異世界からの訪問者『 127.0.0.1 』
この謎の訪問者はいったいだれか。
自分
ドイツにもY!BBがあったとは知らなかったぞ。
http://lists.insecure.org/lists/incidents/2001/Sep/0372.html
http://lists.insecure.org/lists/incidents/2002/Jun/0044.html
来てる奴はこのくらいはログ取れよ。
( ´Д` ) スンナッテ Λ_Λ
Λ_Λ / ,\ (´Д` ) イッテンダロ
( ´Д`) クダラネェツリ | l l | / ,\
/ \ | .;|;;:。;:,:、| ;| ..,. | l l |
| l l | ..,. ., ヽ '゚;_。:_;./ /;-゚;・,。:゚;:.゚|;;|. | ,|
| | | _|。.:_::゜。-.;.:゜;/_ン∩ソ/\;;:;.:.。: ヽ '゚;。_ / /
ヽ \_ .。'゚/ `。:、`;゜::;.:、,:゚;: .:..゜:: ゚。:..;: /_ン∩ソ/\
/\_ン∩ソ\ ゚ ;:゚..゜:: ゚。:.:.:゚; ゚ ;:゚..;゚; / /`ー'ー'\ \
. / /`ー'ー'\ \ ゚ ;:゚..゜:: ;。:.:.::゚。;:;.:ヽ < / /
〈 く / / ゚ ;:゚.。゜:;゚;゚.。.:`;:;.:.。 \ \ / /
. \ ヽ / / .;.:.;.゜::: ;。: ;:゚.゜:: : .〉 ) ( .く,
〉 ) ( .く, ゚.;゚ヽ(`Д´)ノウワァァン(_,ノ \.`)
(_,ノ .`ー' ;:ヽ( >>1 )ノ:゚.;.:;
2003/09/21 03:09:40: PP[01] Rejected at IN(default) filter: TCP 127.0.0.1:80 >
192.???.???.???:1344
今は静かですが。
(*゚ー゚( ;;*;; ) ∬
"U し":`J ,,.●;.: ,.ぶりぶり
`;;,・:';,:'∵ ● ● ● ● ● ● ● ●
うちに来てるのはRST ACKがセットされてるけど。
あとこれ参考になる?
ttp://archives.neohapsis.com/archives/snort/2003-09/0034.html
このパケットが出回る理由になってない気がするんだが…
Blasterってソースアドレス偽装するんだっけ?
RST, ACKなら自分がコネクション張ろうとして拒否された場合だな。
>>14のリンクによるとwindowsupdate.comが127.0.0.1にされちまってるって事か?
喰らってる奴はdigってみれ。
digってなに?
hostsデータでwindowsupdate.comが127.0.0.1になってるってこと?
それだとパケット自体、外に出ようがないんだけれども。
windowsupdate.comつながるし。
も少し詳しく。
digはnslookupみたいなもん。
それからhostsじゃなくてDNSの話。
dig入ってないけどnslookupだとダメなの?
X:\>nslookup windowsupdate.com
*** No address (A) records available for windowsupdate.com
>>14のリンク先
感染したクライアントが127.0.0.1:80に接続しようとして拒否されると
他のマシン<RandomIP>にも、ソース127.0.0.1:80なRST ACKパケットが投げられる
って読めるんだけど、あり得る事?
で結局、これの原因はBlaster(の対策にDNSいじったこと)でいいの?
質問ばっかりでスマソ
> 他のマシン<RandomIP>にも、ソース127.0.0.1:80なRST ACKパケットが投げられる
> って読めるんだけど、あり得る事?
普通はありえない。
Blasterがソースアドレスを<RandomIP>に偽装するならあるかも。
勘違いしちゃった。スマソ
>>20
んじゃ、Blast感染してない人は問題ナッシングなんだね
よかった
Sun, 2003-09-21 22:04:59 - TCP connection dropped - Source:127.0.0.1,80,WAN - Destination:220.xx.xxx.xx,1682,LAN
Sun, 2003-09-21 22:06:38 - TCP connection dropped - Source:127.0.0.1,80,WAN - Destination:220.xx.xxx.xx,1437,LAN
Sun, 2003-09-21 22:07:12 - TCP connection dropped - Source:127.0.0.1,80,WAN - Destination:220.xx.xxx.xx,1197,LAN
Sun, 2003-09-21 22:07:28 - TCP connection dropped - Source:127.0.0.1,80,WAN - Destination:220.xx.xxx.xx,1693,LAN
ちなみにOCNを使っていまつ。
http://pc.2ch.sc/test/read.cgi/sec/1063081161/584
localhost:xxxx -> localhost(127.0.0.1):xxxx (宛先ポートは同じ)
でUDPパケットを投げてて、
こいつを弾くとIEのネットワークからのデータ取得動作が極端に遅くなるみたい。
WindowsUpdateでどうこうってのはこれが関わってるのでは?
