「ステルススキャン」の版間の差分
提供: セキュリティ
(ページの作成:「<!-- vim: filetype=mediawiki --> ステルススキャン (stealth scan) とは、サーバにログを残さずにポートスキャンを行う手法です。...」) |
|||
| 行1: | 行1: | ||
| − | |||
| − | |||
| − | |||
[[ステルススキャン]] (stealth scan) とは、サーバにログを残さずに[[ポートスキャン]]を行う手法です。 | [[ステルススキャン]] (stealth scan) とは、サーバにログを残さずに[[ポートスキャン]]を行う手法です。 | ||
| 行10: | 行7: | ||
== 概要 == | == 概要 == | ||
| − | |||
[[ポートスキャン]]は、サーバに接続を試みることで、ポートの開閉状態を確認します。 | [[ポートスキャン]]は、サーバに接続を試みることで、ポートの開閉状態を確認します。 | ||
普通に接続を試してしまうと、サーバ側にログが残るため、[[ポートスキャン]]の実施が証拠として残ります。これを回避するため、通常の手順とは異なる応答を行うことで、ログを残さずにスキャンすることを[[ステルススキャン]]といいます。 | 普通に接続を試してしまうと、サーバ側にログが残るため、[[ポートスキャン]]の実施が証拠として残ります。これを回避するため、通常の手順とは異なる応答を行うことで、ログを残さずにスキャンすることを[[ステルススキャン]]といいます。 | ||
| − | == | + | == ステルススキャンの種類 == |
| + | [[ポートスキャン]]は、やり方によっては、OSやサービスのログにスキャンの形跡を残します。サーバのログに痕跡を残さないスキャンのことを[[ステルススキャン]](stealth scan)と呼びます。 | ||
| + | [[ステルススキャン]]として、以下の手法があります。 | ||
| + | * 通信の接続が確立する前に RSTパケットを送信して、接続を中断する [[TCP SYNスキャン|SYNスキャン]] | ||
| + | * 接続が確立しない状態で、FINパケットを送信する [[TCP FINスキャン|FINスキャン]] | ||
| + | |||
| + | == nmapにおけるステルススキャン == | ||
| + | === FINスキャン === | ||
| + | [[TCP FINスキャン]]は、-sF オプションを使用します。 | ||
| + | <syntaxhighlight lang="bash"> | ||
| + | $ nmap -sF 192.168.0.1 | ||
| + | </syntaxhighlight> | ||
| + | === SYNスキャン === | ||
| + | [[TCP SYNスキャン]]/TCPハーフスキャン | ||
| + | <syntaxhighlight lang="bash"> | ||
| + | $ nmap -sS 192.168.0.1 | ||
| + | </syntaxhighlight> | ||
| + | === NULLスキャン === | ||
| + | [[TCP SYNスキャン]]/TCPハーフスキャン | ||
| + | <syntaxhighlight lang="bash"> | ||
| + | $ nmap -sN 192.168.0.1 | ||
| + | </syntaxhighlight> | ||
| + | === Xmasスキャン === | ||
| + | Xmasスキャン | ||
| + | <syntaxhighlight lang="bash"> | ||
| + | $ nmap -sX 192.168.0.1 | ||
| + | </syntaxhighlight> | ||
| + | |||
| + | == ステルススキャン対策 == | ||
| + | == iptablesによるステルススキャン対策 == | ||
| + | 以下の設定は、[[ステルススキャン]]を抑止するための基本ルールです。 | ||
| + | <syntaxhighlight lang="bash"> | ||
| + | iptables -A port-scan -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j RETURN | ||
| + | iptables -A port-scan -j DROP | ||
| + | |||
| + | iptables -A INPUT -p tcp -j port-scan | ||
| + | </syntaxhighlight> | ||
| + | |||
| + | == 関連項目 == | ||
* [[TCP SYNスキャン]] | * [[TCP SYNスキャン]] | ||
* [[TCP FINスキャン]] | * [[TCP FINスキャン]] | ||
* [[nmap]] | * [[nmap]] | ||
| + | |||
| + | <!-- | ||
| + | vim: filetype=mediawiki | ||
| + | --> | ||
2014年11月8日 (土) 20:14時点における最新版
ステルススキャン (stealth scan) とは、サーバにログを残さずにポートスキャンを行う手法です。
読み方
- ステルススキャン
- すてるすすきゃん
- stealth scan
- すてるすすきゃん
目次
概要
ポートスキャンは、サーバに接続を試みることで、ポートの開閉状態を確認します。 普通に接続を試してしまうと、サーバ側にログが残るため、ポートスキャンの実施が証拠として残ります。これを回避するため、通常の手順とは異なる応答を行うことで、ログを残さずにスキャンすることをステルススキャンといいます。
ステルススキャンの種類
ポートスキャンは、やり方によっては、OSやサービスのログにスキャンの形跡を残します。サーバのログに痕跡を残さないスキャンのことをステルススキャン(stealth scan)と呼びます。
ステルススキャンとして、以下の手法があります。
nmapにおけるステルススキャン
FINスキャン
TCP FINスキャンは、-sF オプションを使用します。
$ nmap -sF 192.168.0.1
SYNスキャン
TCP SYNスキャン/TCPハーフスキャン
$ nmap -sS 192.168.0.1
NULLスキャン
TCP SYNスキャン/TCPハーフスキャン
$ nmap -sN 192.168.0.1
Xmasスキャン
Xmasスキャン
$ nmap -sX 192.168.0.1
ステルススキャン対策
iptablesによるステルススキャン対策
以下の設定は、ステルススキャンを抑止するための基本ルールです。
iptables -A port-scan -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j RETURN iptables -A port-scan -j DROP iptables -A INPUT -p tcp -j port-scan
関連項目