★阿修羅♪ 現在地 HOME > 掲示板 > IT1 > 831.html
 ★阿修羅♪
次へ 前へ
おそるべしし・・・Dos攻撃可能リスト
http://www.asyura.com/0306/it01/msg/831.html
投稿者 愚民党 日時 2003 年 9 月 04 日 07:43:20:QeeQrBW7FOUsw

(回答先: こんぴ〜た・ウィルスってなに?なに? 講座 投稿者 愚民党 日時 2003 年 9 月 04 日 07:31:37)

この方の記事を読みますと、自分がいかに無知であるかと、覚醒させられます。


---------------------------------------
♪ おそるべしし・・・Dos攻撃可能リスト ♪


http://www.netpub.tsuzuki.yokohama.jp/j/internet/howto2-4.html

最近、不覚を取りました(T_T)。
それは、最新の通信ログにあった不信なIPアドレスから物語は始まります!!
最近、そう、それは2日ほど前のことです。通信ログを毎日、チェックしています。
土日の休みともなると思い出したように調べ出したりして、最近、僕は通信ログ・フェチと化しています。
そんなときに、公開サーバからあるサイトへ返信しかしていないパケットを見つけたのです。
返信先の不信なIPアドレスは「209.221.143.119」。(*o*;なんだ?このアドレスは?と思い。。。
調べてみると「ops.netscan.org」という名前がわかりました。

そこで、このドメインにWEBがないか調べるべく、WWWブラウザを起動し、「http://www.netscan.org/」と入力しました。すると。。。出たページをちらっと読んで青くなりました。(**;まっ、まさかっ・・ここは。。僕は、このページの入力窓に自分の公開サーバのIPアドレスを入れ、チェックを実行すると思われるボタンを無意識のうちに押していました。
(僕が即チェックのサイトと思っていたのは間違いで!!
このサイトがあらかじめチェックを勝手にしやがって、その時の結果をサーチさせるものでした。)

ゲゲっ・・なんで、
僕のサイトの「ぶろーどキャストのIPアドレス」が表示されるねんっ??

そう、そのサイトは後で調べてわかったのですが、正しく。。。Dos攻撃("smurf" IP サービス妨害攻撃)のブラックリストのサイトだったのです。(TT)不覚なことに、僕のサイトのブロードキャストアドレスが登録されていました。ただし、ここは定期的にチェックし更新されるようです。今回、あわてて対処しましたので、次回の更新では、僕のサイトのブロードキャストのIPアドレスは消されることでしょう!!にしても、黙って登録するなんて、なんて悪意に満ちているのでしょう!!(^^;おかげで、そのサイトの全部のページを見させてもらいましたし、会社の若いペンギン達にも、このサイトの存在を教えたので、参考になったことでしょう。

しかし、いくらこちらに不備があるといっても、黙って登録するとは、けしからんと思うのです。

さて、「"smurf" IP サービス妨害攻撃」とはいったいどんなものでしょうか?
非常に単純で、かつ効果的な攻撃方法のようです。これは主にPingコマンドを使う単純な方法です。このコマンドは「発信元にデータが到達したことを知らせる(応答させる)」という性質を持っています。この性質を使って特定のサイトへ集中攻撃ができます。

以下はPingコマンドの送受信データの流れです。このコマンドを受信した計算機は発信元に対して「データが到達しているよ!」という応答(メッセージ)を返します。実は、この性質がとんでもないことに使われるのです。

話を戻します。僕のサイトのブロードキャストのIPアドレスがブラックリストに載っていました。
なぜ?「ブロードキャスト」なのでしょうか?これには深い訳があります。ブロードキャストはサブネットワーク上の計算機すべてに同じメッセージ(コマンド)を送信する性質を持っています。最大「サブネットワークのIPアドレス数−2」台の計算機に一度に同じメッセージ(コマンド)を送信することができます。1台1台の計算機に対し、たんねんにPingコマンドを送信するより、はるかに効率が良いではないですか!!「ブロードキャスト」は外見には1台に見えるのに、そこへ送ったコマンドはそのサブネットワークに所属する全計算機に配信されるということになります。

インターネットではPingコマンドをブロードキャストに送信しても意味ありません!!しかし、次の場合には意味が出てきます。

実際の、「"smurf" IP サービス妨害攻撃」を説明します。

ニセの発信元のIPアドレス(自分ではない実在する計算機のIPアドレス)をセットしたPingコマンドを「ブロードキャスト」へ送信することを考えてみましょう。その「プロードキャスト」に所属するネットワーク上に5万台の計算機が動いていたとしますと、「プロードキャスト」から、いっせいに、このPingコマンドが各計算機に配信されます。
各計算機は、当然、応答を発信元のIPアドレスへ返そうとします。。。

(^^;もう、おわかりだと思いますが、発信元のIPアドレスを持つ実在する計算機は一度に5万台からの応答を受けることになります。この結果、発信元のIPアドレスをもつ実在する計算機は正常なネットワークサービスが続行できなくなります。攻撃者は自分の身元を隠したまま、どんどんとpingコマンドを「プロードキャスト」へ流し込みます。それに呼応して5万台からの応答が延々と発信元のIPアドレスをもつ計算機へ流し込まれ、ついには、その計算機がダウンするということになるのです。これが、有名なDos攻撃です(他にもいろいろパターンがあります)。

実は、今日、軽いDos攻撃を受けていました。監視サーバのtcpdumpからは以下のような通信ログが出力されていました。

・・・・
13:44:36.904599 210.147.43.250 > www.netpub.tsuzuki.yokohama.jp: icmp: host 210.147.43.186 unreachable
13:44:36.913387 210.147.43.250 > www.netpub.tsuzuki.yokohama.jp: icmp: host 210.147.43.186 unreachable
13:44:45.907269 210.147.43.250 > www.netpub.tsuzuki.yokohama.jp: icmp: host 210.147.43.186 unreachable
13:44:56.906787 210.147.43.250 > www.netpub.tsuzuki.yokohama.jp: icmp: host 210.147.43.186 unreachable
13:45:20.909146 210.147.43.250 > www.netpub.tsuzuki.yokohama.jp: icmp: host 210.147.43.186 unreachable
・・・・

★つまり、pingコマンドを発信したわけでもないのに、「未到達(unreachable)」という応答のみがくるというログです。
★このようなログが残っていたら、まさしくDos攻撃を受けていることになります。

(^^;公開サーバではないのでガードからはずしてしまった「ブロードキャスト」。。
あやうく本当のDos攻撃の踏み台にされるところでした!

基本的には、自分のサイトのネットワーク全部が外部のPingコマンドに応答する義理などありません(「ブロードキャスト」はなおさら!)ので、絶対に応答しないよう(RejectではなくDenyの定義)にしておきましょう。

-------------

 次へ  前へ

IT1掲示板へ



フォローアップ:


 

 

 

 

  拍手はせず、拍手一覧を見る


★登録無しでコメント可能。今すぐ反映 通常 |動画・ツイッター等 |htmltag可(熟練者向)|(各説明

←ペンネーム新規登録ならチェック)
↓ペンネーム(なしでも可能。あったほうが良い)

↓パスワード(ペンネームに必須)

(ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。)
↓画像認証
( 上画像文字を入力)
ルール確認&失敗対策
画像の URL (任意):
最新投稿・コメント全文リスト  コメント投稿はメルマガで即時配信  スレ建て依頼スレ
★阿修羅♪ http://www.asyura2.com/  since 1995
 題名には必ず「阿修羅さんへ」と記述してください。
掲示板,MLを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。