• 締切済み

IP偽装について

自分はとある会社でWebサーバーの管理をしているのですが、 毎日のようにSSHで不正アクセス攻撃を受けています。 (おそらく大半のサーバ管理の方は同じ苦労をなされていると思います) 先日messagesログを見ていると、SSHで 国内から不正アクセスしようとしている痕跡を見つけました。 アクセス元IPをwhois検索してみると普通にカタギの会社です。 それで相手のホームページを見つけ、そこからサーバー管理者の方に 不正アクセスについて問い合わせた所、こちらのログにはそのような跡は ないというご返答を頂きました。 (具体名は伏せますがそこは半公的機関で、 そこから直接攻撃があることはちょっと考えにくかったです) そこで質問なのですが、 IPを偽装して他のサーバーにアクセスする者(A)がいた場合、 Aが偽装したIP(B)のサーバーは 踏み台にされてもログは残らないのでしょうか。 また踏み台以外の方法で偽装が行われた場合、 Aの攻撃先からのリクエスト結果は どういう仕組みでBではなくAに戻るのでしょうか。

  • purry
  • お礼率68% (24/35)

みんなの回答

noname#98978
noname#98978
回答No.3

>先日messagesログを見ていると、 >アクセス元IPをwhois検索してみると普通にカタギの会社です もしかして、どこからでもサーバにアクセスできるようになっているのでしょうか? ふつうなら、FWで弾くように設定しているはずですが? 専門家に設定してもらったほうがいいのでは?

purry
質問者

補足

申し訳有りませんが、返答の意図がよくわかりません。

  • okg00
  • ベストアンサー率39% (1322/3338)
回答No.2

>また踏み台以外の方法で偽装が行われた場合、 >Aの攻撃先からのリクエスト結果は >どういう仕組みでBではなくAに戻るのでしょうか。 返りません。返さなくても良いような攻撃に使います。攻撃の種類にもよりますが、例えばSynFloodなんかだと攻撃元に返る必要がないですし。

purry
質問者

お礼

なるほど。 Aは総当りというのでしょうか、 adminやrootなどいかにもな名前でこちらのサーバーに アクセスしようとしてきていました。 しかしその場合接続成功すると、その結果はBに戻ると思います。 この場合Bになんらかの悪意のあるプログラム(たとえば 接続成功した場合、AにそのIDとパスを送信するなど)が 埋め込んであると考えていいのでしょうか。

  • okg00
  • ベストアンサー率39% (1322/3338)
回答No.1

大抵のクラッカーなら、踏み台にするぐらいならログの改竄をしますね。 侵入した形式を無くすぐらい。

purry
質問者

お礼

なるほど、言われてみるとその通りですね。 ログも確実には信用できませんね。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. ネットワーク

関連するQ&A

  • IPアドレス偽装

    IPアドレス偽装 海外のとあるSNSに会員登録しようとしましたが、日本からのIPアドレスは登録不可になっているようです。しかし海外にいる彼女がそのSNSに入ってるのでどうしても私も登録したいと思っています。 ブラウザの設定、ソフトの使用、自社サーバーを立てるなど・・・・多少費用がかかってもいいのですが、IPアドレスを日本以外からアクセスしてるように見せかけるのは可能でしょうか? こういう場ですので、具体的な方法は結構ですが、一般人がある程度の費用と技術を用いれば可能かどうか教えていただきたいのです。 どうぞよろしくお願いします!

  • IPアドレスの偽装は可能ですか?

    実は何人かの知っている人の掲示板に、悪質な荒らしの書き込みがありました。 当然みなさんすぐに削除されました。ある人(Aさんとします)がIPアドレスを掲示板の書き込みから抜いたところ、その荒らしの主である「B」なる人物の書き込みはイギリスのプロキシサーバーを仲介して書き込みがなされているようだとの事です。そこで、Aさんの掲示板に書き込みをされている「B」のIPアドレスを調べたところ、Cさんのものと一致しました。他の掲示板に「C」さんの書き込みの内容と一致するIPアドレスであることが判明したのです。 そこで質問です。IPアドレスを詐称することは可能でしょうか? 要するに、Cさん以外の誰かがCさんを装うことは可能でしょうか? Aさん本人は、出来ても難しいと思うとの事です。一般的に考えられる方法だと、CさんのPCを踏み台にすれば可能であるぐらいだけど、荒らし程度のことでそこまでやるとは思えない。との事でした。末尾が、日本ならjpなのにukなのであらかさまにおかしいとも言っています。 でも、PCに詳しい人なら簡単に出来そうな気もしますし…。 ご教授を宜しくお願い申し上げます。

