私は、BUFFALOのルータで、アタックブロック機能をオンにして、時々ログを見ているのですが、今日、時間をわけて同一IPから80回も「NMAPポートスキャン」を受け、不審に思ってIPアドレスのドメイン調査をしたら、なんとApple Computer Inc'と出るのです。
いったい、これはどういう事なのでしょうか?
私がAppleから攻撃を受けたのか、それともMacの設定を誤っているのか、どちらなのでしょう?
ちなみに、Appleと出たIPアドレスは17.250.248.37でした。
無効アクセスまたはルータが斯様に判定した背景には、いくつかのシナリオがあるんです。攻撃の場合もありますし、第三者からなにがしの監査をされていることもあるし、他にもいろいろあります。
アタックブロック機能なるものは、どのようなレベルでFirewallを構築しているか。WAN側からのUDPパケット一切も含めて破棄する内容なのかどうか。
そのポートスキャン(80回)のセッション回数が一回なのか複数回なのか。発生時刻と終了時刻はどうなっているのか。
Mac OS X システム側のfirewallの設定内容はどのようにされているのか。
17.250.248.37 = homepage.mac.com (Reverse DNSまたはポインターレコード)なのですが、不正アクセス判定の以前に、Mac homepage を利用されたのは何日の何時なのか。
この不正アクセスの以前にどのようなポートスキャンがいつどのように行われたのか。
ポートスキャンが行われたとき、その数時間前まで遡り、どのようなアプリケーションがローカルで運用(バックグランドを含む)されていたのか。P2P仕様(例:Skype、LimeWireなど)のアプリケーションをインストールしていないかどうか?
日頃、インターネットを行うときに、どのブラウザをどのような設定(Cache, Cookie,Javaなど)で、ブラウジングされているのか。
等々は、分析するために最小限必要な情報です。
---
Terminal上で、以下のコマンドを打ち込んだ結果内容を報告してください。可能であれば、不正アクセスが検知された直後がベター。
dig xxx.xxx.xxx.xxx
xxxはあなたのISPのDNSサーバのアドレスを入力し、returnキーです。
>アタックブロック機能なるものは、どのようなレベルでFirewallを構築しているか。WAN側からのUDPパケット一切も含めて破棄する内容なのかどうか。
これは、Buffaloのルーターに付いている機能をオンにしているだけです。ヘルプによると「インターネットからエアステーションやLAN側への不正アクセスを 検知する機能です。」とのことです。また、IP Spoofingもブロックしています。
>そのポートスキャン(80回)のセッション回数が一回なのか複数回なのか。
以下にログを示します。
種類・From・To(自宅なので隠します)・開始時間・終了時間・回数 の順です
TCP SYN FLOOD攻撃 17.250.248.37 ***.***.***.** 2007/04/29 16:37:34 - 2007/04/29 20:31:38 33回
NMAPポートスキャン 17.250.248.37 ***.***.***.** 2007/04/29 16:32:03 - 2007/04/29 20:31:12 65回
>Mac OS X システム側のfirewallの設定内容はどのようにされているのか。
Firewallは設定していません。
>Mac homepage を利用されたのは何日の何時なのか。
わたし自身は、.macは使っていませんが、.mac homepageにiBlogで公開された、ブログはよく読みに行きます。
>ポートスキャンが行われたとき、その数時間前まで遡り、どのようなアプリケーションがローカルで運用(バックグランドを含む)されていたのか。
Safariやメーラー、RSSリーダー(.mac homepageのブログを購読)、チャットソフトを起動したぐらいですね。
>日頃、インターネットを行うときに、どのブラウザをどのような設定(Cache, Cookie,Javaなど)で、ブラウジングされているのか。
Cache, Cookie,Javaなどはすべてオンです。
.mac homepageで思い当たったのですが、RSSリーダーに登録してあるその.mac homepageのブログが、今日午前中にタイムアウトしていました。これが、こちらからのDDoS攻撃のように見えたのでしょうか?