#そういや昔から気になってたんだよなぁ。これって何してんの?
何してるか知らないけどIEは前からそう。
TCPだし80だし関係ないと思う。
漏れは出ないよ。けど何故?
いいから、もう。
それぐらい、みんなわかってるから。
よくある、『127.0.0.1は自分だよ!』って突っ込みはナシだから。
そんなの踏まえて、言ってるだけだから。
あるマシンがワームに感染していた。
このマシンのワームはwindowsupdateにHTTPアクセスで
DoS攻撃を行なった。この時送信元のアドレスをAに詐称した。
windowsupdateのDNSレコードが127.0.0.1に書き換えられていた為、
このDoS攻撃は自分の内部に対して行ってしまった。127.0.0.1はこの
DoS攻撃(HTTPアクセス)の応答を律儀にもAにとどけた為、たまたま
詐称されたアドレスAの>>1が???(ワケワカラン)となった。
あるいはブラスター亜種等のワーム蔓延による半不可抗力的ものかと言う事だな。
自分としては >>31 の内容が一番つじつまが合うような気がするが。
ちなみに自分も1ヶ月前には無かったがここ最近叩かれてる。
使っていると見た
http://pc.2ch.sc/test/read.cgi/sec/1063081161/584
を見て、サイゲートのパーソナルFW SPF5.0のセキュ穴
の件を調べてみました。 IP address 127.0.0.1 あるいは
Network Address 127.0.0.0.を詐称したパケットを素通り
スルーさせてしまうというもの。こりゃひどいでつ。ポート
スキャン、DoS攻撃かけほうだい。
サイゲートでは今年の1月に大慌てで修正版をリリース。
以前の版の使用者にはルールで127.0.0.0-127.0.0.255を
ブロックしれ、と言ってます。
http://www.sygate.com/alerts/IP_Spoofing_Loopback_Address.htm
茂スレにいたあの脳タリンか?
>>34
> ポートスキャン
んな事できるわけねーだろ。
>>33
茂スレにいたあの脳タリンがやってるのかも。
http://www.google.co.jp/search?q=cache:esFn8cAZ5NoJ:lists.insecure.org/lists/bugtraq/2002/Sep/0131.html+%22IP+spoofing%22+Sygate&hl=ja&ie=UTF-8&inlang=ja
> The Attacker could scan or attack the target host without being
> detected by the personal firewall.
このアフォはなんで一人で興奮してるんだ?
こういうノータリヌが立てこもり事件起こしたり
散弾銃でお隣さん射ったりすんだよなー。
スキャンといえばポートスキャン。そんな>>37に萌ぇ〜〜〜
まあ普通の人がスキャンといえばポートスキャンだと
思うのはしかたない。しかしIPスプーフィングでセッッション
乗っ取る古典的な例が出てるわけだが、それはどのように
実行されたのか、それを防ぐにはどうすればいいか述べて
みれ。
回答できる人間は回答する。
回答できない人間は質問する。
質問も回答できないノータリヌは意味なく罵倒する。
なにしろマターリいきましょ
IPSpoofingには幾つか方法があるわけだが、どの方法に関して聞きたいんだ?
127.0.0.1をソースアドレスにしたパケットはルーターを越えられるんでしょうか?
フィルターしてなきゃ超えてくる。
家庭用の品はデフォルトでフィルタして欲しいものだが。。。
プロバイダもingress/egressフィルタで落せや。
なんだろね?
192.168.0.255とか来出したら嫌だね。
送信IPは簡単に詐称できることを知りますた。ビクーリ。最近も
セキュリティー板でメールのFROMも詐称できることを知りますた。
人間不信だぁ〜
>>8 >>23 見たいにルーターのLOGには残っていないです。(BAR-SD)
ちなみに静的フィルターしか付いてないのですがこれでは防げなのでしょうか?
スタティックフィルターでもブロックできる、ルーターのマニュアル嫁。
WAN側から入ってくる↓こいつらをソースアドレスにもつものをブロックすりゃいい。
インターフェース指定してフィルター書けないルータなら捨てろ。
http://www.blackh0le.net/useful/ip.html
最低
The current list of special use prefixes:
0.0.0.0/8
127.0.0.0/8
192.0.2.0/24
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
169.254.0.0/16
all D/E space
フィルターのテーブルに余裕があって偏執狂ならIANAが予約してるの全部ブロックしてもいい。
YAMAHAのはデフォルトブロックしてるから
何もしなくていいよね。ね?いいんだよね?
ちょっぴり不安
とくに0.0.0.0/8あたりが。
未だに使ってる人間が居たとは。
たぶん漏れの親父でも使ってないな。
お! それそれ
マルチキャストのゴミって事?
