[plamo:19137] Re: nmap

[Shun-ichi TAHARA (田原 俊一)]

From: "Ti.Shikama" <shikama@flanker.q.t.u-tokyo.ac.jp>
Message-Id: <20030528.095744.74743270.shikama@flanker.q.t.u-tokyo.ac.jp>

> あるサーバ、これは単独で動いているものですが、に自宅ルータ
> 下のLinuxマシンからnmapをオプション無しで実行した際に、
> 
> 27374/tcp filtered subseven
> 
> なる記述が見られました。filteredであってopenではありませんが、
> 何か気持ちが悪いので、調べてみると、このsubsevenというのは
> windows上で動くトロイの木馬でした。

nmap が返すステータスですが、

・open
  接続可能な(いわゆる開いている)状態

・unfiltered
  接続できない(いわゆる閉じている)状態

・filtered
  connect() に対して、ACK も NACK も返ってこないので、開いているかどう
  か、nmap が判定できない状態
  (途中のルータがパケットを捨てている場合など)

ということですので、これは、途中のルータで落としている、ということでしょ
う。RedHatのように、デフォルトで iptables が設定される OS だと、途中の
ルータでなく、サーバ側でパケットを捨てるように設定されているのかもしれ
ません(iptables -L かなんかでわかります)。

> subsevenに加えて
> 
> 12345/tcp filtered NetBus
> 17300/tcp filtered kuang2
> 
> 等と他のトロイの木馬らしきものが見えています。
> どうも、これらを見る限りでは、サーバ自体のポートを見ている
> という訳では無さそうです。

仮に対象ホストにトロイの木馬等が仕込まれていれば、当該ポートが open に
なっているはずです。おそらく、DDOSツールが攻撃行動のトリガを待っている
ような、そういう系統の用途のためにポートを開いておくのでしょう。

なので、気にしなくても大丈夫だと思います。

From: 早間義博 <yossi@yedo.src.co.jp>
Message-Id: <20030528.122317.74746853.yossi@yedo.src.co.jp>

> > 27374/tcp filtered subseven
> 
> 無関係と思いますが、
> このポートには外部から２００３年３月２５日以降アクセスがあります。

まぁ、nmap がサービス(??)名を知ってるくらいですから、それなりにメジャー
なワームなんでしょうね。

> 想像で発現するのは問題ですが、四竈さんがご利用になっているルータが
> 当該のポートに対し、ガードを（進入禁止）掛けているので nmap に検出
> されるのでは無いでしょうか。（拒否の事実が発止元に届く）
> 
> 私は多くの場合パケットフィルタリングでは（用語は幾らか方言ですが）
>    reject （拒否）
> でなく
>    drop （無視）
> を選んでいるので、ルータを nmap で調べても閉じているポートに対する
> レポートは表示されません。

これ、逆ですね。

nmap は、unfiltered(=closed/reject・NACKを返す通常の状態) に対しては何
も表示しません。filtered(=drop・パケットを捨てている状態) だから表示さ
れるのですね。

> 感覚的な理解ですが reject の場合「拒否の連絡が発信元に届く」、
> drop の場合は「何もしない」と理解しています。

です。reject は NACK を返すので、つながらないことがすぐわかりますが、
drop では応答が何もないので、タイムアウトまで待たされてしまいます。
＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿
田原 俊一   jado@flowernet.gr.jp, shunichi_tahara@zenrin.co.jp
                                  http://flowernet.gr.jp/jado/
FingerPrint:  16 9E 70 3B 05 86 5D 08  B8 4C 47 3A E7 E9 8E D9
￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