[stalk:01290] Re: Honeynet Project

["shikap@xxxxxxxxxxxx" <shikap@xxxxxxxxxxxx>]

しかＰです。

At 10:11 AM +0900 02.6.4, MICKY wrote:
>不思議なUDPパケットを解析して目的を調べるんだそうな。

早速落として眺めましたけど・・・IRCパケットうざい（苦笑

問題のUDPパケット、確かに脈絡なさそうですねぇ。
・・・っていうか、フィンガープリントは成功したか？って
質問をされても、UDPで、しかもあんなパケットで
フィンガープリントできたっけ？って言う疑問が・・。
＃うぅ、へたれ１００％（;_;)

TTLを見ると150台と190台、それに220台があるんで、
なんとなく別マシーンでIPスプーフして一斉にスキャン、
って感じがするんですが、そんなのはいくらでもスプーフ
できるんだろうから、同一マシンの可能性高そう。

少なくとも、IPアドレスのレンジが狭いので、きっと
アタッカーは帰りパケットをスニファで取り込むことを
前提にしているんだと思うんですが。

ランダムIPアドレスを使うことで、きっとIDSの監視を
逃れようとしたんでしょうけれど、なんでランダムポート
なのかが今一理解不能。IDS対策もあるんでしょうが・・。

UDPのポートアンリーチャブルってOSによって大きな
癖ってありましたっけ・・・ってXprobeで使っている
か、その手法。
だから、UDPのオープンポート「でない」ポートに対して
UDPスキャンをかければ、ある程度のOSフィンガープリント
が可能かも知れない。ICMPが帰っていれば。
だからこそ、使ってなさそうなポートをランダムに
調べることで隠匿をねらったのかも知れないっすね。

ま、UDPに関してはこれくらいしかへたれにはわかりません。
そもそもあっているかどうかは非常に怪しい(^^;

ということで。
--
- このメイリングリストに関する質問・問い合せ等は
- <security-talk@xxxxxxxxxx>までお知らせください
--
------------------------------------------------------------------------
　　　　　　　　★熱気むんむん。ゴールの瞬間を見逃すな！
　　   　　　　    http://ap.infoseek.co.jp/Wcup4.html