• ベストアンサー

NMapでのsyn-finパケットの作成

NMapWin v1.3.1を使用してサーバのセキュリティをしらべています。 ネット上でNMapの機能として IPフラグメントを使ったSYN/FINスキャン(一部のパケットフィルタを通過する とありました。 そこでFINとSYNのフラグが両方立ったパケットを投げたいのですが、その項目が在りません。 どのようにして、FINとSYNのフラグがたったパケットを投げるようにできるのでしょうか。 項目にはSYN Stealth , FIN Stealthとそれぞれ単体のフラグの項目は在りますが、 両方がありません。御回答お待ちしています。

質問者が選んだベストアンサー

  • ベストアンサー
noname#41381
noname#41381
回答No.3

#2のものです。 #2の「barrage」を試したところできました。 実行の例としては  perl barrage.pl -0 tcp -8 192.168.0.1 -9 192.168.0.99 -a 12345 -b 1 -l 1 -m 1 -C 1 といった感じで。 オプションの詳細はreadme_barrage.txtを見てください。 あっ、当方RedhatなんでWindowsはちょっと...すみません。

yo__oy
質問者

お礼

kanop_98さん   わざわざ動作確認までおこなって頂き大変有難うございました。   Linuxでも構いませんでしたので早速、使用してみます。   

その他の回答 (2)

noname#41381
noname#41381
回答No.2

#1補足より >別のツールや方法で、SYNとFINを同時にマークしたパケットを投げる実現方法がありましたら >お教えいただけないでしょうか。 > SYNとFINを同時には試してませんが... Eiji James Yoshidaさんの「barrage」はどうでしょうか? http://www.geocities.co.jp/SiliconValley/1667/index.htm#NSAT

参考URL:
http://www.geocities.co.jp/SiliconValley/1667/index.htm#NSAT
  • ShaneOMac
  • ベストアンサー率39% (356/898)
回答No.1

SYNとFINを同時にマークしたパケットによるスキャンはありません。 ヘルプでOptions Folder PageのFragmentationの項を参照してください。それはフラグメンテーション・オプションを有効にしたSYNスキャンとFINスキャンということではないですか? 出典はどこなんでしょうか?

yo__oy
質問者

お礼

ShaneOMacさん   NMapでは使用できないと言うことが判り、大変有益でした。   どうもありがとうございました。

yo__oy
質問者

補足

SYN-FINスキャンというのはSYNとFINを同時にマークしたパケットを投げて サーバでの反応を見るということでよろしいですよか。 >SYNとFINを同時にマークしたパケットによるスキャンはありません。 早速の回答有難うございます。Nmapでは実現できないということなのですね。 別のツールや方法で、SYNとFINを同時にマークしたパケットを投げる実現方法がありましたらお教えいただけないでしょうか。 >出典はどこなんでしょうか? 私がみたサイトはこちらになります。このページのNmapの項です。 http://linux.ascii24.com/linux/linuxcom/2000/07/19/504736-000.html 今回私が知りたかったのは以下にあるページのようなことでした。 http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=4691

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. ネットワーク

関連するQ&A

  • パケットキャプチャについて

    パケットキャプチャについて wiresharkでパケットキャプチャをやっております。tcpでsynのパケットのみを収集したいのですが、現在では、 (1)ファイルの読み込み (2)フィルタの条件でtcp.flag.fin == 0 and tcp.fla.syn ==1 and tcp.flg.ack == 0 と入れフィルタリング。 (3)結果のファイルを保存 となって大変時間がかかります。cuiでコマンドライン上で一発ですませられる方法はありませんか?

