侵入検知

Question

シマンテックインターネットセキュリティーを使用してます。つい先ほど台湾から侵入がありまして遮断したのですが
下記の件、何方か教えてください

詳細: 侵入: Invalid TCP Options
侵入者: 210.○○.○○○.○○○
危険度: 中レベル
送信元 IP アドレス: 210.○○.○○○.○○○
送信先 IP アドレス: ○○○(210.○○.○○○.○○○)
TCP 送信元ポート: ○○○
TCP 送信先ポート: ○○○(○○)
無効な TCP オプション: 0x○○○○○○○○
 
アドレスをクリックすると攻撃者を追跡できます  
この攻撃についての詳しい情報は シマンテックセキュリティレスポンスで入手できます 

とありますが、侵入: Invalid TCP Options　の意味がわかりません。

noname#4061 · Accepted Answer

googleで検索しましたら以下のＵＲＬにInvalid TCP Options について書いてあります
ＮＯ2様がおっしゃってることと同じ記事がありました


http://www.so-net.ne.jp/harbot/trouble.html

ご心配無用な感じです
ご参考まで

参考URL：http://www.so-net.ne.jp/harbot/trouble.html

bship · Answer

回答済みのものは一つの例です。
おそらくTCPのオプションフィールドが異常だというそのまんまですので、その様なパケットを受信したというメッセージにすぎません。つまり具体的に、送信者が何で何をしたのかは判別できません。
TCPのオプションフィールドのビットパターンにおいてRFCであり得るパターン以外のパケットを受信するとこの手のメッセージが出るでしょう。
ある種のポートスキャンに使用するパケットもこの手のパケットを使用します。
この場合、「侵入検知」とは誤解を招く表現であり、広義の攻撃に使用されるパケットを受信しましたという意味にすぎません（つまり侵入に成功したわけではない）。
個々の意味や攻撃種別を理解するには、これは（いい意味での）ハッキングを積み上げるしかないですね。

nightowl · Answer

他にハーボットの「ハーボックス」やファイル共有ソフト(WinMX, Winny 等)
を使っているとこの警告が出るようですね。
ハーボックスの場合は NIS の誤検知だということがわかっています。

nightowl · Answer

これだけの情報では私たちにもわかりませんし、知る必要もないと思います。

また、このリモートホストからの攻撃が相次ぐのであれば、あれこれ思い悩むより
プロバイダに通報したほうがいいと思います。

それより、
>アドレスをクリックすると攻撃者を追跡できます
>この攻撃についての詳しい情報は シマンテックセキュリティレスポンスで入手できます 
とありますが、入手されたのでしょうか。

とりあえずこれは本格的な侵入に先だつ下調べのようで、ブロックはされていますし
「慌てて行動を起こす必要はない(It does not require immediate action)」
とのことですが。

TCP/IP プロトコルを利用したアタック方法のうち使用不能攻撃(DoS)には
「SYN Flood」(SYN パケットをこちらが処理できないほど送り込んで使用不能に追い込む)
や「Ping of Death(必殺の Ping)」などがあり、以下に親切に説明してあります。
http://www.allied-telesis.co.jp/products/product/netscreen/kinou/index_02.html

参考URL：http://securityresponse.symantec.com/avcenter/nis_ids/sigs/invalid_tcp_options.html

侵入検知

googleで検索しましたら以下のＵＲＬにInvalid TCP Options について書いてあります

回答済みのものは一つの例です。

他にハーボットの「ハーボックス」やファイル共有ソフト(WinMX, Winny 等)

これだけの情報では私たちにもわかりませんし、知る必要もないと思います。

似たような質問が見つかりました

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング