このページは福井県立大学の田中求之が2006年1月まで運用していた Mac のサーバ運用に関する会議室 「Web Scripter's Meeting」の記録です。情報が古くなっている可能性がありますのでご注意ください。

smurf攻撃対策

発言者:鎌田武
( Date Tuesday, November 07, 2000 19:21:35 )


私の加入しているCATVインターネットでsmurfによる攻撃を受けて
ユーザー個々に対策をお願いしますとのことなので、
smurf対策の各種ページを読むと
「ICMPのブロードキャストに反応しないようにする」
となっています、これは

「私の加入しているCATVインターネットのサブネットにPINGが
ブロードキャストされるとサブネット内のマシンが全て返答する
ので個々にPINGに応答しないように設定してください、」

と言うことだと判断し、

IPNetRouterのIP Filteringで、WAN側ポートのDirectionをSnd、
ActionをBlock、ProtocolをICMPにその他は*のままで設定しました、

これで外から私のIPアドレス向けのPINGは反応しないようになりましたが、
本当にこれでよいのでしょうか?

今井真人 さんからのコメント
( Wednesday, November 08, 2000 07:48:19 )

 常時接続になると、自宅でも気にしないといけなくなりましたね。
ヤマハのルータのフィルタはこんなもんです。

→  smurf攻撃に対処するフィルタ

鎌田武 さんからのコメント
( Wednesday, November 08, 2000 10:17:35 )

ヤマハのルータのフィルタの設定例をみましたが、
これはサブネット内のブロードキャストを受け付けるIPアドレスに
フィルタをかけてしまうというものですよね、

このパターンだと本来ISPが行わなければならないと思うのですが、
私の加入しているCSTVインターネットの場合、
ブロードキャスト・アドレス宛てのICMP転送のフィルタリングを
したく無いようで、

個々にICMP echo request パケットを受け取らないか、
個々にICMP echo reply パケットを返さないか、
いずれかの設定をしなければいけないようです、


鎌田武 さんからのコメント
( Wednesday, November 08, 2000 10:30:50 )

>>このパターンだと本来ISPが行わなければならないと思うのですが、
>>私の加入しているCSTVインターネットの場合、
>>ブロードキャスト・アドレス宛てのICMP転送のフィルタリングを
>>したく無いようで、
訂正です、
朝からゆっくりsmurf攻撃について調べていると、
ISPのルータでフィルタリングしてもIPアドレスを偽造し、
該当ネットワーク内からsmurf攻撃ができる事を知りました、
これをやられるとやっぱり個々に対策するしかないようで、

MacのTCP/IPは果たしてどうやって返事をしないようにするのだろう?

今井真人 さんからのコメント
( Wednesday, November 08, 2000 11:46:55 )

日経インターネットテクノロジーの記事です。私が読んだ中では一番わかり
やすい。

→  代表的なアタックの手口

今井真人 さんからのコメント
( Wednesday, November 08, 2000 12:01:26 )

 サーバがハングアップするぐらいなら、AutoBootで対応するとして
自分のところのネットワークが別な攻撃に使われるのは、我慢できない
ですね。

へべ さんからのコメント
( Thursday, November 09, 2000 02:36:35 )

>MacのTCP/IPは果たしてどうやって返事をしないようにするのだろう?

これはNetBarrierで可能です。

あと、同系統のソフトでDoorStopっていうのもありますが、使ったことがないので
ICMPパケットをフィルタリングできるかどうかは分かりませんです。(っていうか高額・・)

DoorStop → http://www.copstalk.co.jp/files/DoorStop/DoorStop.html

→  NetBarrier 日本語版のページ

鎌田武 さんからのコメント
( Friday, November 10, 2000 21:31:36 )

へべさんこんばんは、
アップルのMacOSの掲示板でも質問してきましたが、
そうもOSのTCP/IP単体では防ぎようがないようですね、
NetBarrierで防げることが分かったのは非常にうれしいです、

常時接続時にルータを使わない場合には必須のソフトになるんでしょうね。

今井真人 さんからのコメント
( Saturday, November 25, 2000 11:17:57 )

 IPNetRouterのIP FilterのICMPプロトコルをすべてカットすれば、対応できます。

 ただ、これやるとPingに対応しなくなるので運営上は面倒なことが増えます。

今井真人 さんからのコメント
( Saturday, November 25, 2000 11:19:41 )

 よくみりゃ最初の書き込みにありましたね。失礼。

鎌田武 さんからのコメント
( Wednesday, November 29, 2000 15:51:01 )

ICMPプロトコルをカットするのが分かりやすかったのでそうしたのですが、
PINGは帰ってきませんが、TraceRouteは出来ています、
今の所PINGを使うことがないのでこのままの予定にしています。