[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[connect24h:1109] ファイアウォールを越えてくるNimda原因判明しました
- To: <connect24h@xxxxxxxxxx>
- Subject: [connect24h:1109] ファイアウォールを越えてくるNimda原因判明しました
- From: Manabe Hirofumi <manabe@xxxxxxxxxxxxx>
- Date: Fri, 16 Nov 2001 23:43:23 +0900
まなべです。
AOLクライアントを起動している間にファイアウォールを越えてNimda
が攻撃してくる問題ですが、その後いろいろ自分なりに調べてみて
原因がわかりましたのでご報告します。
こちらの接続環境をもう一度説明しますと、RedHat Linux 6.2Jが動い
ているLinuxマシンをISDNダイアルアップルータ代わりにして、その
マシンに繋いだプライベートアドレスを持つマシンとの間でIPマスカ
レードしてます。でマスカレード内のマシンにNimdaがやってくるので
困っていたというところです。
まずNimdaが攻撃してくる瞬間のtcpdumpを採ろうと思ってルータマシン
のグローバルIPが割り振ってある側のインターフェースで
tcpdump -i ul0 | grep ipt.aol.com
としてモニタリングしてみました。ul0はルータ上のグローバル側の
インターフェース(ppxpを使っているため)です。ipt.aol.comは
apacheのログに記録されていた攻撃元のドメインです。で、しばらく
様子をみていたのですが、さっぱりなにも出力されません。なのに、
その間にAOLクライアントを起動中のマシン上で動いているapacheの
ログにはipt.aol.comドメインからの攻撃が記録されていました。で、
これはどう考えてもおかしいので、今度はそのAOLを起動中のMacOSX
上でtcpdumpを採ってみることにしました。そこでインターフェース
を確認しようと思ってifconfig -aしてみてびっくり。ppp0なんて
インターフェースができていました。
ははーんと思ってAOLクライアントを終了すると案の定ppp0インター
フェースは消えます。でもう一度起動するとppp0が現れました。で
AOLにサインオン(ログイン)するとppp0にグローバルIPが割り当て
られましたが攻撃元のIPのご近所さんでした。
で、Mac OS X上でtcpdump -i ppp0としてみるとAOLクライアントで
通信するたびに
xxxxxxxx.ipt.aol.com.29520 > berp-mdXX.dial.aol.com.13784
berp-mdXX.dial.aol.com.13784 < xxxxxxxx.ipt.aol.com.29520
てな感じで通信が行われているのがわかりました。xxxxxxxxは8桁の
アルファベット(a,b,c,d,eなどの組み合わせ)、XXは2桁の数字です。
で、このときに自分のマシンのドメインがxxxxxxxx.ipt.aol.comに
なってます。というわけですので、ipt.aol.comドメインの攻撃元
マシンは一般AOLユーザであることがわかりました。ちなみにAOL内
の通信自体は一対一で行われているようです。サインオンするたび
にxxxxxxxxとXXの部分は変わりますが、サインオン中には変わらない
みたいです。
一方AOLクライアントがAOLのサーバと通信している間、ルータ上で
はどう見えるのかというとルータとpppt-mXX.dial.aol.comとの間で
の通信という風に見えます。
210.xxx.xxx.xxx.user.da.il24.net.61832 > pppt-mXX.dial.aol.com.5190
pppt-mXX.dial.aol.com.5190 > 210.xxx.xxx.xxx.user.da.il24.net.61832
210.xxx.xxx.xxxはうちの固定IP、XXは数字2桁です。
こんな感じです。
で、そもそもの原因ですが、AOLにサインオン中のユーザ同士の通信
が筒抜けになっているようです。ですので誰かがNimdaに感染してい
るマシンでAOLにサインオンするとそこから同じくサインオン中の他
の一般ユーザのマシンに攻撃が行くと思われます。通常のTCP/IPでの
通信の中に全く別のIP間でのPPP通信が埋め込まれた形になっている
ようですのでルータマシン上のファイアーウォールは全く役に立ちま
せん。(ちなみにうちのipchainsのルールはIP masquerade HOWTOを
参考に強固な方のルールセットに手を加えたもので、特に問題ない
ようです。)
おそらくですが、AOLがこのような通信の仕方をしていることと、実
際にNimdaの攻撃が頻繁に来ていることを考えると、Windows版のAOL
クライアントでも同じような問題が起こってるんじゃないかと思いま
す。ですので、ファイアウォール立ててるし、80番ポートも塞いでる
から大丈夫、だと思っていても、だれかがAOLクライアントを利用し、
マシンが運悪くNimdaに感染しうる状態だったりすると、そこが感染し
て最悪ファイアウォール内にNimdaが広がったりする可能性もあるの
ではないかと思います。
ちょっと長くなってしまいましたが以上です。
個人的には原因がわかって非常にすっきりしました。
真鍋博史
manabe@xxxxxxxxxxxxx
--[PR]------------------------------------------------------------------
【FreeMLからのお知らせ】
ユーザー登録すると、MyPageっていうとっても便利なページが使えるように
なります。
例えば、MLの過去ログが見られたり、アドレス変更も簡単に行えます。
http://www.freeml.com/reg_member1.php
------------------------------------------------------------------[PR]--