[plamo:22106] Re: ホストベ−スのFirewall

[Tadashi Nakamura]

----- Original Message ----- 
From: "早間義博" <yossi@yedo.src.co.jp>
To: <plamo@linet.gr.jp>
Sent: Saturday, February 28, 2004 2:48 PM
Subject: [plamo:22103] Re: ホストベ−スの Firewall


> named が出しているのです。 DNS を何をご利用になっているのか判りま
> せんがnamedの設定はどのようになっているのでしょう。

bind は 8.2.4 だったと思います。
/etc/named.conf の最初の部分は
options {
        directory "/var/named";
        forward first;
        forwarders {
                202.224.32.1;
                202.224.32.2;
        };
        allow-transfer { localhost; };
        allow-recursion { 192.168.10.0/24; localhost; };
};

実は、この DNS機 へ LAN 内から ssh にて login を許している
192.158.10.99 に対して以下のような Port Scan と思われる
状況が発生しています。これは 192.158.10.99 側の
Personal Firewall にて記録されているものです。
192.168.10.8 が DNS機の IP Address です。

Firewall 0:01:28 IN UDP 192.168.10.8 53 192.168.10.99 1091
Firewall 0:01:30 IN UDP 192.168.10.8 53 192.168.10.99 1092
Firewall 0:01:41 IN UDP 192.168.10.8 53 192.168.10.99 1093
Firewall 0:04:25 IN UDP 192.168.10.8 53 192.168.10.99 1098
Firewall 0:04:27 IN UDP 192.168.10.8 53 192.168.10.99 1102
Firewall 0:09:22 IN UDP 192.168.10.8 53 192.168.10.99 1112
Firewall 0:09:29 IN UDP 192.168.10.8 53 192.168.10.99 1108
Firewall 0:09:48 IN UDP 192.168.10.8 53 192.168.10.99 1118
Firewall 0:09:55 IN UDP 192.168.10.8 53 192.168.10.99 1116
Firewall 0:14:29 IN UDP 192.168.10.8 53 192.168.10.99 1161
Firewall 0:14:36 IN UDP 192.168.10.8 53 192.168.10.99 1157
Firewall 0:19:35 IN UDP 192.168.10.8 53 192.168.10.99 1168
Firewall 0:19:37 IN UDP 192.168.10.8 53 192.168.10.99 1173
Firewall 0:20:34 IN UDP 192.168.10.8 53 192.168.10.99 1178
Firewall 0:20:48 IN UDP 192.168.10.8 53 192.168.10.99 1187
Firewall 0:22:10 IN UDP 192.168.10.8 53 192.168.10.99 1196
だいたい５分おきに、、、延々と

Type
Time
Direction
Protocol
SourceIPAddress
SourcePort
DestinationIPAddress
DestinationPort
の順の並びです。DNS機は、のっとられている、あるいは
BackDoor が仕掛けられていると見ていいでしょうか。

--
Tadashi Nakamrua
tn_mls@hotmail.com