初めてカキコします。
NTTのルーターを使用しております。
lan内は fedora4,w2k,win98,win95,winme,nt4(ファイルサバなど)などの状態です。
先日 自宅からこの会社のルータへportscanしてみたら妙な感じがしましたので助言がいただければと思います。(ダイナミックDNSを使用)
最初のスキャンの結果)
137/tcp filtered netbios-ns
138/tcp filtered netbios-dgm
139/tcp filtered netbios-ssn
500/tcp filtered isakmp
1723/tcp filtered pptp
12345/tcp filtered NetBus
27374/tcp filtered subseven
2回目以降〜)
Starting Nmap 4.00 ( http://www.insecure.org/nmap/ ) at 2006-03-10 19:05 JST
Note: Host seems down. If it is really up, but blocking our ping probes, try -P0
Nmap finished: 1 IP address (0 hosts up) scanned in 4.332 seconds
*最初の状態は その後2回ほど確認しましたが、また2回目以降のスキャン結果の同じに戻っております。
NTTには確認しましたら 異常とのこと・・・う〜ん
やっぱ 怪しいでしょうか?
PS)ダイナミックDNSのミス設定でなはないかと思います。その後も2回でてますので。・・・・
> NTTのルーターを使用しております。
> lan内は fedora4,w2k,win98,win95,winme,nt4(ファイルサバなど)などの状態です。
> 先日 自宅からこの会社のルータへportscanしてみたら妙な感じがしましたので助言がいただければと思います。(ダイナミックDNSを使用)
この会社というのは、自分の関係先でnmapして大丈夫ということですよね。
> 最初のスキャンの結果)
> 137/tcp filtered netbios-ns
> 138/tcp filtered netbios-dgm
> 139/tcp filtered netbios-ssn
> 500/tcp filtered isakmp
> 1723/tcp filtered pptp
> 12345/tcp filtered NetBus
> 27374/tcp filtered subseven
>
> 2回目以降〜)
> Starting Nmap 4.00 ( http://www.insecure.org/nmap/ ) at 2006-03-10 19:05 JST
> Note: Host seems down. If it is really up, but blocking our ping probes, try -P0
> Nmap finished: 1 IP address (0 hosts up) scanned in 4.332 seconds
>
> *最初の状態は その後2回ほど確認しましたが、また2回目以降のスキャン結果の同じに戻っております。
>
>
> NTTには確認しましたら 異常とのこと・・・う〜ん
> やっぱ 怪しいでしょうか?
> PS)ダイナミックDNSのミス設定でなはないかと思います。その後も2回でてますので。・・・・
そう思われるなら、他人のところにnmapして迷惑をかけたりしている可能性もあり、即刻こういう行為は止めるべきでは? プロバイダに報告されたりしてサービス解約なんてことになったらまずいのでは?
間違いなく、自分がnmapしても良い対象かどうかを確認する(DDNSの更新の遅れやミスが懸念されるならIPベースでwebサービスあたりを使って絶対に対象が間違いないかどうかを確認する。)ぐらいの配慮は必要では?
因みに、ルータがポートスキャンを検知したら一定時間そのIPからのアクセスを遮断する機能があるとこういう感じになるかもしれませんね。ただ、一回nmapが終わるまで待っているなんてことはないので、やはり古いアドレスにNMAPしている可能性が高いのでは?
> > NTTのルーターを使用しております。
> > lan内は fedora4,w2k,win98,win95,winme,nt4(ファイルサバなど)などの状態です。
> > 先日 自宅からこの会社のルータへportscanしてみたら妙な感じがしましたので助言がいただければと思います。(ダイナミックDNSを使用)
>
> この会社というのは、自分の関係先でnmapして大丈夫ということですよね。
>
> > 最初のスキャンの結果)
> > 137/tcp filtered netbios-ns
> > 138/tcp filtered netbios-dgm
> > 139/tcp filtered netbios-ssn
> > 500/tcp filtered isakmp
> > 1723/tcp filtered pptp
> > 12345/tcp filtered NetBus
> > 27374/tcp filtered subseven
> >
> > 2回目以降〜)
> > Starting Nmap 4.00 ( http://www.insecure.org/nmap/ ) at 2006-03-10 19:05 JST
> > Note: Host seems down. If it is really up, but blocking our ping probes, try -P0
> > Nmap finished: 1 IP address (0 hosts up) scanned in 4.332 seconds
> >
> > *最初の状態は その後2回ほど確認しましたが、また2回目以降のスキャン結果の同じに戻っております。
> >
> >
> > NTTには確認しましたら 異常とのこと・・・う〜ん
> > やっぱ 怪しいでしょうか?
