■ 通信開始 ■
かなり昔の話になるのですが、読者の方から以下の様なメール
を頂きました。
─↓ここから──────────────────────
私のパソコンには、NortonPersonalFirewall2001をインストー
ルしているのですが、頻繁に下記の様なログが残っています。
「これがポートスキャンというやつなのかな?」と思っている
のですが、何か対処が必要なのかどうか良くわかりません。
<Nortonのログ(IPの一部をxxxで伏せさせて頂きました)>
日付: 2001/11/20 時刻: 16:22:45
未使用ポートブロック機能が通信をブロックしました。
詳細:
インバウンド TCP 接続
リモートアドレス、 ローカルサービスは 210.3.xxx.xxx,http
─↑ここまで──────────────────────
この方には個別に、
「Firewallソフトがインストールされているようなのでそれほ
ど神経質になる必要はありません。」
という内容のメールを返した覚えがあります。
「ポートスキャン」とは何なのでしょうか?
「ポートスキャン」という言葉自体はよくコンピュータ雑誌な
どで取り上げられているので聞いたことがあるという方は多い
かもしれません。
大抵は、「ハッカーがコンピュータに侵入する際に、どのサー
ビスが動いているか確認する為に最初に行なう・・・」等と書
かれてあります。
では具体的には何を行なっていて、その原理はどうなっている
のかというと、それについては詳しく書かれてある事は少ない
かもしれません。(全く無いというわけではないのですが・・。)
ポートスキャンを知る為にはまずインターネットで通信が開始
される時に何が行なわれるかを知らなければなりません。
例えば、みなさんがWEBページを見るとしましょう。
以下にWEBページを見る時のイメージを示します。
┌──────┐ WEBページ見せて ┌─────┐
│クライアント├─────────────→│WEB │
│パソコン │"GET / HTTP/1.0" │サ−バ− │
└──────┘ └─────┘
IE等でWEBページ YAHOO等のWEBページを作成、
を見たい人 管理している会社や個人
クライアントパソコンがサーバーに対して「WEBページ見せて。」
という意味の文字列「GET / HTTP/1.0」を送信しています。
皆さんがインターネット上でホームページを閲覧する時には、
上記の様な文字列が送信されているのです。
サーバーは上記の様な文字列を受け取ると、以下のようにWEB
ページを送ってきてくれます。
┌──────┐ WEBページをどうぞ ┌─────┐
│クライアント│←─────────────┤WEB │
│パソコン │ │サ−バ− │
└──────┘ └─────┘
IE等でWEBページ YAHOO等のWEBページを作成、
を見たい人 管理している会社や個人
上記の様なやり取りが行われる事により、皆さんはYahoo!など
のWEBページを見る事が出来ます。
さて、上の図でWEBサーバーは文字列を受信していますが、サ
ーバーはいきなり「GET / HTTP1.0/」等の文字列を送られてき
て対応する事が出来るのでしょうか?
答えは「NO」です。
いきなりそのような文字列を送られてきてもサーバーは対応す
ることが出来ません。
何故、対応する事ができないのでしょうか?
答えは次回に。