投稿日:2002年05月04日 作成鷹の巣

No.2875 nmap でふと気になったこと



nmap でふと気になったこと

No.2875 投稿時間:2002年05月04日(Sat) 08:29 投稿者名:帯鯖 URL:

帯鯖@名古屋です。

以前、話題に上がった「インターネット 悪のツール集」、買いました。
面白い本ですね。(クラックはしませんが…)

ひとつ気になったことです。
「nmapNT でスキャンした場合、相手方にログが残らない」
とありましたが、本当にログは残らないのでしょうか?

当方 UNIX 系ですが、UNIX 版で自サイトをポートスキャンしてみますと、telnet や ftp など、tcp_wrapper(一種のフィルタリング機能)を経由するポートに対しては、連続して wrapper にログが残ります。連続してログが残っていれば、ポートスキャンを受けたことぐらい、容易に分かります。

とすれば、他ホストからスキャンを受けた場合にも、分かることになりません?

どなたか windows 系で、かつ、フィルタレベルでログを取っている方、nmapNTを使い自サイトをスキャンしてみた結果を教えてください。
お時間のある方、物好きな方、ぜひ教えてください。よろしくお願いします。


nmapは、TCPパケットを飛ばさないのでしょうか?

No.2877 投稿時間:2002年05月04日(Sat) 09:27 投稿者名:鷹の巣 URL:http://sakaguch.com/

> 以前、話題に上がった「インターネット 悪のツール集」、買いました。
> 面白い本ですね。(クラックはしませんが…)
>
> ひとつ気になったことです。
> 「nmapNT でスキャンした場合、相手方にログが残らない」
> とありましたが、本当にログは残らないのでしょうか?
> 当方 UNIX 系ですが、UNIX 版で自サイトをポートスキャンしてみますと、telnet や ftp など、tcp_wrapper(一種のフィルタリング機能)を経由するポートに対しては、連続して wrapper にログが残ります。連続してログが残っていれば、ポートスキャンを受けたことぐらい、容易に分かります。
>
> とすれば、他ホストからスキャンを受けた場合にも、分かることになりません?
>
> どなたか windows 系で、かつ、フィルタレベルでログを取っている方、nmapNTを使い自サイトをスキャンしてみた結果を教えてください。


まだ、バタバタしてまして、その本を読んでいないのですが、そんなことを書いてある本なんですか。
nmapは、fingerprinting(指紋照合結果)で、TCPで接続して来るんです。
そして、相手の応答で使用OSなどを判別するツールなんですが、「手順D.WWWサーバ動作の確認」
http://sakaguch.com/WWWserver.html
の項5に示していますNetcraftのサイト
http://uptime.netcraft.com/up/graph
の左上の入力欄に「 www.yokosukaob.com」と入力して、自サイトを調べて見て下さい。

また、手順C.サービスポートの確認
http://sakaguch.com/ServicePort.html
で示していますようにSygate Online Serviceから、自サイトにポートスキャンして頂けますか。

TCP接続は、ポートスキャンとかに関係なく、相手の応答があって始めて、成り立ちますし、
ましてやポートスキャンは、相手の応答により、開や閉や無応答が判別されるんですけど。
開や閉を応答するしないは別として、相手から問い合わせパケットが来れば、ログは記録されます。


# ルータ等のファイヤウォール内側で、ログを取っている話じゃないのでしょうか。
# その本を買う気がしなくなりました。


> お時間のある方、物好きな方、ぜひ教えてください。よろしくお願いします。


自サイトにTCP(問い合わせ)パケットが来て、ログが残らない場合は、ないと考えます。
tcp wrapperは、TCPパケットの風呂敷です。TCP接続前には、必ず風呂敷が先に全てのパケットの中身をログを記録します。

# 書いていて説明がへたくそだなと思いました。


ステルススキャン

No.2896 投稿時間:2002年05月04日(Sat) 21:16 投稿者名:水芹 URL:http://www.dream-seed.com

水芹です。

「インターネット 悪のツール集」、買っていないのですがnmapNTのとこだけ立ち読みしました。
nmapNTはログが残らないと書いてあったのは、ステルススキャンを実行した場合です。
オプション1つで簡単に実行できます。このオプションはnmapにもあります。

普通のTCP接続では、SYN要求->SYN/ACK応答->ACK確認という3wayハンドシェークで接続を確立しますが、
これを守らず、SYN要求->SYN/ACK応答->RST というように接続を確立せずに途中で破棄してしまうように
すると、通常はログに残りません(ハーフコネクトスキャン)。ほかにもNULLスキャン、FINスキャンなんかが
有名です(私も詳しいわけではありません)。
最近の高価なルーターではステルスを見抜くものもあるようですが、一般的ではないみたいです。

ポートスキャン自体は、ハッキング(クラッキング)の前準備のようなものなので、
スキャンされても、そこから先に入らせないようにすることに注力することが大切だと思います。


ログに残らないのは、ルータの内側でログを取っているからでは?

No.2906 投稿時間:2002年05月05日(Sun) 11:06 投稿者名:鷹の巣 URL:http://sakaguch.com/

> nmapNTはログが残らないと書いてあったのは、ステルススキャンを実行した場合です。
> オプション1つで簡単に実行できます。このオプションはnmapにもあります。
>
> 普通のTCP接続では、SYN要求->SYN/ACK応答->ACK確認という3wayハンドシェークで接続を確立しますが、
> これを守らず、SYN要求->SYN/ACK応答->RST というように接続を確立せずに途中で破棄してしまうように
> すると、通常はログに残りません(ハーフコネクトスキャン)。ほかにもNULLスキャン、FINスキャンなんかが
> 有名です(私も詳しいわけではありません)。
> 最近の高価なルーターではステルスを見抜くものもあるようですが、一般的ではないみたいです。
>
> ポートスキャン自体は、ハッキング(クラッキング)の前準備のようなものなので、
> スキャンされても、そこから先に入らせないようにすることに注力することが大切だと思います。


水芹さん、色々教えて頂きましてありがとうございます。
ステルススキャンがアクセスログに残らないというのは、ルータの内側でログを取っているからではないのでしょうか。
私の使用しているADSL用ブロードバンドルータLynksys製BEFSR41(Ver.1.39j)は、ここ
http://www.wallwatcher.com/
のソフトを使用して、ログを取っています。

手順C.サービスポートの確認
http://sakaguch.com/ServicePort.html
で示していますようにSygate Online Serviceから、自サイトにポートスキャンするとちゃんとログが記録されているのですが。
Sygate Online Service
http://scan.sygatetech.com/
には、stealth scan も当然あります。


ステルススキャンでIDSのログに残りました。

No.2922 投稿時間:2002年05月05日(Sun) 16:57 投稿者名:水芹 URL:http://www.dream-seed.com

> ステルススキャンがアクセスログに残らないというのは、ルータの内側でログを取っているからではないのでしょうか。

その通りのようでした。お恥ずかしい・・・。

Sygateで通常のスキャンを実行した場合、サーバー機のsyslogにログが残りました。
ステルススキャンではサーバー機のsyslogにはログは残りませんでした。
IDSのログには残りました。

どちらの場合もルーターにはログが残っていました。

# いままでルーターのログはちゃんと見ていなかったのですが、
# これからはちゃんと見るようにしなければ・・・


|目次|掲示板|過去ログ目次|▲頁先頭|