投稿日:2003年11月19日 作成鷹の巣

No.13523 Pingに応答しない方法は?



Pingに応答しない方法は?

No.13523 投稿時間:2003年11月19日(Wed) 21:03 投稿者名:ヒロ URL:

初めまして、いつも参考にさせて頂いています。
ポートアクセスの対策について教えてください。
わたしはY!BBのADSLからモデム経由でNICを2つ挿して、
OS:Windows2000 SP5, Apache1.3.29, ZoneAlarm, NEGiES
という構成で自宅サーバ(http)を動かしているのですが、
MSBlaster系のウイルスのアタックでpingをかけられると200を返してしまって困っています。
ログを見ると、xxx.xxx.xxx.xxx - - [日時] "GET / HTTP/1.0" 200 5315といくつも書かれています。
解析しましたらポート80にアタックされApacheが応答しているようです。
いま開いているポートはWeb用の80番とICMPポートの8番のみです。
そこでお聞きしたいのですが、

(1) この構成でPingに200を返さないよにするにはどうすれば良いでしょうか?
特にApacheのhttpd.confにできる対策はありますか?
(2) ICMPの8番を閉じるにはどうすれば良いでしょうか?

検索サイトで1ヶ月程調べましたが私と同じ環境の対策が見つかりません。
無知を露呈するようですみません。
ご教示頂けますでしょうか?
よろしくお願いします。


ルーターかファイアウォールソフトで対処する。

No.13524 投稿時間:2003年11月19日(Wed) 21:59 投稿者名:APACHE URL:http://kemuri-net.dip.jp/~server/

> いま開いているポートはWeb用の80番とICMPポートの8番のみです。
> そこでお聞きしたいのですが、
>
> (1) この構成でPingに200を返さないよにするにはどうすれば良いでしょうか?
> 特にApacheのhttpd.confにできる対策はありますか?
> (2) ICMPの8番を閉じるにはどうすれば良いでしょうか?
>
方法1:ルーターでICMPに応答しなくする
方法2:パーソナルファイアウォールでICMPに応答しなくする

これくらいかと。


これがpingのログという根拠はなんですか?

No.13526 投稿時間:2003年11月19日(Wed) 22:36 投稿者名:OAK URL:

> MSBlaster系のウイルスのアタックでpingをかけられると200を返してしまって困っています。
> ログを見ると、xxx.xxx.xxx.xxx - - [日時] "GET / HTTP/1.0" 200 5315といくつも書かれています。

これがpingのログという根拠はなんですか


最も可能性が高いpingが飛ばされていると推測しました。

No.13528 投稿時間:2003年11月19日(Wed) 23:55 投稿者名:ヒロ URL:

みなさん、早々のお返事ありがとうございます。

> これがpingのログという根拠はなんですか

2つのアクセスチェックツールのアクセスモニターとApacheのaccess.logを見ますと、

(1) ポート80へのアタックとApache.exeへのアタックがモニターに同時に見られる
(2) Apacheのaccess.logに(1)と同じ時刻のMS Blasterの痕跡が見られる
(3) IP AddressがApacheのaccess.logとポート80アクセスと一致している
(4) TCPのモニターでは外国のドメインが頻繁に表示されている
(5) Apacheのaccess.logにはファイルを見た形跡が残っていない
(6) ICMPポートはOPENしてしまっている

という理由で最も可能性が高いpingが飛ばされていると推測しました。
絶対にそうなのかと言われると自信がありません。間違ってますでしょうか?
ぜひ対策アドバイスよろしくお願いします。


ICMP、TCP、UDP はいずれも IP プロトコル上のものですが、互いには別のものです。

No.13535 投稿時間:2003年11月20日(Thu) 11:00 投稿者名:通行人 URL:

APACHE 様が書かれている方法で、ルータなりマシンなりを ping に応答しない様に設定してください。
取り敢えず、最初はそれだけだと思います。

---

後は勘違いばかりですので、もう一度最初から考え直されたほうが良いと思います。

> という構成で自宅サーバ(http)を動かしているのですが、
> MSBlaster系のウイルスのアタックでpingをかけられると200を返してしまって困っています。

Ping で使用している ICMP は、TCP 上で動作するプロトコルではありません。
従って「TCP 上で動作している、HTTP というプロトコル」のアプリケーションである httpd では、一切関知できません。応答もしません。
httpd では UDP のデータを扱わないのと、同じです。
ICMP、TCP、UDP はいずれも IP プロトコル上のものですが、互いには別のものです。

> ログを見ると、xxx.xxx.xxx.xxx - - [日時] "GET / HTTP/1.0" 200 5315といくつも書かれています。
> 解析しましたらポート80にアタックされApacheが応答しているようです。

Apache を 80 番ポートで空けているのなら、解析するまでもなく「全て 80 番ポートに対するアクセスの記録です」。
そのアクセスが攻撃目的である場合に、「アタック」と呼びます。

> いま開いているポートはWeb用の80番とICMPポートの8番のみです。

TCP や UDP とは違い、ICMP には「ポート」という概念はありません。
ICMP で 8 番という「パケットタイプ」は、「エコー要求」という「データの送信目的」を示します。
宛先とか、そう言うものではありません。

> (1) この構成でPingに200を返さないよにするにはどうすれば良いでしょうか?
> 特にApacheのhttpd.confにできる対策はありますか?

ログに残っているのは、あくまでサーバに対する HTTP 要求に対する記録です。
上で書きましたが、ping そのものについては httpd は無関係です。

ただ、「ルータなりマシンなりが相手ウィルスからの ping に応答してしまったため、自マシンの存在が知られてしまい、80 番ポートへの攻撃を試される羽目になった」という可能性はあります。


一般的なパケットモニタか TCP 専用のモニタか判りませんが、折角そう言うのを使用しているわけですから、表示されている内容をきちんと理解するようにして下さい。
意味が判らないまま内容を判断材料として使用するのは、してはいけない行為です。


|目次|掲示板|過去ログ目次|▲頁先頭|