[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[connect24h:6773] Re: ウイルス感染PC 強制接続停止
- To: connect24h@xxxxxxxxxx
- Subject: [connect24h:6773] Re: ウイルス感染PC 強制接続停止
- From: hama <hamamoto@xxxxxxxxxxx>
- Date: Mon, 24 Nov 2003 19:46:37 +0900
はまもとです。
> >企業イントラではすでに行われていると思いますが、
> >ISPだと今まで難しかったのでしょうかね
> そう言う方法が取れれば良いと言う事は分かるのですが、
> 残念ながら、これを実現する仕組みを知らないのですが、
> どのような方法を取るのでしょう?
ISPバックボーン幹線にてSniffer系のパケットを眺めるツールとか、snortとか
でワームに感染しているIPを特定。IPと時間とpppoe等の接続ログからユーザが
特定できます。
後はそのユーザのIDを一時的に無効化すれば、接続拒否できますね。
ただ、ISPとしてはそんな面倒くさい手間とコストがかかることなんてやりたく
ないでしょうが。。。
> そんなものを始めるならそれよりも先に
> 明らかにウィルス(ワーム)発のパケットと分かるものを
> ISPがフィルタリングすべきだと個人的には思います。
ISPのトラフィックはそんな単純にフィルタリングできません。
もしかしたら、そのワームと同じポートを使うアプリがあるかもしれません
し、そうなったらユーザに対して切り分けしなきゃいけないです。
とはいっても、Blasterの巣窟となっているISPも多いですからねぇ。
何かの対策が必要なのだとおもいますが。。。
それこそ、強制的にセキュリティホールを使ってパッチを当てて回るワーム
のような仕組みが必要なのかもしれません。(極論ですが)
+---------------------------------------------------------------------
| はまもと
| ■ハニーポッターの部屋
| http://d.hatena.ne.jp/connect24h/
| ■24 時間常時接続メーリングリスト開催中
| http://cn24h.hawkeye.ac/connect24h.html
| ■セカンダリDNS互助会
| http://cn24h.hawkeye.ac/dns.html
+----------------------------------------------------------------------
--[PR]------------------------------------------------------------------
●▲■●▼■ FreeMLからお知らせ ●▲■●▼■
半年以上投稿のないML削除します
↓詳細は↓
http://ad.freeml.com/cgi-bin/ad.cgi?id=csdyz
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online www.gmo.jp