ステルススキャン

提供: セキュリティ
移動: 案内検索
スポンサーリンク

ステルススキャン (stealth scan) とは、サーバにログを残さずにポートスキャンを行う手法です。

読み方

ステルススキャン
すてるすすきゃん
stealth scan
すてるすすきゃん

概要

ポートスキャンは、サーバに接続を試みることで、ポートの開閉状態を確認します。 普通に接続を試してしまうと、サーバ側にログが残るため、ポートスキャンの実施が証拠として残ります。これを回避するため、通常の手順とは異なる応答を行うことで、ログを残さずにスキャンすることをステルススキャンといいます。

ステルススキャンの種類

ポートスキャンは、やり方によっては、OSやサービスのログにスキャンの形跡を残します。サーバのログに痕跡を残さないスキャンのことをステルススキャン(stealth scan)と呼びます。

ステルススキャンとして、以下の手法があります。

  • 通信の接続が確立する前に RSTパケットを送信して、接続を中断する SYNスキャン
  • 接続が確立しない状態で、FINパケットを送信する FINスキャン

nmapにおけるステルススキャン

FINスキャン

TCP FINスキャンは、-sF オプションを使用します。

$ nmap -sF 192.168.0.1

SYNスキャン

TCP SYNスキャン/TCPハーフスキャン

$ nmap -sS 192.168.0.1

NULLスキャン

TCP SYNスキャン/TCPハーフスキャン

$ nmap -sN 192.168.0.1

Xmasスキャン

Xmasスキャン

$ nmap -sX 192.168.0.1

ステルススキャン対策

iptablesによるステルススキャン対策

以下の設定は、ステルススキャンを抑止するための基本ルールです。

iptables -A port-scan -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j RETURN
iptables -A port-scan -j DROP
 
iptables -A INPUT -p tcp -j port-scan

関連項目





スポンサーリンク