不正アクセス対策のグローバルIPアドレス変更は無意味？

Question

不正アクセス対策のためのグローバルIPアドレス変更（ADSLモデムのアダプタをコンセントから抜くこと）ですがグローバルIPアドレスが変わってもmacアドレスが同じならmacアドレスからグローバルIPアドレスを割り出され、結局ポートスキャンや攻撃されます。
というかDHCP機能でグローバルIPアドレスが割り当てられてない状態でインターネットプロパイダのDHCPサーバへローカルポート68からリモートポート67へパケットを送信し、次の受信パケットでグローバルIPアドレスを付与されるわけですが受信パケットはどうやってこちらのクライアント機を特定して戻ってくるんですか？やっぱりこちらのクライアント機のmacアドレスかADSLモデムのmacアドレス目がけてですよね？
そうだとやっぱり不正アクセス対策のためにはグローバルIPアドレスとmacアドレスの両方変えないと意味無いんですよね？

superside0 · Accepted Answer

話は、本題からずれますが・・・・

>ちなみに、機種によってはルータ機能のないADSLモデムでもMACアドレスを持っています。

あ。すいません。
ADSLモデムは、端末やルータとは、シリアルやUSB接続でなく、
LANケーブル接続なので、そのためにMACアドレスはあるのだと思われます。

ただ、モデムにLAN接続された端末やルータから、NTTのフレッツ網などを経由して、PPP over Ethernetの接続でプロバイダと仮想的に直結されますので、
インターネット網においては、モデムのMACアドレスは使わないことなるんじゃないかと、理解しております。

774danger · Answer

同じセグメント＝ブロードキャストが届く範囲、と考えればいいでしょう
SW-HUBはブロードキャストを流しますが、ルータはブロードキャストを止めてしまいます
ですので、SW-HUBでつながっている限りは同じセグメントですが、ルータが間に入ってしまうと、その両側のネットワークは別セグメントということになります

実際、自分の端末でパケットキャプチャしてみればわかるでしょう
外部と通信する場合のパケットを見ると、全て通信相手のMACアドレスは上位ネットワーク装置(BBルータ等)に変わっているのが実感できると思います

ちなみに、機種によってはルータ機能のないADSLモデムでもMACアドレスを持っています

＃うちに以前フレッツADSLに入っていたときに使っていたモデムMN2がありますが、
＃http://yoosee.net/d/archives/2005/04/19/002.html
＃に書かれているようにIPアドレスが振ってあって遠隔操作できたりします
＃他のモデム専用機種でもファームウェアをアップするためにIPアドレス/MACアドレスが振られているものが多いはず

superside0 · Answer

多少、混乱されているように見受けられます。

会社の事務所があって、そこに社員が何人かいるとします。
誰かが、そこに勤めているあなたに手紙を出したとします。
郵便屋さんは、あなたの机が事務所のどこにあるかなんて、知った事じゃないし、知りようがないし、知っていても意味がない情報です。
郵便屋さんは、受付に手紙を届けるだけで、会社のなかまで入ってきませんから。

なお、受付けに届いた郵便物は、郵便物担当の人が仕訳して
各自の机に配ることになります。この人は社内の座席表を把握してます。
これがルータの仕事です。

このルータが面倒を見てくれる範囲をセグメントといいます。
（よその会社の郵便物が紛れて来ても、手近なポストにたらい回しするだけで、
　よその会社の座席のことまで面倒は見ません。）

手紙を出すときも同じで、手紙の裏に、自分の住所や会社名は書いても、
自分の机の場所までは書かれてません。
いや、実際には、どんな手紙にも、一旦は、自分の座席番号(MACアドレス)を書いていることは、いるのです。
社員どうしの手紙のやりとりには便利なので。
しかし、社外への手紙だと、郵便を投函しにいく人が、
元々書いてあった座席番号を消して、受付の座席番号に書き換えます。
これもルータの仕事です。

たしかに、泥棒に会社のなかまで侵入されれば、
あなたの机の座席番号を探すということは、できます。
できますが、引越先(IPアドレス変更後)で、たとえ以前と同じ机を使い続けていても
あなたが社外に出した手紙には、受付の机の座席番号しか書いてないので
あなたの座席番号を特定できても、使いようのない情報なので無意味なことです。

あとは、どこまでが、自分のセグメントなのかの問題ですが、ADSLだとして、
ルータありなのか、モデム直結なのかや
モデム直結なら使っているプロバイダでのセグメントの切り方次第ですが、
ADSLモデムにMACアドレスの記載があるということは
ルータ内蔵のADSLモデムなんじゃないかと予測されます。
そうなると、自宅内が１つのセグメントです。

kusa_mochi · Answer

>被害というのはwebページを閲覧しようとするときに、通信を妨害されることです。それとファイルのダウンロード途中で中断させられたり。どうやってるんですかね、
　他の回答者の方も言っているが、それは不正アクセスとか通信妨害ではなく別の理由で一時的に切れたからそうなっている可能性が高い。
　WEBページの閲覧が失敗する原因としては、毎回必ず再現するか偶発的に起こるかで想定される原因が変わってくるが、相手側サーバーの方の不具合やADSLの接続自体が切れてしまっているとかの理由がある。
　(その辺は、回答者側と協力して原因を追究していけば突き止められると思う)
　ファイルのダウンロードなんかだと、数百MBクラスのものだと私の環境でも99%まで行ってから止まって進まなくなることなど珍しくない。
　(なので、大きなファイル(体験版とか)のダウンロードは、ダウンロード支援ソフトを原則として使っている)

