[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[port139ml:03923] Re: __Re:_Blasterって
- To: <port139ml@xxxxxxxxxxxxx>
- Subject: [port139ml:03923] Re: __Re:_Blasterって
- From: "Y. Sasaki" <gateway@xxxxxxxxxxxxxx>
- Date: Mon, 18 Aug 2003 12:11:31 +0900
> たしかに。
>
> % nslookup windowsupdate.com
>
> *** No address (A) records available for windowsupdate.com
>
> これによって、WindowsUpdate が困ったことになったりしないのかな?
私もそう思ったので、今朝からIEのWindowsUpdateの動作をキャプチャしてみて
いたところです。
下のようになりました。
1 WindowsUpdateをかける。
2 PCはDNS要求を送る。
[1]ドメイン名 : www.microsoft.com ←こうなってました。
[1]タイプ : 0x01 (Aレコード)
3 DNSから回答が来る。
[1]ドメイン名 : www.microsoft.com
[1]タイプ : 0x05 (CNAMEレコード)
[1]データ : www.microsoft.com.edgesuite.net
[2]ドメイン名 : www.microsoft.com.edgesuite.net
[2]タイプ : 0x05 (CNAMEレコード)
[2]データ : a562.cd.akamai.net
[3]ドメイン名 : a562.cd.akamai.net
[3]タイプ : 0x01 (Aレコード)
[3]データ : 64.215.166.116
[4]ドメイン名 : a562.cd.akamai.net
[4]タイプ : 0x01 (Aレコード)
[4]データ : 64.215.166.71
[5]ドメイン名 : a562.cd.akamai.net
[5]タイプ : 0x01 (Aレコード)
[5]データ : 64.215.166.119
[6]ドメイン名 : a562.cd.akamai.net
[6]タイプ : 0x01 (Aレコード)
[6]データ : 64.215.166.79
[7]ドメイン名 : a562.cd.akamai.net
[7]タイプ : 0x01 (Aレコード)
[7]データ : 64.215.166.70
[8]ドメイン名 : a562.cd.akamai.net
[8]タイプ : 0x01 (Aレコード)
[8]データ : 64.215.166.68
[9]ドメイン名 : a562.cd.akamai.net
[9]タイプ : 0x01 (Aレコード)
[9]データ : 64.215.166.118
[10]ドメイン名 : a562.cd.akamai.net
[10]タイプ : 0x01 (Aレコード)
[10]データ : 64.215.166.78
[11]ドメイン名 : a562.cd.akamai.net
[11]タイプ : 0x01 (Aレコード)
[11]データ : 64.215.166.69
4 で、どう選んだのか判らないのですがそのうちの一つに対してコネクション
を要求する。
(TCPのスリーウェイハンドシェイク)
送信元 IPアドレス : xxx.xxx.xxx.xxx
送信先 IPアドレス : 64.215.166.116
フラグ : 0x0002 (URG:0 ACK:0 PSH:0 RST:0 SYN:1 FIN:0)
(SYN/ACK,ACKは記載を省略)
5 本番のHTTPリクエストを送る。
[データ] 588 (588 オクテット)
47 45 54 20 2f 69 73 61 70 69 2f 72 65 64 69 72 GET /isapi/redir
2e 64 6c 6c 3f 70 72 64 3d 69 65 26 63 6c 63 69 .dll?prd=ie&clci
64 3d 30 78 30 34 31 31 26 70 76 65 72 3d 36 2e d=0x0411&pver=6.
30 26 61 72 3d 69 65 6e 65 77 73 26 6f 73 3d 4e 0&ar=ienews&os=N
35 20 48 54 54 50 2f 31 2e 31 0d 0a 41 63 63 65 5 HTTP/1.1..Acce
70 74 3a 20 69 6d 61 67 65 2f 67 69 66 2c 20 69 pt: image/gif, i
6d 61 67 65 2f 78 2d 78 62 69 74 6d 61 70 2c 20 mage/x-xbitmap,
:
:
6 レスポンスで、windowsupdate.microsoft.comへリダイレクトされる?