  • IPスプーフィングについて

    IPを登録して登録された以外のIPがアクセスしてきたらPHPで判別して閲覧を制限する業務システムを作りレンタルサーバで運用しようとしているのですが、先日、IPを偽装するIPスプーフィングという手法があるということがわかりました。 登録されているIPに偽装されてしまったら、PHPでIP制限をしても意味がありません。 この記事によると http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q10113199525 「他人のIPアドレスや存在しないIPアドレスに偽装することは、現在ではできないとされています。」 となっていますが、IPスプーフィングというのは過去の話なのでしょうか?サーバ屋が管理している共用サーバであればちゃんとIPスプーフィング対策がしてあって、サーバ利用者は特に気にしなくてもいい問題なのか教えてください。

    • ベストアンサー
    • PHP
  • ウェブページ改竄

    FreeBSD5.3でApache2.2,最新のOpensslで管理しているウェブサーバがあり,そのサーバ上でウェブサーバを構築していたのですが,この度,ウェブページの改竄の被害に合いました. どういった経路で改竄されたかを調べるために/var/log/ にあるログを見たのですが,思い当たるようなログが残っていませんでした. 考えられる方法としては, 1.ウェブ編集の初心者向けにftpのポートを空けていたので,そちらのパスワードをクラックされた(→ftpdに関するログ) 2.sshが破られてrootのパスワードが盗まれた 等があると思いますが,ftpdのログや,lastlogin,およびhistoryの情報,/var/log/messages の情報等にそれらに該当するようなアクセス等は残っていませんでした. クラック用のツールとして rootkit 等があるようですが,それらで関連するログも全て削除されているのか,どういった経路で改竄が行われたかを調べるための方法が分かりません. サーバ上にはXoopsのページがあり,そちらからのアクセスも怪しいかなとは思ったのですが,Apacheに関するアクセスログやエラーログからもこれといった情報は得られませんでした. 対策としては,パケットフィルタリングを行いアクセスを制限することにし,ssh以外のアクセスを排除することにしたので,大体の不正アクセスは防げると思いますが,今後こういった現象を防ぐための勉強として,改竄の手口,およびこういった場合の進入手口に心当たりがあれば,ご教授よろしくお願いします.

  • sshのトンネリング

    puttyを使って、sshサーバを踏み台にして目的のサーバAにアクセスする方法はいろいろなページで紹介されていますが、いくつか疑問があるので質問させてください。 ・踏み台にするsshサーバではiptableなどで踏み台からサーバAフォワードするといった設定が必要なのでしょうか? ・クライアントがlinuxの場合はputty以外の選択肢があるのでしょうか? よろしくお願いします。

  • ACL設定

    よく、Webを運用しているとsshによる総当り攻撃がmessagesログに残るのですが、これを皆さんはどう防いでいますでしょうか?

  • 実在するサイトからのアクセス

    ファイヤーウォールがブロックしたログのIPを調べていると大手企業の公式HPのものがありました。 そのサイトのIPがブロックされているということはFWが「不正」と認識したからだと思うのですがこのようなことが起こる原因は何でしょうか? 可能性として、そのサイトが踏み台(経由地)として利用されているということがあるのでしょうか? 通常大手企業の公式HP等はかなりセキュリティに気をつけていると思うのですが、そのサイト自身をねらうのではなく踏み台、偽装IPとして利用されることがありえるのでしょうか?また踏み台、偽装IPがどのようにして行われるのかわかりませんが簡単には防御できないのでしょうか?

  • TeratermでSSH SCP転送で困ったことが

    TeratermでサーバAにsshログオンし、 そこを踏み台にして、サーバBにssh接続してますが、 このときに サーバBにあるファイルを、Teratermが稼働しているローカルドライブに保存する方法がわかりません。 Teratermメニューにある SSH SCP転送 では、 踏み台になったサーバAのファイルした取り込んでくれません。 個々にログオンしてscp転送するしかないでしょうか? お付き合いいただくと幸いです。 よろしくお願いします

  • FTP出来るIPアドレスを追加するには

    宜しくお願い致します。 サーバにSSHでアクセスし、FTPアクセスできるIPアドレスを追加する方法を教えて下さい。 サーバ環境は、Radhut9 Apach 1.3.33です。 宜しくお願い致します。

  • DNS登録へのIP重複登録について

    今まで使っていたホスティングを解約しなければいけなくなりましたが、 そのURL(ドメイン)は、携帯キャリアの公式サイトになっているなど、まだ、アクセスされる状況です。 本来は転送URLサービスなどで回避すべきですが、それもできない状況です。 レジストラ上でのDNS管理であれば、対応可能なのですが、 以下のような設定は可能でしょうか。 【現在】今回廃止されるのは、ドメイン:A サーバIP:A DNSサーバ1 ドメイン:A IP:A DNSサーバ2 ドメイン:B IP:B 【変更後】 DNSサーバ1 ドメイン:A IP:B DNSサーバ2 ドメイン:B IP:B 逆引きした場合、矛盾?が起こるような気がしますが、 そもそも、こういった方法をとることは可能なのでしょうか。 こうすればhttp://(ドメインA)/でアクセスした場合、 http://(ドメインB)/に転送され、トップページが表示される。 とはならないでしょうか。 質問がわかりづらいかもしれませんが、お分かりの方いらっしゃいましたら、教えください。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する