>プロパイダのモデムに貼ってあるシールに記載のあるmacアドレスからIPアドレスをパケットモニタリングソフト（Wireshark、Microsoft Network Monitor）で調べることできますよね？
　MACアドレスというのは、すでに述べられているように同じセグメント内でしか調べられない。
　なので、ADSLモデムと直結ならプロパイダーの先にはMACアドレスの情報は出ない。
　家庭用BBルーターを使用している場合は、BBルーターの先だと分からない。
　もしも分かる可能性が有るとしたら、暗号化なしで無線LANで通信していれば、そのパケットをキャプチャすれば調べる事は出来る。

774danger · Answer

> macアドレスが一度知られるとパケット解析ソフト(Wireshark,Microsoft Network Monitorなど)でそのmacアドレスのパケットだけモニタできるようにすればIPアドレスも分かるかなと思います

誰かがあなたの家に入ってきて、Wiresharkなどを動かしてパケットキャプチャできるようなとんでもない環境にお住まいなのでしょうか?
MACアドレスはルータを超えては見えません

No.5のかたの回答と合わせてもう1度よく考えてみましょう

superside0 · Answer

通信妨害されているという技術的な論証はできているのでしょうか？

ADSLは、通話用のメタルラインで、データも使えるように
無理矢理、周波数で分けて共有しているのですから、
回線が不安定なのはあたりまえで、
攻撃による切断よりも、経路上のノイズの影響とか、メタルラインの減衰とか、そっちをまず疑うのが普通だと思いますが・・・

なお、MACアドレスはルータを経由するこにより書き変わるので、
外部から見れば同じルータを使っていれば同じなので、
いくら内部の端末のMACアドレスを変更しても無意味だと思いますが・・・
逆にいうと、同じセグメントにいない限りは、MACアドレスから端末を限定することはできませんよ。
MACアドレスをデータに埋め込むアプリを使わされているというのなら別ですが。

774danger · Answer

> macアドレスが同じならmacアドレスからグローバルIPアドレスを割り出され

普通はこんなことできませんから、MACアドレスを変えることは無意味です
同じセグメントならARPを使えばIPアドレスからMACアドレスを調べることができますが、逆のプロトコル(MACアドレス→IPアドレス)はないからです

＃RARPがあるじゃないかと知ったかぶりする人がいますけど、本来の使い方がわかってない人なんですよね

superside0 · Answer

どっちみちランダムなIPにアタックくるから、
ブロードバンドルータ使ったほうが安心ですね。二重防御の意味でも。

余談ですが、
IPアドレスの振り出しは、通信インフラにもよるけど、ADSLだと大抵
DHCPじゃなくて、PPPoEじゃないかな。

kusa_mochi · Answer

不正アクセスというかポートスキャンみたいなものは、大多数はプログラムを使って特定の範囲とか全てのIPアドレスに対して行なうのが殆どだと思う。

稀に特定の個人や企業をターゲットにして行うこともあるかもしれないが、一定以上のスキルを持ったクラッカーが普通の個人をターゲットにする事は、行動原理(お金の為がほとんど)から考えてまずありえない。

だからADSLモデムの電源オフ・オンで配布されるIPアドレスを変更してもほとんど意味は無いと思う。
(うちのIPアドレスにも色々なアクセスが来るよ。ルーターのログを見ていると非常に面白い。頻度的には数分に1回ぐらい)

PCが直接インターネット網に接続されていると、ファイアウォールが一々反応して気になると言うならルーターを導入すると良いと思うよ。
家庭用のBBルーターは、原則としてインターネット網側からPCに接続しようとするアクセスは全て遮断するから。

>というかDHCP機能でグローバルIPアドレスが割り当てられてない状態でインターネットプロパイダの
> DHCPサーバへローカルポート68からリモートポート67へパケットを送信し、次の受信パケットで
>グローバルIPアドレスを付与されるわけですが受信パケットはどうやってこちらのクライアント機を
>特定して戻ってくるんですか？やっぱりこちらのクライアント機のmacアドレスかADSLモデムのmacアドレス目がけてですよね？
　これは、DHCPサーバーがユーザーのPCと同じセグメント（言い換えるならブロードキャストパケットが届く範囲)にいるからだと思う。
　ユーザーのPC(DHCPクライアント)からDHCPのサーバーにブロードキャストと言う方法でパケットを投げているのよ。
　詳しい方法を知りたいなら、以下のURLを参照

　【参考：DHCPの仕組み】
　　http://www.ccjc-net.or.jp/~kouza/199805/dhcp2.html

　参考までに言っておくと、DHCPでグローバルIPアドレスが配布が完了するまでインターネット網からのアクセスはユーザーのPCには届きませんから。
　(不正アクセスも届かないという事)

sumikawat · Answer

LANカード　も　一緒に　変えても　ダメですか

不正アクセス対策のグローバルIPアドレス変更は無意味？

話は、本題からずれますが・・・・

同じセグメント＝ブロードキャストが届く範囲、と考えればいいでしょう

多少、混乱されているように見受けられます。

>被害というのはwebページを閲覧しようとするときに、通信を妨害されることです。

この回答への補足

> macアドレスが一度知られるとパケット解析ソフト(Wireshark,Microsoft Network Monitorなど)でそのmacアドレスのパケットだけモニタできるようにすればIPアドレスも分かるかなと思います

この回答への補足

通信妨害されているという技術的な論証はできているのでしょうか？

この回答への補足

> macアドレスが同じならmacアドレスからグローバルIPアドレスを割り出され

この回答への補足

どっちみちランダムなIPにアタックくるから、

この回答への補足

不正アクセスというかポートスキャンみたいなものは、大多数はプログラムを使って特定の範囲とか全てのIPアドレスに対して行なうのが殆どだと思う。

この回答への補足

LANカード も 一緒に 変えても ダメですか

この回答への補足

似たような質問が見つかりました

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング

LANカード　も　一緒に　変えても　ダメですか　