうか？

  本物のWindows2000+IISだと感染後にアタックを開始するので、他から来るの
なんて待たなくてもバンバンサンプルが取れちゃうとか :-)

  ただ本当にアタックしちゃうと困るんで、生け贄Windows2000から出てくるdst
port 80のパケットは落とさないとまずいです。VMware+IP filter(+static NAT)
なら1台で済みそうです。

> 新規にインストールなら生贄用にもwin2kライセンスも必要となりますが:p

  120日限定試用版Windows2000+VMware Workstationの試用 :-p

-- 
山下博幸 <hiroya@xxxxxxxxxxxxx>


------------------------------------------------------------------------
　　　　　　　　　　☆え？！まだ終電、間に合うの！！！　　　　　　　　
 http://transfer.infoseek.co.jp/Trlast?pg=tr_last_top.html&svx=971122

References:
- [connect24h:03962] Re: code red
  - From: Murashima Syuichi
- [connect24h:03965] Re: code red
  - From: Taki.MR

Prev by Date: [connect24h:03975] Re: code red
Next by Date: [connect24h:03977] 放置サーバは
Previous by thread: [connect24h:03985] Re: code red
Next by thread: [connect24h:03721] 今度は。ＵＰＳ
Index(es):
- Date
- Thread