※上記の広告は60日以上更新のないWIKIに表示されています。更新することで広告が下部へ移動します。

コンテンツ一覧

psコマンド改竄時の対処

/procでプロセスを確認すると良い。psは改竄できても/procの改竄は難しい。
以下のコマンドを実行してみる
# ls -d /proc/* | grep [0-9] | wc -l ; ps aux | wc -l
62
62
上記の場合なら、/procで確認したものと、psで確認したものが同じ数なので問題無い。
これが、/procで確認したもののほうが圧倒的に多い場合などは、
危険な状態の可能性が高い。
html plugin Error : このプラグインを使うにはこのページの編集権限を「管理者のみ」に設定してください。

Apacheの1.3系と2.0系を見分ける方法

# echo -e 'OPTIONS * HTTP/1.0\n\n' | nc ターゲット 80

Allowの行で、見分けをつけることが可能。
1.3系: Allow: GET, HEAD, OPTIONS, TRACE
2.0系: Allow: GET,HEAD,POST,OPTIONS,TRACE
html plugin Error : このプラグインを使うにはこのページの編集権限を「管理者のみ」に設定してください。

MACアドレス偽装

以下の操作で、MACアドレスを偽装することができる。

# ifdown eth0
# ifconfig eth0 hw ether 01:02:03:AB:CD:DF ←eth0の場合
# ifup eth0

以上で、MACアドレスの偽装は完了。MACアドレスで制限しているシステムも、
許可されているMACアドレスを上記で指定してやれば、突破することが可能。

MACアドレスはユニークなものであるが、簡単に偽装することが可能ということを
忘れないで欲しい。MACアドレス = ユニーク = 安全 というのは、
間違った見解である。

なお、コンピュータを再起動すれば、MACアドレスは元に戻る。
html plugin Error : このプラグインを使うにはこのページの編集権限を「管理者のみ」に設定してください。

囮のIPアドレスを指定して、ポートスキャンする

nmapを使用してポートスキャンする際に、-sS を指定して
ステルススキャンを行なえば、ターゲットのログに記録されにくくはなる。
しかし、例えステルススキャンしてもNIDSなどの検知システムは反応し、
NIDSのログにはバッチリ、ポートスキャンされたことが残ってしまう。

ここでは、囮のIPアドレスを使用して、ターゲットのNIDSのログに、
自分の痕跡を残しづらくする方法を紹介する。
ターゲットのNIDSのログには、ここで指定した囮のIPアドレスが残る。

書式は、以下の通り、
# nmap -sS -P0 -D 囮のIPアドレス1,ME,囮のIPアドレス2 ターゲット

以下に実行例を示す
# nmap -sS -P0 -D 222.222.222.222,ME,222.222.222.223 target.com

ここでは、囮のIPアドレスに、222.222.222.222 と 222.222.222.223 を
指定している。
なお、ここで指定する囮のIPアドレスは実際に生きているホストを
指定してやる必要がある。
この例でのターゲットは、target.comとなる。
html plugin Error : このプラグインを使うにはこのページの編集権限を「管理者のみ」に設定してください。

SSHで接続した時にwhoに表示されないようにする

以下のようにSSHで接続すれば、Whoコマンドを叩いたときに、
接続ユーザとして表示されないようになる。
& ssh -T 接続先 bash -i
html plugin Error : このプラグインを使うにはこのページの編集権限を「管理者のみ」に設定してください。

スイッチングハブを導入すれば、パケット盗聴は防げる??

基本的には防げる。スイッチはMACアドレスを見て、宛先に送信するの為。
でもARP偽装によってセッションハイジャックをされた場合は、
スイッチも意味をなさなくなる。
セッションハイジャックとは、仲介みたいな感じ。ホスト間に割り込むので、
ここでパケット盗聴をすれば簡単に盗聴ができる。
他にもMACアドレスをフラッドさせる方法などを使えば、スイッチの機能を無効化できる。
html plugin Error : このプラグインを使うにはこのページの編集権限を「管理者のみ」に設定してください。