• ベストアンサー
  • すぐに回答を!

NMapでのsyn-finパケットの作成

NMapWin v1.3.1を使用してサーバのセキュリティをしらべています。 ネット上でNMapの機能として IPフラグメントを使ったSYN/FINスキャン(一部のパケットフィルタを通過する とありました。 そこでFINとSYNのフラグが両方立ったパケットを投げたいのですが、その項目が在りません。 どのようにして、FINとSYNのフラグがたったパケットを投げるようにできるのでしょうか。 項目にはSYN Stealth , FIN Stealthとそれぞれ単体のフラグの項目は在りますが、 両方がありません。御回答お待ちしています。

共感・応援の気持ちを伝えよう!

  • 回答数3
  • 閲覧数630
  • ありがとう数2

質問者が選んだベストアンサー

  • ベストアンサー
  • 回答No.3
noname#41381

#2のものです。 #2の「barrage」を試したところできました。 実行の例としては  perl barrage.pl -0 tcp -8 192.168.0.1 -9 192.168.0.99 -a 12345 -b 1 -l 1 -m 1 -C 1 といった感じで。 オプションの詳細はreadme_barrage.txtを見てください。 あっ、当方RedhatなんでWindowsはちょっと...すみません。

共感・感謝の気持ちを伝えよう!

質問者からのお礼

kanop_98さん   わざわざ動作確認までおこなって頂き大変有難うございました。   Linuxでも構いませんでしたので早速、使用してみます。   

関連するQ&A

  • TCPの接続処理と終了処理について

    TCPでコネクションを確立するとき、制御フラグでSYN、SYN+ACK、ACKで3パケットをやりとしますが、終了手順のときは、FIN、ACK、FIN、ACKと4パケットをやりとりします。 これは何故でしょうか? コネクション確立時と同じく、FIN、FIN+ACK、ACKにしないのは何故でしょうか?教えてください。

  • パケットキャプチャについて

    パケットキャプチャについて wiresharkでパケットキャプチャをやっております。tcpでsynのパケットのみを収集したいのですが、現在では、 (1)ファイルの読み込み (2)フィルタの条件でtcp.flag.fin == 0 and tcp.fla.syn ==1 and tcp.flg.ack == 0 と入れフィルタリング。 (3)結果のファイルを保存 となって大変時間がかかります。cuiでコマンドライン上で一発ですませられる方法はありませんか?

  • IPフラグメントの結合について

    こんにちは。 ネットワーク通信において、IPフラグメントが発生した場合、受信側では、IPヘッダ内の「フラグメントオフセット」フィールドから、受信したパケットが分割されたパケットのどの部分かを特定し、「フラグ」フィールドから、最後のフラグメントかフラグメントの途中かを判定すると思います。 そこで質問なのですが、フラグメント化されたパケットを受信側で再構築する際に、分割されたパケットを全て受信し終えたことを、どこで判断するのでしょうか。 仮に受信したパケットの「フラグ」フィルードが最後のフラグメントだとしても、それ以降に受信順番が逆転してしまったパケットが残っている可能性があります。 また、IPヘッダ内の「ヘッダ長」フィールドは、分割されたサイズが格納されているようなので、分割前の合計サイズは分かりません。 以上、よろしくお願いします。

その他の回答 (2)

  • 回答No.2
noname#41381

#1補足より >別のツールや方法で、SYNとFINを同時にマークしたパケットを投げる実現方法がありましたら >お教えいただけないでしょうか。 > SYNとFINを同時には試してませんが... Eiji James Yoshidaさんの「barrage」はどうでしょうか? http://www.geocities.co.jp/SiliconValley/1667/index.htm#NSAT

参考URL:
http://www.geocities.co.jp/SiliconValley/1667/index.htm#NSAT

共感・感謝の気持ちを伝えよう!

  • 回答No.1

SYNとFINを同時にマークしたパケットによるスキャンはありません。 ヘルプでOptions Folder PageのFragmentationの項を参照してください。それはフラグメンテーション・オプションを有効にしたSYNスキャンとFINスキャンということではないですか? 出典はどこなんでしょうか?

共感・感謝の気持ちを伝えよう!

