この謎の訪問者はいったいだれか。
自分
ドイツにもY!BBがあったとは知らなかったぞ。
http://lists.insecure.org/lists/incidents/2001/Sep/0372.html
http://lists.insecure.org/lists/incidents/2002/Jun/0044.html
来てる奴はこのくらいはログ取れよ。
( ´Д` ) スンナッテ Λ_Λ
Λ_Λ / ,\ (´Д` ) イッテンダロ
( ´Д`) クダラネェツリ | l l | / ,\
/ \ | .;|;;:。;:,:、| ;| ..,. | l l |
| l l | ..,. ., ヽ '゚;_。:_;./ /;-゚;・,。:゚;:.゚|;;|. | ,|
| | | _|。.:_::゜。-.;.:゜;/_ン∩ソ/\;;:;.:.。: ヽ '゚;。_ / /
ヽ \_ .。'゚/ `。:、`;゜::;.:、,:゚;: .:..゜:: ゚。:..;: /_ン∩ソ/\
/\_ン∩ソ\ ゚ ;:゚..゜:: ゚。:.:.:゚; ゚ ;:゚..;゚; / /`ー'ー'\ \
. / /`ー'ー'\ \ ゚ ;:゚..゜:: ;。:.:.::゚。;:;.:ヽ < / /
〈 く / / ゚ ;:゚.。゜:;゚;゚.。.:`;:;.:.。 \ \ / /
. \ ヽ / / .;.:.;.゜::: ;。: ;:゚.゜:: : .〉 ) ( .く,
〉 ) ( .く, ゚.;゚ヽ(`Д´)ノウワァァン(_,ノ \.`)
(_,ノ .`ー' ;:ヽ( >>1 )ノ:゚.;.:;
2003/09/21 03:09:40: PP[01] Rejected at IN(default) filter: TCP 127.0.0.1:80 >
192.???.???.???:1344
今は静かですが。
(*゚ー゚( ;;*;; ) ∬
"U し":`J ,,.●;.: ,.ぶりぶり
`;;,・:';,:'∵ ● ● ● ● ● ● ● ●
うちに来てるのはRST ACKがセットされてるけど。
あとこれ参考になる?
ttp://archives.neohapsis.com/archives/snort/2003-09/0034.html
このパケットが出回る理由になってない気がするんだが…
Blasterってソースアドレス偽装するんだっけ?
RST, ACKなら自分がコネクション張ろうとして拒否された場合だな。
>>14のリンクによるとwindowsupdate.comが127.0.0.1にされちまってるって事か?
喰らってる奴はdigってみれ。
digってなに?
hostsデータでwindowsupdate.comが127.0.0.1になってるってこと?
それだとパケット自体、外に出ようがないんだけれども。
windowsupdate.comつながるし。
も少し詳しく。
digはnslookupみたいなもん。
それからhostsじゃなくてDNSの話。
dig入ってないけどnslookupだとダメなの?
X:\>nslookup windowsupdate.com
*** No address (A) records available for windowsupdate.com
>>14のリンク先
感染したクライアントが127.0.0.1:80に接続しようとして拒否されると
他のマシン<RandomIP>にも、ソース127.0.0.1:80なRST ACKパケットが投げられる
って読めるんだけど、あり得る事?
で結局、これの原因はBlaster(の対策にDNSいじったこと)でいいの?
質問ばっかりでスマソ
> 他のマシン<RandomIP>にも、ソース127.0.0.1:80なRST ACKパケットが投げられる
> って読めるんだけど、あり得る事?