>dig xxx.xxx.xxx.xxx
ISPのDNSサーバのアドレスとは、自宅のIPアドレスのことでしょうか?そのつもりでやってみた所、以下のような結果になりました。(不正アクセスの直後ではないのですが。)
; <<>> DiG 9.3.2 <<>> ***.***.***.**
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 37540
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0
;; QUESTION SECTION:
;***.***.***.**. IN A
;; AUTHORITY SECTION:
. 10800 IN SOA a.root-servers.net. nstld.verisign-grs.com. 2007042801 1800 900 604800 86400
;; Query time: 113 msec
;; SERVER: 192.168.11.1#53(192.168.11.1)
;; WHEN: Sun Apr 29 21:58:35 2007
;; MSG SIZE rcvd: 107
> 私がAppleから攻撃を受けたのか
NMAPポートスキャンも検知している所をみるとホントにアタックかも知れませんね。但し、IPアドレスは詐称するのが常なので、Appleがアタックしている、という訳では無いかと思います。
ちなみにTCP SYN FLOODだけだった場合、IPアドレスを詐称した本物の攻撃ならそんな回数じゃすまないですし、逆にそのぐらいの回数なら単にRouterが誤認識しているんではないかと。。。
17.250.248.37はhomepage.mac.comつまり.macのWebページのよーですが、どんなSiteを閲覧しているかわかりませんが、そこを閲覧するにあたり、大量の画像やファイルサイズの大きな画像を表示したりとかしたときに、場合によってはTCP SYN FLOODと誤検知されてしまう事もあるようです。
> それともMacの設定を誤っているのか
Macの設定は関係ないかと。
>但し、IPアドレスは詐称するのが常なので、Appleがアタックしている、という訳では無いかと思います。
そうですか。良かったです。アップルから見放されたかと思いました(笑)
>大量の画像やファイルサイズの大きな画像を表示したりとかしたときに、場合によってはTCP SYN FLOODと誤検知されてしまう事もあるようです。
お相手の、ブログのアドレスをを直接いうと、ご迷惑かもしれませんので、間接的に言いますが、今月のMacFanの「ブロガーの素顔」というコーナーで取り上げられたブログさんです。
画像量は普通のブログとなんら変わりがないと思います。
dig とは、語源が興味深い domain information groper の頭字語です。TCP/IP のトラブルシューティングに使用される代表的な例です。ご自身に割り当てられた(固定でも該当)IPアドレスを入力して結果を出力しています。
照会内容:
再帰的な問合せを(あなたが)要求したことに対する応答が示めされています。再帰的な問合せに応答するDNSサーバ存在することを意味します。ただし、回答は契約先InternetプロバイダのDNS権威サーバから来ていません。何故なのか、この点をお調べください。
その他コードの説明:
QUERY = 標準照会コード
QUESTION = 問合せで尋ねる質問の定義
ANSWER = 問合せの質問に対する答え
AUTHORITY = 問合せ先ドメインの権威サーバを指すポインターが格納されている。
A = アドレスレコード
SOA = ゾーン開始レコード
再帰的な問合せに応答するDNSサーバが存在:
どうゆうことを意味するものか入念に調べられることをお奨めします。簡単に申し上げますと、セキュリティ上、潜在的な脅威となる弱点がDNS構成に含まれるということです。国内外のインターネット・セキュリティ啓蒙普及団体、警察庁(ハイテクポリス)などから、再三再四にわたり再帰的な問合せを許可しない構成に改めるように、国内ISP各社に勧告が行われてきました。分散型DoS攻撃を含む不正アクセスを第3者から受けやすいからです。悪意ある者にとっては、ソーン情報の転送も容易になります。
>チャットソフトを起動した
これが原因でしょうね。多くはP2P技術を実装しています。ネットワーク(同一16ビットとは限らず)上の他のホストに不正なIPパケットを飛ばすものが多いので、受けた側で念のためポートスキャンによる監査を行ったのでしょう。すなわち貴マシンが有害か無害かを判定したり、不正パケットを飛ばす原因を探るためです。ルータ「TCP SYN FLOOD攻撃」判定が正確だと想定すると、痕跡を残さない監査をした(3 way handshaking は採用しない)ことになります。また、Firewall越えを配慮した手法を講じています。
Mac OS X が実装しているFirewallをアクティブにしないのでしたら、インターネットは行わない方がよいです。最近、Mac OS X クラッキング・コンテストが騒がれているくらいですから...。
ルータのFirewallに100%依存するのはよくありません。Firewallを迂回できるスキャンと列挙が可能なので、少なくとも高いセキュリティ意識を持ってください。貴殿のルータ仕様ですと、下界(WAN側)で何が行われているか全くわかりませんね。結果だけのログで、攻撃なのか何なのかわからないでしょう。
複雑なadminパスワード(8桁以上は必須)構成で、システム内部/ユーザ領域に脆弱性を存在させないということは、セキュリティのツールで武装するよりはるかに重要です。
その後、類似した不正アクセス検知反応がなければ、今回の事象は攻撃ではなく、何者かによる貴マシンへの監査行為と判定できます。この手のツールでの攻撃のつもりでしたら、相手は script kiddieでしょう。
>Cache, Cookie,Javaなどはすべてオンです。
ご不便でもすべてオフを強く推奨します。
P.S.
アップル社のアドレスは相手側でIPヘッダ情報を偽装したことによる結果でしょう。
Appleからルーターに攻撃?