DHCPは始めはアドレス割り振られてないから0.0.0.0で「おいらにアドレスくれる香具師いる?」と
ブロードキャストする。
ゾヌでの進入検知をしてない訳だが。
来たら侵食でもされるの?
ファイアーウォ−ルもルーターも入れてないおいらには
関係ない話ですか?
ファイアウォールはともかく、ルータは入れたほうがいい。
アナログや ISDN のダイアルアップだからといって安心は出来ない。
パーソル http://www.persol-jp.com/ からアナログモデムや TA を
繋げられるルータも販売されている。
Unix 系 OS 使って自力でゴリゴリやってるとかならともかく、
ブロードバンドでファイアウォールもルータも使ってないなら死ぬ。
マカもたかくくってるぞ危ないぞ。
おいらブロードバンドなんでやばそう?
Xpのやつじゃまずいの?
毎日 Windows Update をやってて、危ない所には一切行かない、
メールの添付ファイルは全部捨てて、HTML メールは読まない。
出処の明らかでないソフトはインストールしない。
2ch に貼られたリンクは絶対にクリックしない。
そんな禁欲的生活を送っているなら大丈夫。
セックスを楽しむ時にコンドーム付けるのと同様、
ブロードバンドする時にルータをかますのは常識。
そうなんか・・・
ありがとう
お金が入ったらルータ検討してみる
セックスを楽しむ時にコンドーム付けないのがおいらの主義だが
ルータ入れりゃそれに越したことはないが、パソコン1台の環境なら
ファイアウォール+アンチウィールス+アンチスパイ+Windows Update
で普通は十分。もちろんウィールス定義ファイルは毎日更新をチェック
する。(セキュ板にいろいろ専門スレがあるから参考に)
もっともノートン買うくらいならルータ買ってフリーのセキュソフト入れた
方がいい。実勢1万前後の製品で十分。
PC2台以上ならもちろんルータ必須。NetBIOS+馬鹿ハブでつないだり
してると世界中から丸見えw
ブロードバンドルータ導入によって得られる安全性と最初の1文以外の警告に関連性が無い。
>>70
1台ならFWで間に合って2台以上になるとルータ無しじゃ歯が立たないってのは明らかにおかしいと思うが?
個々のPCにFW入れて運用ってのは手間は増えるが、その手間さえ惜しまなければ1台の時と変わらないと思うが…
2台になるとLAN内とLAN外の双方と通信しなきゃならない
んだから状況は全然違ってくる。てか、釣りか?
脆弱性はないのでしょうか?
NIS2002使用してるんだがブロックしてるのかどうかよくわかりません。
そのためのFWなんだが釣りか?
設定覗いたことないのか?
それとも詳細な設定殆ど出来ないタイプのFW使ってんのか?
誰がIPフォワードするんだよ。ボケッ
SygatePFにもそんな脆弱性はない
>>34に書いてあるように現行バージョンはないけど以前はあった。
SygatePFに今はないとして他のPFは本当に大丈夫なのかとういうこと。
誰でも知ってるような知識の切れ端ふりまわして迷惑がられる
のは職場でやってくれ。それともその性格が災いして失業中か?
自分に言い聞かせてんの?失業中なのか。。
会社で何か嫌な事でもあったのか。
お兄さんに話してみなさい。
素晴らしい奴らだ。
おら、2ch信者は所詮そんなもんさ。
高卒さんにはわからないかもしれませんが大学では1限から講義があるとは限りませんよ。
http://aa2.2ch.sc/test/read.cgi/accuse/1062154461/946
>基本的に常に偉そうにしている。嫌味を言うときだけ敬語になる。
実に素晴らしい2ch信者だ。
特徴に合致している。
批判要望板で自分なりの意見を書き込んでみてはいかがかな?
アダルト画面が勝手に立ち上げって仕方ありません
どうすればいいでしょうか?
アンチ2ch教信者以外批判要望板なんていきませんよ。
そんなに2chが嫌いならYahoo掲示板でも/.でも個人サイトのBBSでも好きなところRよ。
煽って誤魔化そうとしないで、>>78に答えろよ。
ICSでもISPから複数IPでも何でも良いだろ。
2台以上になると利便性の面でルータだろうな。
外れ掴まされると痛い目にあうようなので興味があるならハード板逝ってくれ。
|∀`) ダレモイナイ・・ヌルポイウナラ イマノウチ
|⊂
|
♪ Å
♪ / \
ヽ(´∀` )ノ <ぬるぽ
( へ)
く
♪ Å
♪ / \
ヽ( ´∀`)ノ <ぬぽぬぽ
(へ ) ぬるぽ
>
100〜のスレッドの続きを読む