普通はありえない。
Blasterがソースアドレスを<RandomIP>に偽装するならあるかも。
勘違いしちゃった。スマソ
>>20
んじゃ、Blast感染してない人は問題ナッシングなんだね
よかった
Sun, 2003-09-21 22:04:59 - TCP connection dropped - Source:127.0.0.1,80,WAN - Destination:220.xx.xxx.xx,1682,LAN
Sun, 2003-09-21 22:06:38 - TCP connection dropped - Source:127.0.0.1,80,WAN - Destination:220.xx.xxx.xx,1437,LAN
Sun, 2003-09-21 22:07:12 - TCP connection dropped - Source:127.0.0.1,80,WAN - Destination:220.xx.xxx.xx,1197,LAN
Sun, 2003-09-21 22:07:28 - TCP connection dropped - Source:127.0.0.1,80,WAN - Destination:220.xx.xxx.xx,1693,LAN
ちなみにOCNを使っていまつ。
http://pc.2ch.net/test/read.cgi/sec/1063081161/584
localhost:xxxx -> localhost(127.0.0.1):xxxx (宛先ポートは同じ)
でUDPパケットを投げてて、
こいつを弾くとIEのネットワークからのデータ取得動作が極端に遅くなるみたい。
WindowsUpdateでどうこうってのはこれが関わってるのでは?
#そういや昔から気になってたんだよなぁ。これって何してんの?
何してるか知らないけどIEは前からそう。
TCPだし80だし関係ないと思う。
漏れは出ないよ。けど何故?
いいから、もう。
それぐらい、みんなわかってるから。
よくある、『127.0.0.1は自分だよ!』って突っ込みはナシだから。
そんなの踏まえて、言ってるだけだから。
あるマシンがワームに感染していた。
このマシンのワームはwindowsupdateにHTTPアクセスで
DoS攻撃を行なった。この時送信元のアドレスをAに詐称した。
windowsupdateのDNSレコードが127.0.0.1に書き換えられていた為、
このDoS攻撃は自分の内部に対して行ってしまった。127.0.0.1はこの
DoS攻撃(HTTPアクセス)の応答を律儀にもAにとどけた為、たまたま
詐称されたアドレスAの>>1が???(ワケワカラン)となった。
あるいはブラスター亜種等のワーム蔓延による半不可抗力的ものかと言う事だな。
自分としては >>31 の内容が一番つじつまが合うような気がするが。
ちなみに自分も1ヶ月前には無かったがここ最近叩かれてる。
使っていると見た
http://pc.2ch.net/test/read.cgi/sec/1063081161/584
を見て、サイゲートのパーソナルFW SPF5.0のセキュ穴
の件を調べてみました。 IP address 127.0.0.1 あるいは
Network Address 127.0.0.0.を詐称したパケットを素通り
スルーさせてしまうというもの。こりゃひどいでつ。ポート
スキャン、DoS攻撃かけほうだい。
サイゲートでは今年の1月に大慌てで修正版をリリース。
以前の版の使用者にはルールで127.0.0.0-127.0.0.255を
ブロックしれ、と言ってます。
http://www.sygate.com/alerts/IP_Spoofing_Loopback_Address.htm
茂スレにいたあの脳タリンか?
>>34
> ポートスキャン
んな事できるわけねーだろ。
>>33
茂スレにいたあの脳タリンがやってるのかも。
http://www.google.co.jp/search?q=cache:esFn8cAZ5NoJ:lists.insecure.org/lists/bugtraq/2002/Sep/0131.html+%22IP+spoofing%22+Sygate&hl=ja&ie=UTF-8&inlang=ja
> The Attacker could scan or attack the target host without being
> detected by the personal firewall.
このアフォはなんで一人で興奮してるんだ?
こういうノータリヌが立てこもり事件起こしたり
散弾銃でお隣さん射ったりすんだよなー。
スキャンといえばポートスキャン。そんな>>37に萌ぇ〜〜〜
まあ普通の人がスキャンといえばポートスキャンだと
思うのはしかたない。しかしIPスプーフィングでセッッション
乗っ取る古典的な例が出てるわけだが、それはどのように
実行されたのか、それを防ぐにはどうすればいいか述べて
みれ。
回答できる人間は回答する。
回答できない人間は質問する。
質問も回答できないノータリヌは意味なく罵倒する。
なにしろマターリいきましょ
IPSpoofingには幾つか方法があるわけだが、どの方法に関して聞きたいんだ?
