[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[plamo:19137] Re: nmap
-
From:Shun-ichi TAHARA (田原 俊一)
-
Date:Wed, 28 May 2003 13:12:20 +0900 (JST)
- Subject: [plamo:19137] Re: nmap
- From: Shun-ichi TAHARA (田原 俊一) <jado@xxxxxxxxxxxxxxx>
- Date: Wed, 28 May 2003 13:11:53 +0900 (JST)
From: "Ti.Shikama" <shikama@flanker.q.t.u-tokyo.ac.jp>
Message-Id: <20030528.095744.74743270.shikama@flanker.q.t.u-tokyo.ac.jp>
> あるサーバ、これは単独で動いているものですが、に自宅ルータ
> 下のLinuxマシンからnmapをオプション無しで実行した際に、
>
> 27374/tcp filtered subseven
>
> なる記述が見られました。filteredであってopenではありませんが、
> 何か気持ちが悪いので、調べてみると、このsubsevenというのは
> windows上で動くトロイの木馬でした。
nmap が返すステータスですが、
・open
接続可能な(いわゆる開いている)状態
・unfiltered
接続できない(いわゆる閉じている)状態
・filtered
connect() に対して、ACK も NACK も返ってこないので、開いているかどう
か、nmap が判定できない状態
(途中のルータがパケットを捨てている場合など)
ということですので、これは、途中のルータで落としている、ということでしょ
う。RedHatのように、デフォルトで iptables が設定される OS だと、途中の
ルータでなく、サーバ側でパケットを捨てるように設定されているのかもしれ
ません(iptables -L かなんかでわかります)。
> subsevenに加えて
>
> 12345/tcp filtered NetBus
> 17300/tcp filtered kuang2
>
> 等と他のトロイの木馬らしきものが見えています。
> どうも、これらを見る限りでは、サーバ自体のポートを見ている
> という訳では無さそうです。
仮に対象ホストにトロイの木馬等が仕込まれていれば、当該ポートが open に
なっているはずです。おそらく、DDOSツールが攻撃行動のトリガを待っている
ような、そういう系統の用途のためにポートを開いておくのでしょう。
なので、気にしなくても大丈夫だと思います。
From: 早間義博 <yossi@yedo.src.co.jp>
Message-Id: <20030528.122317.74746853.yossi@yedo.src.co.jp>
> > 27374/tcp filtered subseven
>
> 無関係と思いますが、
> このポートには外部から2003年3月25日以降アクセスがあります。
まぁ、nmap がサービス(??)名を知ってるくらいですから、それなりにメジャー
なワームなんでしょうね。
> 想像で発現するのは問題ですが、四竈さんがご利用になっているルータが
> 当該のポートに対し、ガードを(進入禁止)掛けているので nmap に検出
> されるのでは無いでしょうか。(拒否の事実が発止元に届く)
>
> 私は多くの場合パケットフィルタリングでは(用語は幾らか方言ですが)
> reject (拒否)
> でなく
> drop (無視)
> を選んでいるので、ルータを nmap で調べても閉じているポートに対する
> レポートは表示されません。
これ、逆ですね。
nmap は、unfiltered(=closed/reject・NACKを返す通常の状態) に対しては何
も表示しません。filtered(=drop・パケットを捨てている状態) だから表示さ
れるのですね。
> 感覚的な理解ですが reject の場合「拒否の連絡が発信元に届く」、
> drop の場合は「何もしない」と理解しています。
です。reject は NACK を返すので、つながらないことがすぐわかりますが、
drop では応答が何もないので、タイムアウトまで待たされてしまいます。
_______________________________
田原 俊一 jado@flowernet.gr.jp, shunichi_tahara@zenrin.co.jp
http://flowernet.gr.jp/jado/
FingerPrint: 16 9E 70 3B 05 86 5D 08 B8 4C 47 3A E7 E9 8E D9
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
- Follow-Ups
-
- [plamo:19147] Re: nmap, 早間義博
- References
-
- [plamo:19133] nmap, Ti.Shikama
- [plamo:19136] Re: nmap, 早間義博
[検索ページ]
[メール一覧]
Plamo ML 公開システム