[データ] 617 (617 オクテット)
48 54 54 50 2f 31 2e 31 20 33 30 32 20 4d 6f 76 HTTP/1.1 302 Mov
65 64 20 54 65 6d 70 6f 72 61 72 69 6c 79 0d 0a ed Temporarily..
43 6f 6e 74 65 6e 74 2d 4c 65 6e 67 74 68 3a 20 Content-Length:
31 35 38 0d 0a 43 6f 6e 74 65 6e 74 2d 54 79 70 158..Content-Typ
65 3a 20 74 65 78 74 2f 68 74 6d 6c 0d 0a 4c 6f e: text/html..Lo
63 61 74 69 6f 6e 3a 20 68 74 74 70 3a 2f 2f 77 cation: http://w
69 6e 64 6f 77 73 75 70 64 61 74 65 2e 6d 69 63 indowsupdate.mic
72 6f 73 6f 66 74 2e 63 6f 6d 2f 0d 0a 53 65 72 rosoft.com/..Ser
76 65 72 3a 20 4d 69 63 72 6f 73 6f 66 74 2d 49 ver: Microsoft-I
49 53 2f 36 2e 30 0d 0a 50 33 50 3a 20 43 50 3d IS/6.0..P3P: CP=
:
:
0a 43 6f 6e 6e 65 63 74 69 6f 6e 3a 20 6b 65 65 .Connection: kee
70 2d 61 6c 69 76 65 0d 0a 0d 0a 3c 68 65 61 64 p-alive....<head
3e 3c 74 69 74 6c 65 3e 44 6f 63 75 6d 65 6e 74 ><title>Document
20 4d 6f 76 65 64 3c 2f 74 69 74 6c 65 3e 3c 2f Moved</title></
68 65 61 64 3e 0a 3c 62 6f 64 79 3e 3c 68 31 3e head>.<body><h1>
4f 62 6a 65 63 74 20 4d 6f 76 65 64 3c 2f 68 31 Object Moved</h1
3e 54 68 69 73 20 64 6f 63 75 6d 65 6e 74 20 6d >This document m
61 79 20 62 65 20 66 6f 75 6e 64 20 3c 61 20 48 ay be found <a H
52 45 46 3d 22 68 74 74 70 3a 2f 2f 77 69 6e 64 REF="http://wind
6f 77 73 75 70 64 61 74 65 2e 6d 69 63 72 6f 73 owsupdate.micros
6f 66 74 2e 63 6f 6d 2f 22 3e 68 65 72 65 3c 2f oft.com/">here</
61 3e 3c 2f 62 6f 64 79 3e a></body>
という感じみたいです。
確かにwindowsupdate.microsoft.comはnslookupで正引きできます。
$ nslookup windowsupdate.microsoft.com
Server: xxxxxxxxxx.jp
Address: x.x.x.x
Non-authoritative answer:
Name: a822.cd.akamai.net
Addresses: 63.147.175.29, 63.147.175.14, 63.147.175.20
63.147.175.30, 63.147.175.21, 63.147.175.13
63.147.175.28, 63.147.175.11
Aliases: windowsupdate.microsoft.com
windowsupdate.microsoft.com.edgesuite.net
実は16日の0:30頃にもWindowsUpdateを実行してみたのですが、正常に動作して
いました(笑)でもこれって、ワームの亜種がこのままの手順を踏むように変更
されるとやっぱりだめってことでしょうか?
KeepAliveしないでWindowsUpdate.micorsoft.comの実態を見つけてからSYN
Floodするとか。
このレベルになってくると私の理解を超えているのですが。どなたか勘違いの部
分をご指摘いただけると嬉しいです。
////// 7th-avenue Security Community //////
// //
// Y Sasaki gateway@xxxxxxxxxxxxxx //
// //
////// http://www.7th-avenue.org //////