127.0.0.1をソースアドレスにしたパケットはルーターを越えられるんでしょうか?
フィルターしてなきゃ超えてくる。
家庭用の品はデフォルトでフィルタして欲しいものだが。。。
プロバイダもingress/egressフィルタで落せや。
なんだろね?
192.168.0.255とか来出したら嫌だね。
送信IPは簡単に詐称できることを知りますた。ビクーリ。最近も
セキュリティー板でメールのFROMも詐称できることを知りますた。
人間不信だぁ〜
>>8 >>23 見たいにルーターのLOGには残っていないです。(BAR-SD)
ちなみに静的フィルターしか付いてないのですがこれでは防げなのでしょうか?
スタティックフィルターでもブロックできる、ルーターのマニュアル嫁。
WAN側から入ってくる↓こいつらをソースアドレスにもつものをブロックすりゃいい。
インターフェース指定してフィルター書けないルータなら捨てろ。
http://www.blackh0le.net/useful/ip.html
最低
The current list of special use prefixes:
0.0.0.0/8
127.0.0.0/8
192.0.2.0/24
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
169.254.0.0/16
all D/E space
フィルターのテーブルに余裕があって偏執狂ならIANAが予約してるの全部ブロックしてもいい。
YAMAHAのはデフォルトブロックしてるから
何もしなくていいよね。ね?いいんだよね?
ちょっぴり不安
とくに0.0.0.0/8あたりが。
未だに使ってる人間が居たとは。
たぶん漏れの親父でも使ってないな。
お! それそれ
マルチキャストのゴミって事?
DHCPは始めはアドレス割り振られてないから0.0.0.0で「おいらにアドレスくれる香具師いる?」と
ブロードキャストする。
ゾヌでの進入検知をしてない訳だが。
来たら侵食でもされるの?
ファイアーウォ−ルもルーターも入れてないおいらには
関係ない話ですか?
ファイアウォールはともかく、ルータは入れたほうがいい。
アナログや ISDN のダイアルアップだからといって安心は出来ない。
パーソル http://www.persol-jp.com/ からアナログモデムや TA を
繋げられるルータも販売されている。
Unix 系 OS 使って自力でゴリゴリやってるとかならともかく、
ブロードバンドでファイアウォールもルータも使ってないなら死ぬ。
マカもたかくくってるぞ危ないぞ。
おいらブロードバンドなんでやばそう?
Xpのやつじゃまずいの?
毎日 Windows Update をやってて、危ない所には一切行かない、
メールの添付ファイルは全部捨てて、HTML メールは読まない。
出処の明らかでないソフトはインストールしない。
2ch に貼られたリンクは絶対にクリックしない。
そんな禁欲的生活を送っているなら大丈夫。
Rを楽しむ時にコンドーム付けるのと同様、
ブロードバンドする時にルータをかますのは常識。
そうなんか・・・
ありがとう
お金が入ったらルータ検討してみる
Rを楽しむ時にコンドーム付けないのがおいらの主義だが
ルータ入れりゃそれに越したことはないが、パソコン1台の環境なら
ファイアウォール+アンチウィールス+アンチスパイ+Windows Update
で普通は十分。もちろんウィールス定義ファイルは毎日更新をチェック
する。(セキュ板にいろいろ専門スレがあるから参考に)
もっともノートン買うくらいならルータ買ってフリーのセキュソフト入れた
方がいい。実勢1万前後の製品で十分。
PC2台以上ならもちろんルータ必須。NetBIOS+馬鹿ハブでつないだり
してると世界中から丸見えw
ブロードバンドルータ導入によって得られる安全性と最初の1文以外の警告に関連性が無い。
>>70
1台ならFWで間に合って2台以上になるとルータ無しじゃ歯が立たないってのは明らかにおかしいと思うが?
個々のPCにFW入れて運用ってのは手間は増えるが、その手間さえ惜しまなければ1台の時と変わらないと思うが…
2台になるとLAN内とLAN外の双方と通信しなきゃならない
んだから状況は全然違ってくる。てか、釣りか?