  • TCPの接続処理と終了処理について

    TCPでコネクションを確立するとき、制御フラグでSYN、SYN+ACK、ACKで3パケットをやりとしますが、終了手順のときは、FIN、ACK、FIN、ACKと4パケットをやりとりします。 これは何故でしょうか? コネクション確立時と同じく、FIN、FIN+ACK、ACKにしないのは何故でしょうか?教えてください。

  • TCPのsynとかっていつ・何回位するのでしょうか

    ネットワークの勉強中の中年です。 入門編のTCP/IPですが、コネクション確立(syn→ack/syn→syn)などは 普通に手動で作業をする場合、いつ、何回位されるのでしょうか。 たとえばftpなどですが、 もちろん最初にクライアントからサーバーに接続する際にはとは思うのですか、 パスワードを送るたび、ファイルを送受信するたびに行うものなのでしょうか。 また、finを送るのは、byeでftpを閉じる時でしょうか。 パスワードの送信後とか、ファイルのやり取り後といったタイミングで 発生するのでしょうか。 それともパケットトレースで見るように1秒間に何十回というように されるものなのでしょうか。 挙動についていろいろ資料等があるのですが、 実際に使っているイメージではいつ何をしているかわからず… よろしくお願いいたします。

  • ハッキングされています。nmapの結果貼ります

    ハッキングされているようです。 自分で解決できるかやってみましたが、1日2日では できそうもないのでここからどう対策したらいいか 教えてください。 Windows7homeです。 気が付いてからbacktrackをインストールしてnmapした結果です。 Starting Nmap 5.61TEST4 ( http://nmap.org ) at 2012-01-19 21:06 JST NSE: Loaded 87 scripts for scanning. NSE: Script Pre-scanning. Initiating Ping Scan at 21:06 Scanning 192.168.56.1 [4 ports] Completed Ping Scan at 21:06, 0.01s elapsed (1 total hosts) Initiating Parallel DNS resolution of 1 host. at 21:06 Completed Parallel DNS resolution of 1 host. at 21:06, 0.06s elapsed Initiating SYN Stealth Scan at 21:06 Scanning 192.168.56.1 [1000 ports] Discovered open port 80/tcp on 192.168.56.1 Discovered open port 554/tcp on 192.168.56.1 Discovered open port 139/tcp on 192.168.56.1 Discovered open port 445/tcp on 192.168.56.1 Discovered open port 135/tcp on 192.168.56.1 Discovered open port 443/tcp on 192.168.56.1 Discovered open port 2869/tcp on 192.168.56.1 Discovered open port 49153/tcp on 192.168.56.1 Discovered open port 10243/tcp on 192.168.56.1 Discovered open port 5357/tcp on 192.168.56.1 Discovered open port 49152/tcp on 192.168.56.1 Discovered open port 49157/tcp on 192.168.56.1 Discovered open port 49154/tcp on 192.168.56.1 Discovered open port 49156/tcp on 192.168.56.1 Completed SYN Stealth Scan at 21:06, 4.21s elapsed (1000 total ports) こちらがWindowsファイアウォールなどの対策を試みたあと 解放されていたポートが変更された部分です。 Starting Nmap 5.61TEST4 ( http://nmap.org ) at 2012-01-20 16:35 JST NSE: Loaded 87 scripts for scanning. NSE: Script Pre-scanning. Initiating Ping Scan at 16:35 Scanning 192.168.56.1 [4 ports] Completed Ping Scan at 16:35, 0.04s elapsed (1 total hosts) Initiating Parallel DNS resolution of 1 host. at 16:35 Completed Parallel DNS resolution of 1 host. at 16:35, 1.20s elapsed Initiating SYN Stealth Scan at 16:35 Scanning 192.168.56.1 [1000 ports] Discovered open port 554/tcp on 192.168.56.1 Discovered open port 135/tcp on 192.168.56.1 Discovered open port 443/tcp on 192.168.56.1 Discovered open port 80/tcp on 192.168.56.1 Discovered open port 445/tcp on 192.168.56.1 Discovered open port 139/tcp on 192.168.56.1 Discovered open port 1025/tcp on 192.168.56.1 Discovered open port 5357/tcp on 192.168.56.1 Discovered open port 1026/tcp on 192.168.56.1 Discovered open port 10243/tcp on 192.168.56.1 Discovered open port 1030/tcp on 192.168.56.1 Discovered open port 1027/tcp on 192.168.56.1 Discovered open port 2869/tcp on 192.168.56.1 Discovered open port 1029/tcp on 192.168.56.1 Completed SYN Stealth Scan at 16:35, 4.08s elapsed (1000 total ports) たぶんバックドアではないかと思いますが、どのアプリが それを起動しているのかは発見出来てません。 対応策ありましたら教えてください。