質問者からのお礼

ShaneOMacさん   NMapでは使用できないと言うことが判り、大変有益でした。   どうもありがとうございました。

質問者からの補足

SYN-FINスキャンというのはSYNとFINを同時にマークしたパケットを投げて サーバでの反応を見るということでよろしいですよか。 >SYNとFINを同時にマークしたパケットによるスキャンはありません。 早速の回答有難うございます。Nmapでは実現できないということなのですね。 別のツールや方法で、SYNとFINを同時にマークしたパケットを投げる実現方法がありましたらお教えいただけないでしょうか。 >出典はどこなんでしょうか? 私がみたサイトはこちらになります。このページのNmapの項です。 http://linux.ascii24.com/linux/linuxcom/2000/07/19/504736-000.html 今回私が知りたかったのは以下にあるページのようなことでした。 http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=4691

関連するQ&A

  • インターネット通信不能攻撃への対策

    ネットにつなぐ時もし攻撃者が僕が毎日10:00にモデムに電源をいれ プロバイダーからIPアドレスを振ってもらうタイミングがわかるとします。そして時々僕のところに除きに来て通信先もわかるとして、そこからIPアドレスをパケットを盗聴して僕のIPアドレスは完全に特定できるとして、IPアドレスの変更は無駄なこととして聞いてください。 僕のIPアドレスがばれているので通信先がわかり訪れたサイトのIPアドレスに成りすましTCPパケットを連続で打ってきます。 これはパーソナルファイアウォールのTCPのインバウンド拒否で防げますが、迷惑なのが 通信できないようにしてくることです。 僕のIPアドレスに成りすましてFIN、RSTパケットを送って通信を終わらせてるのか 通信先のIPアドレスに成りすまして僕のほうにFIN、RSTパケットを送ってきて終わらせてるのか そういうの詳しくないんですけど そういうのができると本気を出せば一日中強制的に通信不能にできることもできますよね? IPアドレスが偽装されてるのでどう相手を特定したらいいんですか? またjeticoというPFWがありますがこれはTCPのFIN,SYN,RSTなどフラグ別にまで制御できますが、これでインバウンドのRST,FINを遮断すれば解決できませんか?(それではぼくのIPアドレスに偽装して通信先にFIN、RSTパケットを送る遮断攻撃対策になってませんが) どうすれば遮断攻撃を回避できますか?

  • パケットフィルタ? のような事が出来るソフトを探しています。

    アプリケーションによっては知らず知らずの内に 外部とデータのやり取りを行うものがあるようです。 またインストール時にも(特に海外のシェアウェアやその試用版など) 何らかのパケットの送信を試みるソフトもあるようで、困っています。 その様な外部との交信、パケットの送信や受信が行われようとした際、 事前にユーザに知らせブロックや通過させるなどするソフトウェアはありませんか? 送受信されたパケットをグラフなどで表示しログなど取るツールはありますが正直役に立ちませんし、 ポートやプロトコルやホスト名やIPなどで許可非許可の設定が行えるルーターやツールなども、 その様な機能は無いよりは良いのですがいまいち便がよくありません。 起動アプリケーションごとに設定が行えるパケットフィルタ、の様なツールは無いのでしょうか。 ご存知の方、ツール名など教えていただけると幸いです。 複数ある場合お手数ですが心当たりあるソフト複数を載せていただけるとなお助かります。 どうかよろしくお願いいたします。

  • snortに関して

    snortに関して、2点質問させてください。 設定は、とりあえず、 var HOME_NET any var EXTERNAL_NET any で、ルールも明らかに関係ないもの以外は、デフォルトのまま使っています。 まず、現在、iptablesでパケットフィルタリングをしているのですが、snortの走査はフィルタを通過してきたパケットに対してのみ行われるという認識で正しいでしょうか? もしそうだとすると、2、3のポート以外のsynパケットをフィルタしていても、synフラッグのみのパケットによる単純なポートスキャンを検出しているようなのですが、これはどうしてなのでしょうか。 また、 [**] [117:1:1] (spp_portscan2) Portscan detected from 111.222.333.xxx: 6 targets 6 ports in 12 seconds [**] 07/22-12:35:44.814374 111.222.333.xxx:2525 -> 123.123.123.123:8801 TCP TTL:127 TOS:0x0 ID:42156 IpLen:20 DgmLen:48 DF ******S* Seq: 0x3CA0BCCF Ack: 0x0 Win: 0xFAF0 TcpLen: 28 TCP Options (4) => MSS: 1412 NOP NOP SackOK alertファイルに上記のようなログがでるのですが、いつも、fromに書かれたアドレスが、自分のアドレスなのです。これはどうしてでしょうか。 もし、alertファイルの各項目の見方が解説されたページがあれば是非教えてください。 よろしくお願いします。

