「Linux Tips (セキュリティ)」の編集履歴(バックアップ)一覧はこちら
「Linux Tips (セキュリティ)」(2006/05/28 (日) 04:05:57) の最新版変更点
追加された行は緑色になります。
削除された行は赤色になります。
''コンテンツ一覧''
#contents
*psコマンド改竄時の対処
/procでプロセスを確認すると良い。psは改竄できても/procの改竄は難しい。
以下のコマンドを実行してみる
# ls -d /proc/* | grep [0-9] | wc -l ; ps aux | wc -l
62
62
上記の場合なら、/procで確認したものと、psで確認したものが同じ数なので問題無い。
これが、/procで確認したもののほうが圧倒的に多い場合などは、
危険な状態の可能性が高い。
&html(<p align="right">by chibi</p>)
*Apacheの1.3系と2.0系を見分ける方法
# echo -e 'OPTIONS * HTTP/1.0\n\n' | nc ターゲット 80
Allowの行で、見分けをつけることが可能。
1.3系: Allow: GET, HEAD, OPTIONS, TRACE
2.0系: Allow: GET,HEAD,POST,OPTIONS,TRACE
&html(<p align="right">by chibi</p>)
*MACアドレス偽装
以下の操作で、MACアドレスを偽装することができる。
# ifdown eth0
# ifconfig eth0 hw ether 01:02:03:AB:CD:DF ←eth0の場合
# ifup eth0
以上で、MACアドレスの偽装は完了。MACアドレスで制限しているシステムも、
許可されているMACアドレスを上記で指定してやれば、突破することが可能。
MACアドレスはユニークなものであるが、簡単に偽装することが可能ということを
忘れないで欲しい。MACアドレス = ユニーク = 安全 というのは、
間違った見解である。
なお、コンピュータを再起動すれば、MACアドレスは元に戻る。
&html(<p align="right">by chibi</p>)
*囮のIPアドレスを指定して、ポートスキャンする
nmapを使用してポートスキャンする際に、-sS を指定して
ステルススキャンを行なえば、ターゲットのログに記録されにくくはなる。
しかし、例えステルススキャンしてもNIDSなどの検知システムは反応し、
NIDSのログにはバッチリ、ポートスキャンされたことが残ってしまう。
ここでは、囮のIPアドレスを使用して、ターゲットのNIDSのログに、
自分の痕跡を残しづらくする方法を紹介する。
ターゲットのNIDSのログには、ここで指定した囮のIPアドレスが残る。
書式は、以下の通り、
# nmap -sS -P0 -D 囮のIPアドレス1,ME,囮のIPアドレス2 ターゲット
以下に実行例を示す
# nmap -sS -P0 -D 222.222.222.222,ME,222.222.222.223 target.com
ここでは、囮のIPアドレスに、222.222.222.222 と 222.222.222.223 を
指定している。
なお、ここで指定する囮のIPアドレスは実際に生きているホストを
指定してやる必要がある。
この例でのターゲットは、target.comとなる。
&html(<p align="right">by chibi</p>)
*SSHで接続した時にwhoに表示されないようにする
以下のようにSSHで接続すれば、Whoコマンドを叩いたときに、
接続ユーザとして表示されないようになる。
& ssh -T 接続先 bash -i
&html(<p align="right">by chibi</p>)
*スイッチングハブを導入すれば、パケット盗聴は防げる??
基本的には防げる。スイッチはMACアドレスを見て、宛先に送信するの為。
でもARP偽装によってセッションハイジャックをされた場合は、
スイッチも意味をなさなくなる。
セッションハイジャックとは、仲介みたいな感じ。ホスト間に割り込むので、
ここでパケット盗聴をすれば簡単に盗聴ができる。
他にもMACアドレスをフラッドさせる方法などを使えば、スイッチの機能を無効化できる。
''コンテンツ一覧''
#contents
*psコマンド改竄時の対処
/procでプロセスを確認すると良い。psは改竄できても/procの改竄は難しい。
以下のコマンドを実行してみる
# ls -d /proc/* | grep [0-9] | wc -l ; ps aux | wc -l
62
62
上記の場合なら、/procで確認したものと、psで確認したものが同じ数なので問題無い。
これが、/procで確認したもののほうが圧倒的に多い場合などは、
危険な状態の可能性が高い。
&html(<p align="right">by chibi</p>)
*Apacheの1.3系と2.0系を見分ける方法
# echo -e 'OPTIONS * HTTP/1.0\n\n' | nc ターゲット 80
Allowの行で、見分けをつけることが可能。
1.3系: Allow: GET, HEAD, OPTIONS, TRACE
2.0系: Allow: GET,HEAD,POST,OPTIONS,TRACE
&html(<p align="right">by chibi</p>)
*MACアドレス偽装
以下の操作で、MACアドレスを偽装することができる。
# ifdown eth0
# ifconfig eth0 hw ether 01:02:03:AB:CD:DF ←eth0の場合
# ifup eth0
以上で、MACアドレスの偽装は完了。MACアドレスで制限しているシステムも、
許可されているMACアドレスを上記で指定してやれば、突破することが可能。
MACアドレスはユニークなものであるが、簡単に偽装することが可能ということを
忘れないで欲しい。MACアドレス = ユニーク = 安全 というのは、
間違った見解である。
なお、コンピュータを再起動すれば、MACアドレスは元に戻る。
&html(<p align="right">by chibi</p>)
*囮のIPアドレスを指定して、ポートスキャンする
nmapを使用してポートスキャンする際に、-sS を指定して
ステルススキャンを行なえば、ターゲットのログに記録されにくくはなる。
しかし、例えステルススキャンしてもNIDSなどの検知システムは反応し、
NIDSのログにはバッチリ、ポートスキャンされたことが残ってしまう。
ここでは、囮のIPアドレスを使用して、ターゲットのNIDSのログに、
自分の痕跡を残しづらくする方法を紹介する。
ターゲットのNIDSのログには、ここで指定した囮のIPアドレスが残る。
書式は、以下の通り、
# nmap -sS -P0 -D 囮のIPアドレス1,ME,囮のIPアドレス2 ターゲット
以下に実行例を示す
# nmap -sS -P0 -D 222.222.222.222,ME,222.222.222.223 target.com
ここでは、囮のIPアドレスに、222.222.222.222 と 222.222.222.223 を
指定している。
なお、ここで指定する囮のIPアドレスは実際に生きているホストを
指定してやる必要がある。
この例でのターゲットは、target.comとなる。
&html(<p align="right">by chibi</p>)
*SSHで接続した時にwhoに表示されないようにする
以下のようにSSHで接続すれば、Whoコマンドを叩いたときに、
接続ユーザとして表示されないようになる。
& ssh -T 接続先 bash -i
&html(<p align="right">by chibi</p>)
*スイッチングハブを導入すれば、パケット盗聴は防げる??
基本的には防げる。スイッチはMACアドレスを見て、宛先に送信するの為。
でもARP偽装によってセッションハイジャックをされた場合は、
スイッチも意味をなさなくなる。
セッションハイジャックとは、仲介みたいな感じ。ホスト間に割り込むので、
ここでパケット盗聴をすれば簡単に盗聴ができる。
他にもMACアドレスをフラッドさせる方法などを使えば、スイッチの機能を無効化できる。
&html(<p align="right">by chibi</p>)
表示オプション
横に並べて表示:
変化行の前後のみ表示:
