投稿日:2006年05月27日 作成鷹の巣

No.20583 攻撃相手が誰だか分かってる場合の対処法



攻撃相手が誰だか分かってる場合の対処法

No.20583 投稿時間:2006年05月27日(Sat) 17:30 投稿者名:ぷくぷん URL:

いつも拝見させてもらってます。まだ自宅サーバ初心者の域を出ない者ですが、
どなたかお分かりになる方がいらっしゃいましたら教えて下さい。

当方、独自ドメイン&P1にて自宅サーバーを運営しております。
主に、メールや掲示板、FTPなどです。
アクセスログを見たりして分かったのですが、
ある特定の人物が、FTPや私のメルアド・掲示板(phpgroupware)
に対してログインを試みようとしているのが分かりました。
いやがらせ的なメールも送ってきます。

そこで、その人のアクセスを全てのサービスにおいて禁ずる方法
例えば、hosts.denyの設定にどうように記述したらいいか迷っています。

分かっている事といえば、その攻撃相手が動的なIPアドレスである事、
そのIPをnslookupで調べると必ず、ぷ○らである事。あと訪れる時間帯
も大体一定しています。

以上の情報だけで全てのサービスからアク禁にする方法といえば、
MACアドレスによるフィルタリングしかないですよね?
そもそもログからMACアドレスって吸えるんでしょうか?

実は何故、その人が攻撃者であるか分かるかというと、
対人的に私とトラブルがあった人で、その人がどのプロバイダに加入し
どんなメールアドレスであるかも知っているからです。

今のところFTPなどはパスワードを定期的に変更したりして対処してます。
メールに関してはLinux用のフィルターソフトを探している次第です。
掲示板に関しては見てる仲間もいるし、私的な事で不愉快な思いを
させてはならないので、閉鎖している次第です。

恐らく相手は自宅のPCからしかアクセスしてないものと思われます。
ログには私の知り合い以外に、その人の足跡しか残っておらず、
閉鎖的に運営しているウチのサーバを利用している友人たちの
加入しているプロバイダも全てぷ○ら以外、友人らのIPも
nslookupでちゃんと身元(プロバイダ)が分かっている人しか
アクセスログに残ってないからです。

その人との対人関係を修復するのも試みましたが、
ネットストーカーみたいになってしまい無理だと判断しました。
よって、自衛の方向で行きたいと考えています。

せっかくサーバの勉強を始めたのにこんな事になって残念です。
実際にはもっとキツいハッキングなどを経験された方もおりますでしょうが、
もしよろしかったら、知恵をお貸し下さい。
よろしくお願いします。やはりMACアドレスしかないのでしょうかね~?


Re: 攻撃相手が誰だか分かってる場合の対処法

No.20587 投稿時間:2006年05月27日(Sat) 23:43 投稿者名:Gさん URL:

私の場合ですが、クローズドな環境でFTPサーバをたててた時期があり、
会員のみにアクセスさせたい場合、ポートスキャン対策で会員以外にアクセス自体
できなく制御したことがあります。

全く同一の状況ではないでしょうが、少なくとも知人にサービスを限定するには
メールのsmtp以外でしたら動的IPフィルターのスクリプトで対処できませんか?
私の場合は、linuxでルータを構築していたので、iptablesにて、ポートを開放する
IPを特定して常にあけたり閉じたりしていました。

知人には、DDNSを利用したアドレスを登録してもらい、常に知人のIPがDDNSの正引で
わかる環境が必要になります。
だいたい5分間隔で知人のIPを調べるスクリプトを書き、そのIPが変化したら新しく
そのIPだけ開放する、古いIPは記憶させておき、入れ替わった時点で閉じるという
動作で運営してました。

知人限定でかつ各知人にDDNSクライアントが導入できるという場合はこの対策がかなり
いけることが分かりました。若干IPが変わったときにタイムラグで5分+DNSのキャッシュ
時間くらいアクセスできない場合がありましたが、これでしたらカフェなどでもDDNSの
更新さえすれば問題なくアクセスできます。

ここまで厳密にやらなくても相手がぷららで1人しかいないのなら、ぷらら自体を拒否する
のもいいですが、カフェなどからは対応はできないと思われます。

perlあたりでスクリプトは簡単にかけますよ~


Re: 攻撃相手が誰だか分かってる場合の対処法

No.20592 投稿時間:2006年05月28日(Sun) 08:21 投稿者名:ふぁらだ URL:

iptables でドメインではじくのは推奨されていないようでやめておいた方がよさそうです。
各デーモンではじくのが良いです。
/etc/hosts.allow では
deny from .ichikawa.nttpc.ne.jp
でしたっけ。


proftp では
<Limit LOGIN>
Order deny,allow
allow from all
deny from .marunouchi.nttpc.ne.jp
</Limit>

apache も同様
order allow,deny
allow from all
deny from .marunouchi.nttpc.ne.jp

あれれ。order の順序が逆ですね。私のサーバーはこれで動いている気がしますけど。


Re^2: 攻撃相手が誰だか分かってる場合の対処法

No.20593 投稿時間:2006年05月28日(Sun) 09:53 投稿者名:wal URL:

> iptables でドメインではじくのは推奨されていないようでやめておいた方がよさそうです。
> 各デーモンではじくのが良いです。
> /etc/hosts.allow では
> deny from .ichikawa.nttpc.ne.jp
> でしたっけ。
> > > proftp では
> <Limit LOGIN>
> Order deny,allow
> allow from all
> deny from .marunouchi.nttpc.ne.jp
> </Limit>
> > apache も同様
> order allow,deny
> allow from all
> deny from .marunouchi.nttpc.ne.jp
> > あれれ。order の順序が逆ですね。私のサーバーはこれで動いている気がしますけど。

/etc/hosts.allow 例
ALL: .example.com EXCEPT cracker.example.com
全てのコマンドはcracker.example.comを除くexample.comからの接続を受けつける

proftpd: ALL EXCEPT .example.com
proftpdはexample.comを除く全ての接続を受けつける

ただし libwrapライブラリがリンクされてコンパイルされている必要があります


目次掲示板過去ログ目次▲頁先頭