  • この設定で安全なのか不安です。

    BUFFALOのWBR2-G54/Pのルータを使用しています。 ネットワークカメラ設置に伴い、ルータのアドレス変換設定を、 WAN側IPアドレス(AirStatin)TCP80<-->LAN側IPアドレス192.168.**.**(カメラの固定プライベートIP) LAN側ポート80 IPフィルタルール追加 動作:WAN側からのパケットを通過する。 宛先IPアドレス:192.168.**.**(カメラの固定プライベートIP) 送信元IPアドレス:未記入 プロトコル 任意のTCP/UDP:HTTP(TCPポート:80) としてWANからカメラの画像(動画)をみれるようにしています。 昨日はじめて上記の、設定したのですが、 本日早速TCP SYN FLOOD攻撃を受けたがアタックブロックしました。 というルータからのポップアップメッセージが出てきました。 セキュリティソフトはNorton Internet Securityを入れファイアウォール もONにしているのですが、ネットワークにあまり詳しくないため 心配です。 80番ポートを解放するとTCP SYN FLOOD攻撃というものを受けやすくな るのでしょうか? ご存知の方。宜しくお願いします。

  • ルーターのセキュリティログにて

    ADSLモデムSV3を使用しています。 そのセキュリティログに以下の内容が出ていました。 受信時間 送信元IPアドレス/ポート 宛先IPアドレス/ポート プロトコル アクション 2013/02/25 19:18:24 192.168.1.252/- 61.x.y.z/- ICMP 廃棄[パケットフィルタ] 2013/02/25 19:18:24 192.168.1.252/- 61.x.y.z/- ICMP 廃棄[パケットフィルタ] 2013/02/25 19:18:24 192.168.1.252/- 61.x.y.z/- ICMP 廃棄[パケットフィルタ] 実際は、一秒間に10件から20件くらいです。 宛先IPアドレスの61.x.y.zはルーターに割り当てられたグローバルIPです。 通常、送信元IPには相手先として、グローバルIPになると思うのですが、 何故か、ご覧のようにプライベートIPです。 パケットフィルタ設定には「プライベートアドレスを使用した外部装置との通信を禁止」項目があるので、これで廃棄されていると思います。 この送信元IPには心あたりがありません。 DHCPで振り出す範囲からも外れていますし、固定IPでも使用していません。 1.これは何が起きているのでしょうか? 2.秒間20件というアクセスは通常レベルでしょうか? 3.止めることはできますか? どうぞ、宜しくお願いします。

  • httpsのページがIE 7で表示できません

    httpsのページがIE 7で表示できません。 表示できないページは、apache version 2.2系で自分で建てたサーバーです。 オレオレ証明書に使ったopensslのversionは0.9.8e, private keyの鍵長は、 1024でも2048でもだめでした。 また、mozilla firefox 3.0では同様に証明書の警告が出ますが、 例外設定をすることで表示されることを確認しています。 IE 7の現象としては、 "この Web サイトのセキュリティ証明書には問題があります。" - (A) と警告が出て、閲覧を続行すると "Internet Explorer ではこのページは表示できません" - (B) といわれます。 このとき、wiresharkでパケットのダンプを見てみると、 (A), (B)の通信が両方とも以下のようなシーケンスになっていました。 1, client -> server : tcp syn 2, server -> client : syn, ack 3, client -> server : syn 4, client -> server : client hello 5, server -> client : server hello, change cipher spec, Encrypted Handshake message 6, client -> server : change cipher spec, encrypted handshake message 7, client -> server : FIN ACK 8, server -> client : ACK 9, server -> client : encrypted alert 10, server -> client : FIN ACK 11, client -> server : RST ACK [ client: IE 7 ], [ server: apache22 ] 7の段階でIEからFIN ACKを送っているためページを表示できないのだと思うのですが、 なぜFIN ACKをおくっているのかが分かりません。 問題を解決したいのですが、はまってしまって困っています。 プロトコル・原因の調査方法等々、何か知っていることがありましたらご教授ください。 よろしくお願いいたします。