  • IPフラグメントの結合について

    こんにちは。 ネットワーク通信において、IPフラグメントが発生した場合、受信側では、IPヘッダ内の「フラグメントオフセット」フィールドから、受信したパケットが分割されたパケットのどの部分かを特定し、「フラグ」フィールドから、最後のフラグメントかフラグメントの途中かを判定すると思います。 そこで質問なのですが、フラグメント化されたパケットを受信側で再構築する際に、分割されたパケットを全て受信し終えたことを、どこで判断するのでしょうか。 仮に受信したパケットの「フラグ」フィルードが最後のフラグメントだとしても、それ以降に受信順番が逆転してしまったパケットが残っている可能性があります。 また、IPヘッダ内の「ヘッダ長」フィールドは、分割されたサイズが格納されているようなので、分割前の合計サイズは分かりません。 以上、よろしくお願いします。

  • SoftbankAirの自IPアドレスにNmap

    SoftbankAirのアドレスはプライベートIPアドレス配布方式ですが、VPNをセットアップしたところできた(グローバルIPアドレスでないと接続できないと認識していました)ため、ひょっとしてポートスキャンをされたらこちらのルータにまで到達するのではないか?と考えています。 そこで一度、自分のIPアドレスに向けて他回線からNmapを掛けてルータまで到達するのか試してみたらどうかと思っているのですが…した場合、プライベートIPアドレスにぶらさがっている他のユーザーにもパケットが届くのではとも考えています。 あくまで調査・確認のためにですが、問題ありませんでしょうか?それとも他の、比較的安全にポートスキャンができるサービスがありましたら教えていただきたいです。よろしくお願いいたします。

  • インターネット通信不能攻撃への対策

    ネットにつなぐ時もし攻撃者が僕が毎日10:00にモデムに電源をいれ プロバイダーからIPアドレスを振ってもらうタイミングがわかるとします。そして時々僕のところに除きに来て通信先もわかるとして、そこからIPアドレスをパケットを盗聴して僕のIPアドレスは完全に特定できるとして、IPアドレスの変更は無駄なこととして聞いてください。 僕のIPアドレスがばれているので通信先がわかり訪れたサイトのIPアドレスに成りすましTCPパケットを連続で打ってきます。 これはパーソナルファイアウォールのTCPのインバウンド拒否で防げますが、迷惑なのが 通信できないようにしてくることです。 僕のIPアドレスに成りすましてFIN、RSTパケットを送って通信を終わらせてるのか 通信先のIPアドレスに成りすまして僕のほうにFIN、RSTパケットを送ってきて終わらせてるのか そういうの詳しくないんですけど そういうのができると本気を出せば一日中強制的に通信不能にできることもできますよね? IPアドレスが偽装されてるのでどう相手を特定したらいいんですか? またjeticoというPFWがありますがこれはTCPのFIN,SYN,RSTなどフラグ別にまで制御できますが、これでインバウンドのRST,FINを遮断すれば解決できませんか?(それではぼくのIPアドレスに偽装して通信先にFIN、RSTパケットを送る遮断攻撃対策になってませんが) どうすれば遮断攻撃を回避できますか?

