■ FINスキャン ■
前回はサーバーにログを残さずにポートスキャンを行う方法と
して「SYNスキャン」という方法を紹介しました。
「SYNスキャン」とは、スリーウェイ・ハンドシェイクの1
番目と2番目を行っておきながら、3番目に「RST」を投げ
て通信の確立を中断させてしまう方法でした。
今回はもう1つ別の方法を紹介したいと思います。
それは「FINスキャン」と呼ばれる方法です。
「FIN」(フィン)とは、何らかのサービスを送受信してい
るいるクライアントやサーバーが、「サービスを終了します。」
と言う意味で出すデータです。
通常は何らかのサービスが行われた後に、「1番最後」に用い
られるデータです。
同じように通信を終了させるデータとして、「RST」という
データもありますが、「RST」は「接続の確立を中断」させ
る為のデータであるのに対し、「FIN」は「接続の確立が正
常に終わり、かつ、何らかのサービスが終わった後に用いられ
る」という違いがあります。
もっと大雑把に言うと、「RST」(リセット)は何らかの異
常があった場合に接続を切ってしまう為に用いられるデータで、
「FIN」(フィン)は全てのやり取りが正常に完了した後に、
正常に接続を終了する為に用いられるデータです。
「FINスキャン」とは、「FIN」のデータを「1番最初」
に送ってしまう方法です。
1.FIN
┌──────┐「終了」 ┌─────┐
│クライアント├─────────────→│WEB │
│パソコン │ FIN │サ−バ− │
└──────┘ └─────┘
IE等でWEBページ YAHOO等のWEBページを作成、
を見たい人 管理している会社や個人
突然FIN(終了)と言われたサーバーは、そのポートがサービ
スを提供しているポートであれば、親切に「まだ何もしてない
んですけど。」と返事を返してきてくれます。
2.RST
┌──────┐ ┌─────┐
│クライアント│「何もしてないんですけど。」│WEB │
│パソコン │←─────────────┤サ−バ− │
└──────┘ RST └─────┘
IE等でWEBページ YAHOO等のWEBページを作成、
を見たい人 管理している会社や個人
ここで、「まだ何もしてないんですけど。」という意味のデー
タに「RST」が使用されています。
「RST」は接続の確立を中断させる為のデータでした。
この場合、クライアントとサーバー間で接続が確立されていな
い内に「FIN」というデータが届く為、サーバーは接続の確
立を中断する為のデータを返す事になります。
サービスを提供していないポートであれば、FINは無視されま
す。
2.サービスを提供していないポートに対してFINが来た場合
無視
┌──────┐ ┌─────┐
│クライアント│ │WEB │
│パソコン │ │サ−バ− │
└──────┘ └─────┘
IE等でWEBページ YAHOO等のWEBページを作成、
を見たい人 管理している会社や個人
これも人がやり取りを行う事を想像してもらえると分かりやす
いかもしれませんが、いきなり見ず知らずの人から「サービス
を終了します。」と言われたら、大抵は「何が?」と言ったり、
心の中で「変なの。」と思ったりすると思います。
ですので、これらの事を他人のネットワークに対して行ったり
しないようにしましょう。
前回は「SYNスキャン」を紹介し、今回は「FINスキャン」
を紹介しました。
これらサーバーにログを取られる事無くポートスキャンを行う
事をまとめて「ステルススキャン」と呼びます。
「ステルススキャン」とは、とにかく「ありえない事をやって
みて、サーバーの反応を見る。」という事に尽きると思います。
「SYNスキャン」や「FINスキャン」のやり取りを見て頂
けると分かると思いますが、とにかく「普通ではありえない事」
を行っているのです。
「ステルススキャン」にはこの他にも「全く意味を持たない、
空っぽのデータ」を送りつける方法もあります。
1.空
┌──────┐「空」 ┌─────┐
│クライアント├─────────────→│WEB │
│パソコン │ │サ−バ− │
└──────┘ └─────┘
IE等でWEBページ YAHOO等のWEBページを作成、
を見たい人 管理している会社や個人
この場合も「FINスキャン」と同じように、そのポートがサ
ービスを提供しているポートであれば、「RST」が返ってく
る事になります。
2.RST
┌──────┐ ┌─────┐
│クライアント│ RST │WEB │
│パソコン │←─────────────┤サ−バ− │
└──────┘ └─────┘
IE等でWEBページ YAHOO等のWEBページを作成、
を見たい人 管理している会社や個人
サービスを提供していないポートであれば、「FINスキャン」
と同じくデータは無視されます。
2.サービスを提供していないポートに対して空データが来た
場合
無視
┌──────┐ ┌─────┐
│クライアント│ │WEB │
│パソコン │ │サ−バ− │
└──────┘ └─────┘
IE等でWEBページ YAHOO等のWEBページを作成、
を見たい人 管理している会社や個人
空データを送りつける方法を人が行う事に例えると、「無言電
話を行う。」という事になるでしょうか。
何らかのコネクションはあるのに、何も言ってこないのです。
気持ち悪いです。
通常ではありえない動作をこの講座で詳しく紹介してもしょう
がないのでこれ以上の説明は行いませんが、この他にも「ステ
ルススキャン」にはさまざまな方法があります。
しつこいようですが、「ステルススキャン」を他人のネットワ
ークに対しては行わないようにしましょう。
さて、今回までで一通りポートスキャンの説明は終わった事に
なります。
ポートスキャンとは、複数のポートに対して接続を試み、どの
サービスが稼動しているのかを判定する行為の事でした。
ここで、この講座の1番最初に見て頂いた質問メールをもう1
度見てみましょう。
─↓ここから──────────────────────
私のパソコンには、NortonPersonalFirewall2001をインストー
ルしているのですが、頻繁に下記の様なログが残っています。
「これがポートスキャンというやつなのかな?」と思っている
のですが、何か対処が必要なのかどうか良くわかりません。
<Nortonのログ(IPの一部をxxxで伏せさせて頂きました)>
日付: 2001/11/20 時刻: 16:22:45
未使用ポートブロック機能が通信をブロックしました。
詳細:
インバウンド TCP 接続
リモートアドレス、 ローカルサービスは 210.3.xxx.xxx,http
─↑ここまで──────────────────────
あなたは、このメールに何と答えるでしょうか?
そろそろこの講座も終盤に近づいてきましたが、続きは次回に。