コンテンツ一覧
psコマンド改竄時の対処
/procでプロセスを確認すると良い。psは改竄できても/procの改竄は難しい。
以下のコマンドを実行してみる
以下のコマンドを実行してみる
# ls -d /proc/* | grep [0-9] | wc -l ; ps aux | wc -l 62 62
上記の場合なら、/procで確認したものと、psで確認したものが同じ数なので問題無い。
これが、/procで確認したもののほうが圧倒的に多い場合などは、
危険な状態の可能性が高い。
htmlプラグインエラー: このプラグインを使うにはこのページの編集権限を「管理者のみ」に設定してください。
これが、/procで確認したもののほうが圧倒的に多い場合などは、
危険な状態の可能性が高い。
htmlプラグインエラー: このプラグインを使うにはこのページの編集権限を「管理者のみ」に設定してください。
Apacheの1.3系と2.0系を見分ける方法
# echo -e 'OPTIONS * HTTP/1.0\n\n' | nc ターゲット 80
Allowの行で、見分けをつけることが可能。
1.3系: Allow: GET, HEAD, OPTIONS, TRACE
2.0系: Allow: GET,HEAD,POST,OPTIONS,TRACE
htmlプラグインエラー: このプラグインを使うにはこのページの編集権限を「管理者のみ」に設定してください。
1.3系: Allow: GET, HEAD, OPTIONS, TRACE
2.0系: Allow: GET,HEAD,POST,OPTIONS,TRACE
htmlプラグインエラー: このプラグインを使うにはこのページの編集権限を「管理者のみ」に設定してください。
MACアドレス偽装
以下の操作で、MACアドレスを偽装することができる。
# ifdown eth0 # ifconfig eth0 hw ether 01:02:03:AB:CD:DF ←eth0の場合 # ifup eth0
以上で、MACアドレスの偽装は完了。MACアドレスで制限しているシステムも、
許可されているMACアドレスを上記で指定してやれば、突破することが可能。
許可されているMACアドレスを上記で指定してやれば、突破することが可能。
MACアドレスはユニークなものであるが、簡単に偽装することが可能ということを
忘れないで欲しい。MACアドレス = ユニーク = 安全 というのは、
間違った見解である。
忘れないで欲しい。MACアドレス = ユニーク = 安全 というのは、
間違った見解である。
なお、コンピュータを再起動すれば、MACアドレスは元に戻る。
htmlプラグインエラー: このプラグインを使うにはこのページの編集権限を「管理者のみ」に設定してください。
htmlプラグインエラー: このプラグインを使うにはこのページの編集権限を「管理者のみ」に設定してください。
囮のIPアドレスを指定して、ポートスキャンする
nmapを使用してポートスキャンする際に、-sS を指定して
ステルススキャンを行なえば、ターゲットのログに記録されにくくはなる。
しかし、例えステルススキャンしてもNIDSなどの検知システムは反応し、
NIDSのログにはバッチリ、ポートスキャンされたことが残ってしまう。
ステルススキャンを行なえば、ターゲットのログに記録されにくくはなる。
しかし、例えステルススキャンしてもNIDSなどの検知システムは反応し、
NIDSのログにはバッチリ、ポートスキャンされたことが残ってしまう。
ここでは、囮のIPアドレスを使用して、ターゲットのNIDSのログに、
自分の痕跡を残しづらくする方法を紹介する。
ターゲットのNIDSのログには、ここで指定した囮のIPアドレスが残る。
自分の痕跡を残しづらくする方法を紹介する。
ターゲットのNIDSのログには、ここで指定した囮のIPアドレスが残る。
書式は、以下の通り、
# nmap -sS -P0 -D 囮のIPアドレス1,ME,囮のIPアドレス2 ターゲット
以下に実行例を示す
# nmap -sS -P0 -D 222.222.222.222,ME,222.222.222.223 target.com
ここでは、囮のIPアドレスに、222.222.222.222 と 222.222.222.223 を
指定している。
なお、ここで指定する囮のIPアドレスは実際に生きているホストを
指定してやる必要がある。
この例でのターゲットは、target.comとなる。
htmlプラグインエラー: このプラグインを使うにはこのページの編集権限を「管理者のみ」に設定してください。
指定している。
なお、ここで指定する囮のIPアドレスは実際に生きているホストを
指定してやる必要がある。
この例でのターゲットは、target.comとなる。
htmlプラグインエラー: このプラグインを使うにはこのページの編集権限を「管理者のみ」に設定してください。
SSHで接続した時にwhoに表示されないようにする
以下のようにSSHで接続すれば、Whoコマンドを叩いたときに、
接続ユーザとして表示されないようになる。
接続ユーザとして表示されないようになる。
& ssh -T 接続先 bash -i
htmlプラグインエラー: このプラグインを使うにはこのページの編集権限を「管理者のみ」に設定してください。
スイッチングハブを導入すれば、パケット盗聴は防げる??
基本的には防げる。スイッチはMACアドレスを見て、宛先に送信するの為。
でもARP偽装によってセッションハイジャックをされた場合は、
スイッチも意味をなさなくなる。
セッションハイジャックとは、仲介みたいな感じ。ホスト間に割り込むので、
ここでパケット盗聴をすれば簡単に盗聴ができる。
他にもMACアドレスをフラッドさせる方法などを使えば、スイッチの機能を無効化できる。
htmlプラグインエラー: このプラグインを使うにはこのページの編集権限を「管理者のみ」に設定してください。
でもARP偽装によってセッションハイジャックをされた場合は、
スイッチも意味をなさなくなる。
セッションハイジャックとは、仲介みたいな感じ。ホスト間に割り込むので、
ここでパケット盗聴をすれば簡単に盗聴ができる。
他にもMACアドレスをフラッドさせる方法などを使えば、スイッチの機能を無効化できる。
htmlプラグインエラー: このプラグインを使うにはこのページの編集権限を「管理者のみ」に設定してください。