脆弱性はないのでしょうか?
NIS2002使用してるんだがブロックしてるのかどうかよくわかりません。
そのためのFWなんだが釣りか?
設定覗いたことないのか?
それとも詳細な設定殆ど出来ないタイプのFW使ってんのか?
誰がIPフォワードするんだよ。ボケッ
SygatePFにもそんな脆弱性はない
>>34に書いてあるように現行バージョンはないけど以前はあった。
SygatePFに今はないとして他のPFは本当に大丈夫なのかとういうこと。
誰でも知ってるような知識の切れ端ふりまわして迷惑がられる
のは職場でやってくれ。それともその性格が災いして失業中か?
自分に言い聞かせてんの?失業中なのか。。
会社で何か嫌な事でもあったのか。
お兄さんに話してみなさい。
素晴らしい奴らだ。
おら、2ch信者は所詮そんなもんさ。
高卒さんにはわからないかもしれませんが大学では1限から講義があるとは限りませんよ。
http://aa2.2ch.net/test/read.cgi/accuse/1062154461/946
>基本的に常に偉そうにしている。嫌味を言うときだけ敬語になる。
実に素晴らしい2ch信者だ。
特徴に合致している。
批判要望板で自分なりの意見を書き込んでみてはいかがかな?
R画面が勝手に立ち上げって仕方ありません
どうすればいいでしょうか?
アンチ2ch教信者以外批判要望板なんていきませんよ。
そんなに2chが嫌いならYahoo掲示板でも/.でも個人サイトのBBSでも好きなところRよ。
煽って誤魔化そうとしないで、>>78に答えろよ。
ICSでもISPから複数IPでも何でも良いだろ。
2台以上になると利便性の面でルータだろうな。
外れ掴まされると痛い目にあうようなので興味があるならハード板逝ってくれ。
|∀`) ダレモイナイ・・ヌルポイウナラ イマノウチ
|⊂
|
♪ Å
♪ / \
ヽ(´∀` )ノ <ぬるぽ
( へ)
く
♪ Å
♪ / \
ヽ( ´∀`)ノ <ぬぽぬぽ
(へ ) ぬるぽ
>
TOP カテ一覧 スレ一覧 2ch元 削除依頼 ▲
ノーガード戦法こそ最強 (140)
ポートを塞ぐ (136)
【鉄壁】iptablesの使い方 5【ファイアウォール】 (103)
【CWShredder】SpySubtract【スパイウェア除去】 (198)
クラックしたWEP・WPAキーを公開するスレ A (160)
MVPってMYAAが決めてるのか? (103)
--log9.info------------------
多機能エディタ「 mi 」を語るスレ その4 (168)
ボブ退社 (129)
PowerMacG4総合 その2 (119)
ATOK好きなんだけど 16 (756)
外付けHDDケース 13台目 (767)
【シャホーナノ】IDにiPod関連を出すスレ 20タッチ【クラッシック】 (145)
ジョブズがビル・ゲイツに勝てないと思った瞬間 (191)
【Retina】New MacBook Pro葬式会場【Ivy Bridge】 (100)
iPad Part143 (158)
【2012】新型iMacを待つスレ part1 (201)
Microsoft Office for Mac v.18 (140)
Macセキュリティスレ Part.13 (549)
【iTS】iTunes Store 総合スレ@新Mac版 57 (144)
iPad Part161 (137)
iOS違法アプリ通報スレ (188)
iPad・iPod大幅値上げ (110)
--log55.com------------------
【祝4周年】2AM 3曲目【アルバム8/8発売】
【Missing】TEEN TOP6【oNIELy】
【青春不敗】 バラエティー番組 【豪快ガールズ】
【トロット】ホン・ジニョン☆1.5【荒らし、ダメ、ゼッタイ】
鄭◆チョン・ウソンpart.23◆雨盛
【T-ARA】ヒョミン応援スレ☆8【Hyomin】
SNH48 莫寒☆momo
【中国ドラマ】秀麗伝【チャンネル銀河】