- - PR -
iptables の RETURN の使い方
| 投稿者 | 投稿内容 | ||||
|---|---|---|---|---|---|
|
投稿日時: 2004-06-17 11:45
>なぜ、一箇所でログをとる方が良いと思いますか ?
必要なら 10 箇所でログをとっても良いし、 必要無いならログを取らなくても良いと思います。 (9)のところで"### Stealth scan ###" とログをとったのに、また(14)のところで同じパケットを"# DROP LOG INPUT #"ととってしまうとだぶるので、後でログを確認する時に、その分時間がかかってしまうかなと思ったのですが。。 普通、皆さんはどのようにされているのでしょうか? [ メッセージ編集済み 編集者: coolkun 編集日時 2004-06-23 12:00 ] | ||||
|
投稿日時: 2004-06-18 15:44
すみません、これは大間違いでした。 
TCPの通信中にエラーが発生したような場合はRSTフラグだけのパケットが送られてきますね。 RST,ACKが送られてくるのは閉じているポートにアクセスした時などですね。 「--tcp-flags SYN,ACK,FIN,RST RST」にマッチするようなパケットでは ポートスキャンしても、開いているか閉じているか判断できないと思うんですが、 判断できるようなOSやフラグの組み合わせでもあるんでしょうか? | ||||
|
投稿日時: 2004-06-19 15:04
これは、このパケット自体がスキャンなのではなく、スキャン対象ホストからの 応答に対する RST なのではないでしょうか ? | ||||
|
投稿日時: 2004-06-19 21:51
なるほど 
TCP half-openのスキャンでSYN,ACKに対して(SYN Flood状態にさせない為に)RSTを返す ポートスキャナがあるから、それを捉えるということですね。 SYN,ACKを返した場合にしか検出できないのが残念ですが、 効率やFalse Positiveを考えると仕方ないですね。 | ||||
|
投稿日時: 2004-06-25 11:18
なんかとーっても長くなってしまいました。
少し質問が残ってしまいましたが、一旦、ここでしめますね。 皆さん、ご協力、大変、ありがとうございました。 | ||||
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。