> > PS)ダイナミックDNSのミス設定でなはないかと思います。その後も2回でてますので。・・・・
>
> そう思われるなら、他人のところにnmapして迷惑をかけたりしている可能性もあり、即刻こういう行為は止めるべきでは? プロバイダに報告されたりしてサービス解約なんてことになったらまずいのでは?
> 間違いなく、自分がnmapしても良い対象かどうかを確認する(DDNSの更新の遅れやミスが懸念されるならIPベースでwebサービスあたりを使って絶対に対象が間違いないかどうかを確認する。)ぐらいの配慮は必要では?
> 因みに、ルータがポートスキャンを検知したら一定時間そのIPからのアクセスを遮断する機能があるとこういう感じになるかもしれませんね。ただ、一回nmapが終わるまで待っているなんてことはないので、やはり古いアドレスにNMAPしている可能性が高いのでは?
さっそくのご返答ありがとうございます。
> > この会社というのは、自分の関係先でnmapして大丈夫ということですよね。
はい 私の作成した環境ですので、自分が管理しております。
> > そう思われるなら、他人のところにnmapして迷惑をかけたりしている可能性もあり、即刻こういう行為は止めるべきでは? プロバイダに報告されたりしてサービス解約なんてことになったらまずいのでは?
プロバイダーさんにも相談しておりますし、他に対しての無意味なNMAPはしておりません。
> > 間違いなく、自分がnmapしても良い対象かどうかを確認する(DDNSの更新の遅れやミスが懸念されるならIPベースでwebサービスあたりを使って絶対に対象が間違いないかどうかを確認する。)ぐらいの配慮は必要では?
配慮はしております。おっしゃる通り 会社のHPやSSH(鍵暗号)のPORTをあけてたりして、特定できやすいようにしてあります。
確かに ダイナミックDNSの誤認もあります(実際ありましたのでわかります)
> > 因みに、ルータがポートスキャンを検知したら一定時間そのIPからのアクセスを遮断する機能があるとこういう感じになるかもしれませんね。
それは確認してみますね。。というかあるかもしれませんね。
それにしても疑問なのです。
LAN内の要求に応じてWAN側のPORTがあく。。とNTTの技術担当は言っておりましたが。(ま ハックされてということなんですね)
1)だとすれば やはり感染の可能性があるなかなと・・
2)しかし、プロバイダー側では そのようなこと(LAN内でのネットワーク要求に対してWANのPORTが開くということ)はありえない ということでした。
どうも そのへんが理解できずにいますTT
> > > 因みに、ルータがポートスキャンを検知したら一定時間そのIPからのアクセスを遮断する機能があるとこういう感じになるかもしれませんね。
> それは確認してみますね。。というかあるかもしれませんね。
>
> それにしても疑問なのです。
> LAN内の要求に応じてWAN側のPORTがあく。。とNTTの技術担当は言っておりましたが。(ま ハックされてということなんですね)
ここに提示された内容のどこにそういう事実、つまり「WAN側のPORTがあいている」という事実があるのでしょうか?
遠藤さんが、何を持って、「WAN側のPORTがあいて」いると判断されているか具体的に語って見てくれませんか? 何か勘違いしているだけのような気がします。
遠藤さんがここに書かれたことは全く逆のことで、会社に対してポートスキャンしたら、最初は「137/tcp filtered netbios-ns」のようにフィルタされているという表示があり何かしらの端末があるような表示だったのに、2回目以降は、「Host seems down.」とホストがダウンしているという表示になるのは何故か? とおっしゃっていると理解したのですが、違うのですか?
おやじはそう読み取ったので、上記のようにルータにポートスキャン検知機能があるのでは?という遮断されている可能性のある説明をしました。しかし、遠藤さんはそれに対して「開いている」ことを問題視しており、話がすれ違っています。
遠藤さんが問題視しているのは、ポートが開いているというより、むしろ、反応しなくなったこと、会社のルータ(そのIPを持った端末といったほうが正確かもしれませんが)が見えなくなってしまったことかとおやじは思ったのですが?
