このページは福井県立大学の田中求之が2006年1月まで運用していた Mac のサーバ運用に関する会議室 「Web Scripter's Meeting」の記録です。情報が古くなっている可能性がありますのでご注意ください。

SCANPORT関連で

発言者:今泉克美
( Date Friday, February 09, 2001 18:46:15 )


asip6.2
otp 2.03
g3
です。
=事情があってアップグレードが遅れています。=

このひとつき、ようすを観察していましたが
icmpに対するポートスキャンが発生すると
死ぬほどサーバの動作がのろくなっているような
気がします。
原理的なお話がわかりやすい情報源をお教え
願えないでしょうか。

なお、見てもつまらないものですが
最近めだったものだけ上げてみると
以下のようになります。

---------------------------------------------------------------------
日付        port      発信元        回数  備考
2001-01-20  21/tcp    65.2.172.19     18  USA @Home   
2001-01-23  21/tcp    202.66.147.137   6  中国 Diyixian.com    
2001-01-23  98/tcp    211.34.176.130  10  韓国 Kuryongpo Elementary School    
2001-01-28  98/tcp    211.34.176.130   2  韓国 Kuryongpo Elementary School    
2001-01-29  21/tcp    213.188.22.190   6  Norway NO-ELTELE-OST-JOBBPILOT    
2001-01-30  53/tcp    161.8.201.1      6  ロシア Magnitogorsk, GIPROMEZ    
2001-02-02  0/icmp    61.141.214.101   2  中国 CHINANET Guangdong province network  
2001-02-02  80/tcp    61.141.214.101   1  中国 CHINANET Guangdong province network  
2001-02-02  8080/tcp  61.141.214.101   2  中国 CHINANET Guangdong province network  
2001-02-04  53/tcp    194.224.88.17   12  スペイン Telefonica transmision de datos, Internet Network  
2001-02-05  21/tcp    194.212.8.14    14  チェコ CESNET z.s.p.o.    
2001-02-07  0/icmp    202.120.127.219  3  中国 Shanghai University  
2001-02-08  21/tcp    64.59.59.164    10  USA Streetbeam  
2001-02-09  0/icmp    02.111.200.117   2  中国 DIAL IP POOL IN BONGBU AREA  

---------------------------------------------------------------------
 

今井真人 さんからのコメント
( Friday, February 09, 2001 23:14:22 )

 私ならIPNetRouterで不要なポートは塞いでしまいます。ASIPとの
共存ができるかどうかが問題ですけど。

さんからのコメント
( Sunday, February 11, 2001 00:16:45 )

NetBarrierでport scanを止めるようにするだけではだめでしょうか?

今泉克美 さんからのコメント
( Tuesday, February 13, 2001 15:38:56 )

今井様、鯖様、情報、ありがとうございます。
過去ログで

みつひこさんがおこしたスレッドの
「ポートスキャンについて教えて下さい。」
http://mtlab.ecn.fpu.ac.jp/webcon.mtxt$000812232518.html

を読ませていただいております。
このなかで紹介されているリンクで

「PORT NUMBERS」
http://www.isi.edu/in-notes/iana/assignments/port-numbers

を見ていました。

53がDNSのPORTに対するアタックなのですが
私どもでは
サーバにもLAN内にもDNSはなく
外部のDNSを直接参照させていただいています。
ASIP付属のTCPフィルターで
53番をふさいだほうが宜しいのでしょうか?
うーん、NetBarrierと
IPNetRouterを勉強してみます。

21番のFTPポートに関しては
外部のWebコンテンツ屋さん(ダイアルアップユーザ)
のためだけに解放したいので、
なんとか発信局の電話番号でフィルターできないものか
調べています。コンテンツ屋さん、OCNユーザなので
IPが毎回かなり変わってくるんです。。。
いちお、匿名ログオンはできないのですが
ポートスキャンしてくる人だったら
そんなのおかまいなしかもしれないので。

0/icmp
ってのはなんでしょう、プロバイダに照会してみたいと
思っています。

なにはともあれ、この連休中に53番がかなり
やられていて、、なんのため?と思っています。

情報ありがとうございます!

今泉克美 さんからのコメント
( Tuesday, February 13, 2001 16:07:37 )

どこかのスレッドでご紹介いただいた
http://nit.nikkeibp.co.jp/security/seminar/120/120.html

を見て驚愕しました(−−)

引用>pingによるホストへの攻撃を防ぐには,ファイアウォールやISPに接続するルーターでICMPパケットをフィルタリングしてしまえばよい。ただし,ICMPはping専用のプロトコルというわけではない。例えば,あて先に到達不可能なことを示すメッセージやIPアドレス・マスクの取得要求にも使われる。こうしたping以外のICMPパケットもせき止めてしまうことを覚悟しなければならない。 

引用>smurfでping応答を返す側のユーザーが,サブネットへのICMPブロードキャストをルーターでフィルタリングすれば,smurfは防げる。結局,自分の力だけでは防ぎ切れないのが実情である。 

netbarrierやIPNetRouterで防げることはわかりましたが。
正直、がっかりしています。

我がLANではPING使うことがいっぱいあるので。

今泉克美 さんからのコメント
( Tuesday, February 13, 2001 18:51:53 )

53番ファイアーウォール兼用ルータにて完全に封鎖できることが
わかり設定完了しました。

21番、FTPのLISTコマンドは通過、SITEコマンドは
拒否という戦法が使えるとわかり、これも完了。
SITEコマンドはかなりやばいので禁止すべきというお話を
聞きました。

ICMP、詳しく調べるとこいつでDOS攻撃めいた集中的な
パケットは発生しておらず、様子見としています。

ファイアーウォールとASIPの間で
パケットエラーがまだウロチョロしているようなので
サーバと同じIPをふった、ただのパソコンと挿げ替えて
PINGとばしてエラー状況をみてみることにしました。
NICが悪ければ、、どうしようもないです。

不定期的に
回線速度が遅いというのはファイアーウォールをサーバ間で
なにか発生しているような感じだからです。。。。

おさわがせしてすみません。