[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[connect24h:2818] Re: port scan １回でも攻撃とみなすか？

To: connect24h@xxxxxxxxxx
Subject: [connect24h:2818] Re: port scan １回でも攻撃とみなすか？
From: kobayasi@xxxxxxxxxxxxxxxxxxxx
Date: Sat, 16 Feb 2002 02:52:05 +0900 (JST)

こばやしです

In message <OE23XXexcjz13rqTpDU0001f252@xxxxxxxxxxx>
tarikihongandou@xxxxxxxxxxx wrote:
 >> いえ、account 単位ではなく web server 単位で閾値を設定してはどうかという
 >
 >となると、たとえば GeoCityes のようなサイトのサーバ、です
 >から、わかりやすいとこではドメイン単位でしょうか。
 >となると、膨大なユーザ全体でデッドリンクが許されなくなり
 >ますね。一人あたり何件まで許可できるんでしょうか。

直 IP address 羅列への対策ですから、hostname によるリンクが dead であっても
カウントする必要はないので、それほど厳しい条件ではないと思うのですが。
それとも、IP address 直書きによる(意味のある)リンクって結構一般的なのでしょう
か? そのあたりの実状を知らないもので...

 >サーバが立てられているとは思えないものを除去できるわけ
 >です。

正にこのようなホストがバックドア探索や無自覚放置サーバ探索の対象ですから
(攻撃者からすれば)外すわけにはいかないのではないでしょうか。
このケースで攻撃者はきちんと公開されたサーバには関心を持っていないはずです。

 >また、「リンクページの20%が死んでいたら」といったフィルタを
 >かけて検索を止めようとしても同様に生きているとハッキリ
 >わかるサイトへのアドレスを含めておけば回避できます。

そうですね。正当な公開サーバへの 直 IP address リンクを混ぜるという手が
ありますので、割合ではなく無効な直 IP address リンクの絶対数での閾値を
設定する必要があると思います。それともやはり IP address 直書きリンクは
無視できないほど蔓延しているのでしょうか。

 >脆弱性のスキャンはグレイゾーンでしょう。その後の攻撃に
 >直結しますし、ユーザの自衛手段でもあります。
 >単純にサービススキャンしただけでは脆弱性の存在などは検出
 >されませんよね。

いえ virus ばら撒き作戦の場合、この時点で侵入はなんらかの受動的攻撃に
よって(何処かで)成功しているわけです。攻撃者がやりたいのは何処に儀牲者
がいるかを探すことです。

 >私が例示したものは、せいぜいスキャン元を隠すくらいの効果
 >しか出せないと思います。

これって(攻撃者にとっては)とても重要な効果だと思います。

 >本質的にはブラウザで URL 入れて歩くような方法とかわりま
 >せん。

ええと、ちょっと話がすれ違ってしまっているような気がするのですが、私が
問題にしている「攻撃者」は自分がばら蒔いた virus が膨大な address 空間の
どこかに作ったバックドアを探そうとしています。
彼はそのために自分をネットワーク資源を費やしたくないでしょうし、十分な
リソースを持っているとは限りません。(特に匿名性を維持したい場合には)
そこでその膨大な量の探索(総当り)を検索サイトに肩代わりさせようというわ
けです。

 >ツールとして BOT を利用させていただくだけで、80番相手の
 >広域スキャンが可能であることには変わりなく、代替の手法は
 >いくらでもありますので検索サイト側での対策というのは本質
 >的には何ら解決にはなりません。

検索サイトの悪用によって、彼(攻撃者)が本来持ち合わせていないはずの強大な
探索能力を手にしてしまうのではないかということです。

 >よくある大阪弁変換ゲートウェイなども使えるかも。

docomo.ne3.jp とかでしょうか。

 >で、そこにアクセスされたからといって問題視するのはどうかと。
 >脆弱性のスキャンにしても、対策さえしていれば鬱陶しいものの
 >実害はありませんし。

すみません、明示しなかったので誤解を招いたかもしれませんが、この
メールや[connect24h:2791],[connect24h:2811]では検索サイトの悪用
の可能性とそれへの対策に絞って議論しているつもりです。
(他のメールでは scan 云々についての議論も続けていますが)

バックドアを作られてしまう利用者に問題があるのはもちろんですが、だから
といって cracker に便利な道具を提供してしまうのもまずいと思うのです。
-- 
KOBAYASHI Yoshiaki

--[PR]------------------------------------------------------------------
＊＊＊＊＊＊＊＊＊＊＊＊★キャリアアップ情報★＊＊＊＊＊＊＊＊＊＊＊
雇用不況を吹き飛ばせ！週2回最新の求人情報が情報がゲットできるAOLキャリ
で賢くキャリアアップしよう。就職情報も充実のAOLキャリアはこちら
             http://ad.freeml.com/cgi-bin/ad.cgi?id=aJlBI
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online  www.gmo.jp

Follow-Ups:
- [connect24h:2822] Re: port scan １回でも攻撃とみなすか？
  - From: 他力本願堂

References:
- [connect24h:2816] Re: port scan １回でも攻撃とみなすか？
  - From: 他力本願堂

Prev by Date: [connect24h:2817] Re:Re: Tera Termといえば
Next by Date: [connect24h:2819] Re: port scan
Previous by thread: [connect24h:2816] Re: port scan １回でも攻撃とみなすか？
Next by thread: [connect24h:2822] Re: port scan １回でも攻撃とみなすか？
Index(es):
- Date
- Thread