2016年04月18日
Tweet
・ICMP timestamp req
timestamp request というICMPのパケットがあるようです。そしてこれは他の情報と組み合わせることによって、OSを特定できたり、その他の攻撃が可能になる可能性があるということです。
NessusでVPSサーバーの脆弱性診断 ICMPタイムスタンプリクエスト
ICMP time stamp request (ICMP_Timestamp_Request):IBMR X-Force Exchange
・ICMP source quench
これは速度低下の可能性があるということです。
ICMP Type 4 (Source Quench) packets detected (ICMP_SourceQuench)
・ICMP too large
1025バイト以上のICMPを受信した場合の警告だということですが、いまいちよく分かりませんでした。あり得ないということで、間違いパケットではないかということでの判定なのでしょうか。
※想定外パケットだということで、誤動作を誘発しないためにも破棄するのが望ましいようです。
・TCP FIN and no ACK
FIN の場合には、かならずACKは付与されるようです。これがないということは、そういうパケットを生成し、送りつけていることを意味します。もしくは途中でパケットが壊れたとか??
これもOSを特定する手かがりになるようです。
今回はYamahaの不正アクセス検知機能で検知されたものを調べてみました。
不正アクセス検知機能(IDS)
細かく見ていくと、サーバーでも色々と対策しなければならないようです。
timestamp request というICMPのパケットがあるようです。そしてこれは他の情報と組み合わせることによって、OSを特定できたり、その他の攻撃が可能になる可能性があるということです。
NessusでVPSサーバーの脆弱性診断 ICMPタイムスタンプリクエスト
ICMP time stamp request (ICMP_Timestamp_Request):IBMR X-Force Exchange
・ICMP source quench
これは速度低下の可能性があるということです。
ICMP Type 4 (Source Quench) packets detected (ICMP_SourceQuench)
・ICMP too large
1025バイト以上のICMPを受信した場合の警告だということですが、いまいちよく分かりませんでした。あり得ないということで、間違いパケットではないかということでの判定なのでしょうか。
※想定外パケットだということで、誤動作を誘発しないためにも破棄するのが望ましいようです。
・TCP FIN and no ACK
FIN の場合には、かならずACKは付与されるようです。これがないということは、そういうパケットを生成し、送りつけていることを意味します。もしくは途中でパケットが壊れたとか??
これもOSを特定する手かがりになるようです。
今回はYamahaの不正アクセス検知機能で検知されたものを調べてみました。
不正アクセス検知機能(IDS)
細かく見ていくと、サーバーでも色々と対策しなければならないようです。