  • 掲示板に書き込みたいのですが・・・

    すいません、とあるオンラインゲームの掲示板へ書き込もうとすると『Proxy経由と判断され投稿はキャンセルされました』となってしまい、色々と試してみたのですがダメでした。 ルータは corega SW-4PLを使用しています。 以下はその掲示板からの抜粋なのですが、実際ルータをどう設定していいのかちんぷんかんぷんわからないので、ぜひ教えて頂けないでしょうか。 よろしくお願い致します。 Windows&ルータをご利用の場合 パケットフィルタでWAN側からのパケットをReject(拒否)する Rejectができない(Deny or Drop : 廃棄しかない)場合 NATP(IPマスカレードとか静的NATとか)またはNATを利用して、Llama.netからのパケットをLAN側のPCに転送する (当然ですが、閉じてあるPortに転送してください) NATPまたはNATの設定で送信元のIPが指定できない場合は、パケットフィルタでLlama.netからのパケットをpass(通過)させる

  • snifferでのフィルタリング設定

    sniffer(スニファー)のキャプチャーする際に特定のIPセグメントのみをとる方法をご存知でしたら教えてください。 例えば支店として172.16.1.0~172.16.200.0までのネットワークがあるのですが、この内172.16.10.0の支店から出たパケットのみをキャプチャー使用と考えています。 キャプチャーのフィルター設定の項目でIPアドレスとして「172.16.10.0<->any」で入れると何も取れません。フィルタリングの設定を「any<->any」するとパケットは取れるのでフィルタリングだけの問題と思います。 また、支店端末のIPアドレスを全部登録(172.16.10.1~254まで)も考えましたがフィルタリングは10個ぐらいのアドレスしか定義できないらしいのです。 1支店(172.16.10.0)のIPセグメントのみキャプチャーできるようにする事は可能でしょうか? 因みにSnifferPro4.5です。 宜しくお願いします。

  • Launch.comのPVが見れない対処法を教えてください!(ノートン・インターネットセキュリティ関連)

    半年前ぐらいまで普通にPVをLaunch.comで見れてたのですが、急に10曲中1曲しか見れなくなりました(1曲以外はすべてスキップし音声も聞こえません)。 Windows Media Playerの設定のファイルの関連付けも問題なしです。 思い当たるのが「ノートン・インターネットセキュリティ2004」(半年前は2003)なのですが、ログヴューアを見ると「侵入検知」は作動していないのですが、「ファイアウォール」に「無効な接続上の TCP 非 SYN/非 ACK パケット。パケットを破棄しました 送信元 IP アドレス: wmcontent81.bcst.yahoo.com(63.250.207.118) 」とあります。 簡単に症状を書きましたが、どなたか改善策を教えていただけないでしょうか?洋楽のPVの豊富さとRate機能がありLaunchを今後も利用したいと思っています。 不明な点があればお気軽に聞いてください。わかる範囲でお答えします。 よろしくお願いします<(_ _)>

  • WEBサーバーの公開

    WEBサーバーを公開したいと思っております。 そもそも『Aterm WR7610HV』で公開は可能でしょうか?? とりあえず、ポートマッピング設定で 変換対象ポートを80、 宛先アドレスを公開するサーバーのプライベートIP で登録。 その後、パケットフィルタ設定で フィルタ種別を通過 送信元IPアドレスを * 宛先IPアドレスを公開サーバーのプライベートIP プロトコル種別をTCP 送信元ポートを 80 宛先ポートを 80 方向を両方向 で登録してみました。 IPは複数です。 ネットの外部よりの接続確認でポート80番が空いていないか、apacheが起動していないといわれます。apacheはローカルでアクセスできるので、起動しています。 ご存知の方がいらっしゃいましたら宜しくお願いします。