因みに、NTTの方が言っているのは、SPI(ステートフル・パケット・インスペクション)のことを言っているのだと思います。SPIとは、例えばLAN側から外部のWWWを見たときに帰りのパケットが戻ってきますが、ルータは最初の外部へのアクセス要求を覚えていてこの帰りのパケットはその応答であるとして通過させてあげ、それ以外の外部からのパケットはおかしいとして遮断するという機能です。つまり、いきなり外部からくるパケットはおかしいとして遮断してくれる機能です。
> 1)だとすれば やはり感染の可能性があるなかなと・・
> 2)しかし、プロバイダー側では そのようなこと(LAN内でのネットワーク要求に対してWANのPORTが開くということ)はありえない ということでした。
検証ありがとうございます。
> ここに提示された内容のどこにそういう事実、つまり「WAN側のPORTがあいている」という事実があるのでしょうか?
WAN側のPORTが1時的に開いた●可能性●があるということで、おっしゃるとおり1時的にフィルターされていたという事実しかありませんね。
> 遠藤さんがここに書かれたことは全く逆のことで、会社に対してポートスキャンしたら、最初は「137/tcp filtered netbios-ns」のようにフィルタされているという表示があり何かしらの端末があるような表示だったのに、2回目以降は、「Host seems down.」とホストがダウンしているという表示になるのは何故か? とおっしゃっていると理解したのですが、違うのですか?
申し分けありません。どうも表現がまずくて。[Host seems down]自体は意味は特別ありませんが(単にHostがpingをはじているだけですので)、だいたいおっしゃる通りです。
★一部のWAN側のPORT(137〜)がフィルター状態であったりなかったりという変動状況が妙だ★ と感じています。
>遠藤さんはそれに対して「開いている」ことを問題視しており、話がすれ違っています。
いえいえ 別に開いてるということではなく、上記のようにPORT状態が変動することです。(★特にあやしそうな感じのPORTが・・・)
> 因みに、NTTの方が言っているのは、SPI(ステートフル・パケット・インスペクション)のことを言っているのだと思います。
はい 多分そうだったんでしょうね・・・今思うと・・
今の問題とは直接は関係ないと思っておりますが、ただ、仮にバックドアが仕掛けられても、これを使うとバックドアの通信をシャットダウンできるのではないですか?ね・・・WAN側へのすべてのサービス機能が使えなくなりそうですからね・・ま 仕掛けられていたらの話ですが。
もうすこし調査してみます^^ ありがとうございます。
単純に、nmapの使い方というか動作を意識した結果の判断の問題でしょうね。
最初のような結果が出るのは、そのIPに対応する何らかの端末がいて反応がある場合です。つまりポートスキャン前のpingに対して応答があったとか、ポートスキャンのTCP-SYNに対してSYN-ACKで応答してきたか、ファイヤウォール等がRST-ACK等でセッション切断してきた場合です。
後者のような見え方は、対象のIPに対するポートスキャン前のpingに対して不応答、もしくは一切外部からのアクセス(TCP-SYN)に対して反応しないようなつくりになっているルータやファイヤウォールがいる場合です。こんなものは一般にないので、このケースは存在しないアドレスにポートスキャンしているとしか考えられません。
言い換えると、ポートスキャン時に指定したアドレスはその時点では遠藤さんのサイトのものではないとしか考えられません。そういう意味で、前回は自分が知らないうちにIPアドレスが変わっていて、前に使用していたアドレスにnmapしている可能性が高いと判断したので、そのアドレスが未使用ならいいのですが、偶然、そのアドレスを他の方がハントしていたら他人にnmapしている可能性も大いにあるのでしっかりと自分のサイトか確認してから(例えば、そのIPでアクセスしてwebで自分のページをリアルタイムに見ながら)試験しないとまずいのでは?といったつもりです。
前述のようにルータがある環境で無反応にはまずならないので、ハックされてこういう結果にはなりえません。むしろガバガバに開けられてしまうならわからないではないですが・・・。
単純に回線が切れ安すくて、IPが知らないうちに変わっているだけではないですか? ルータのログを見たほうが早いと思いますが。