  • 自分の送信に対する応答をブロックするルータのパケットフィルタについて

    ちょっと具体的な製品名は書けないんですが、以下のようなルータについて質問です。 パケットフィルタの機能としては、IN制限とOUT制限があります。 まず有効にするか無効にするかの選択があり、次に、設定したものだけを通過させて残り全部を破棄するか、または設定したものだけを破棄して残り全部を通過するかのどちらかを選択するようになっています。 内容としては、送信元IPアドレス・ポート番号および受信先IPアドレス・ポート番号を1セットとして、INとOUTにそれぞれ8つまで設定できます。 このルータで、オンラインポートスキャンのサイトを使ってチェックしてみたところ、パケットフィルタIN制限を有効にしても無効にしても、結果は全てClosedでした。 IN制限を有効にした上で、いくつかのポートを通過させるように設定してみても、全てClosedでした。 パケットフィルタとは別の、バーチャルサーバというところで設定して初めてポートに穴を開けることができました。 (ステルスにならないのは仕様のようです) それならパケットフィルタのIN制限には何の意味があるのか?と思って色々試してみた結果、このルータのIN制限という機能でブロックされるのは、外部からのアクセスではなく、こちらが外部に対して行った接続への応答だということが分かりました。 IN制限を有効にしている場合、送信元ポートが53番や80番であるものを通過させる設定にしない限り、ブラウザでネットを見ることもできなくなるからです。 OUT制限の挙動については外部からの接続を試していないため詳細が分かりません。 このように、デフォルトで全ての内向きパケットがブロックされていて、パケットフィルタのIN制限で設定すると自分の送信に対する応答がブロックされるというルータの場合、パケットフィルタのIN制限とOUT制限では何を設定すればいいんでしょうか? 自分の送信に対する応答の中にも、ブロックするべきポートまたはIPアドレスというものがあるんでしょうか? 長くなりましたがよろしくお願いいたします。

  • セキュリティスキャンの結果

    ネットワークセキュリティについては、殆ど知織がないのですが、 いろいろな投稿を見ていて やはり不安になり、オンラインセキュリティスキャンを行なってみました。 結果はいくつかのポートがOPENだったので、 ルーターの取説を見ながらなんとか、tcp(20,21,80,137~139)のポートに、 パケットフィルタをかけてみました。 再度 スキャンしたところ、 シマンテックのスキャンでは 全てcloseかstealthでしたが、 別のサイトのスキャンでは、 TCPスキャンで ポート7(echo)OPEN、 UDPスキャンで20・21(FTP)53(DNS)67(DHCP)137~139(NetBIOS)がOPENという結果でした。 これらは 同じようにパケットフィルタを掛けるべきなのでしょうか? 逆にフィルタを掛けたら何か使用できない事がでてきますか? 7echoなどは プロバイダ側が使用すると どこかで読んだ気もするのですが、7番ポートを使用した攻撃もあるとも読みました。 これなども閉じた方が良いのでしょうか? 使用環境にもよるかと思いますが、自宅でLANなしサーバーなしの使用です。 また、セキュリティソフトはVB2005、OSはWin2000で、 接続はADSLの有線になります。 ご解説を 宜しくお願い致します。

  • snortに関して

    snortに関して、2点質問させてください。 設定は、とりあえず、 var HOME_NET any var EXTERNAL_NET any で、ルールも明らかに関係ないもの以外は、デフォルトのまま使っています。 まず、現在、iptablesでパケットフィルタリングをしているのですが、snortの走査はフィルタを通過してきたパケットに対してのみ行われるという認識で正しいでしょうか? もしそうだとすると、2、3のポート以外のsynパケットをフィルタしていても、synフラッグのみのパケットによる単純なポートスキャンを検出しているようなのですが、これはどうしてなのでしょうか。 また、 [**] [117:1:1] (spp_portscan2) Portscan detected from 111.222.333.xxx: 6 targets 6 ports in 12 seconds [**] 07/22-12:35:44.814374 111.222.333.xxx:2525 -> 123.123.123.123:8801 TCP TTL:127 TOS:0x0 ID:42156 IpLen:20 DgmLen:48 DF ******S* Seq: 0x3CA0BCCF Ack: 0x0 Win: 0xFAF0 TcpLen: 28 TCP Options (4) => MSS: 1412 NOP NOP SackOK alertファイルに上記のようなログがでるのですが、いつも、fromに書かれたアドレスが、自分のアドレスなのです。これはどうしてでしょうか。 もし、alertファイルの各項目の見方が解説されたページがあれば是非教えてください。 よろしくお願いします。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する