国単位でグローバルIPアドレスの範囲を調べる方法
- 国単位でグローバルIPアドレスの範囲を調べる方法について教えてください。
- 海外からの不正アクセスを制限するために、国単位でグローバルIPアドレスの範囲を調べる方法を知りたいです。
- 日本以外のアジアからの不正アクセスを完全に制限する方法について教えてください。
- ベストアンサー
国単位でグローバルIPアドレスの範囲を調べることは出来るでしょうか?
サーバー機1台を24時間フル稼働しています。 ルーターで80番ポート以外はサーバーへアクセスできないようにしているのですが、どうも日本以外のアジアからの不正アクセスが多く困っています。今のところソフトウェアのNISで防いでくれています。毎日のように韓国、中国、香港などからの不正アクセスがあるたびに、該当するサーバーのアドレス範囲を調べ、アクセス出来ないように制限設定しています。もう毎日設定するのが大変なので、できれば日本以外のアジアからのアクセスを完全に制限したいのですが、国単位でグローバルIPアドレスの範囲を調べることは可能でしょうか? もしわかるようであれば教えていただけないでしょうか? ちなみに海外からアクセスがあるサーバーなので、日本以外のアドレス全てを制限するというやり方だけは避けたいです。よろしくお願いします。
- usagidaisuki
- お礼率89% (25/28)
- ネットワーク
- 回答数4
- ありがとう数4
- みんなの回答 (4)
- 専門家の回答
質問者が選んだベストアンサー
- ベストアンサー
#1補足より >各国の使用しているサーバーのアドレス範囲がわかりましたが、 >未登録分やこれから割り当てられる(追加?)分を考えると、ちょっと疑問が残ります。 >しかもアクセス制限設定する数が多くて大変です。 > 確かに個人対応では結構きついものがあるかもしれませんね。 こういったサービスを製品として実現しているのもあります。 http://www.arearesearch.co.jp/surfpoint.html (企業向けで結構お高そうですが...) 今件のようなちょっと特殊なケースは#1のデータを元にごりごりとプログラム作って自力でなんとかするしかないでしょうね。 ただ、中国在住の日本人もいるでしょうし、海外のプロキシ経由というのもあるでしょうし それはどうするのといった話が出てきて、厳密にこういった規制を行っているケースは少ないと思いますよ。 >国毎に大きくグローバルアドレスが割り当てられているというものではないのでしょうか? > IPv4 のアドレススペースを見てください。 http://www.iana.org/assignments/ipv4-address-space 世界に4つある地域レジストリだけでもこれだけわかれて、さらに 「Various Registries」と複数の地域レジストリが混じっている部分が多いのが おわかりいただけると思います。 単純には分けられていないんですね。 始めから管理できていればこんな事にはならなかったんでしょうね。 あと、これを見れば日本だけでもこんなに複雑になっていることがわかりますね。 http://www.nic.ad.jp/ja/dns/jp-addr-block.html >攻撃されている内容ですが、 >・Nimda_Propagation、高レベル、プロトコル:TCP >・HTTP_IIS_ISAPI_Extension、高レベル、プロトコル:TCP >などです。 > Codered,Nimdaによる攻撃ですね。 こういった話なら、日本以外のアジアからのアクセスを止めても無駄でしょうね。 日本国内にも感染しているWindowsサーバはたくさんあるでしょうし。 もし、usagidaisukiさんがWindowsのIISでwwwサーバを構築しているのであれば要注意です。 全てのパッチを入れて最新の状態にしておくのは当然ですが、 最近の新たな脆弱性発見をみるとそれだけでは危険ということがわかるでしょう。 まず少なくとも、これはやっておき(Windows2000の場合) http://www.microsoft.com/japan/technet/security/tools/chklist/w2ksvrcl.asp http://www.microsoft.com/japan/technet/security/tools/chklist/iis5cl.asp 場合によっては、IIS Lockdown ツールの導入も検討したほうがいいでしょう。 http://www.microsoft.com/japan/technet/security/tools/tools/locktool.asp Windowsでない場合もそれなりの対策は必要ですが、(例えばapacheの場合は最新版にしておくとか) 少なくとも、提示された攻撃は全く影響を受けないので、 トラフィック的に問題なければ無視していいでしょう。 本件から外れてしまいましたね。すみません。
その他の回答 (3)
- chrono000
- ベストアンサー率32% (33/103)
#2です。 whoisで検索すれば色々なドメイン検索も出来ます。 特定のポートをアクセス出来ない様に設定すれば解決 出来るはずです。 補足です。 御報告まで
お礼
その特定したポート(80、8080)に不正アクセスがあるのでした。 情報ありがとうございました。
- chrono000
- ベストアンサー率32% (33/103)
IPアドレスが分かれば何処からアクセスされたか分かります。 回答になってなく申し訳ありませんが下記URLで参照して下さい。
とりあえずこれでしょうか。 http://www.mtl.t.u-tokyo.ac.jp/~nminoru/memo/ip-address/what_country_from.html ですが、そもそも >どうも日本以外のアジアからの不正アクセスが多く困っています。 > この不正アクセスというのはどういったものでしょうか? 80/tcp以外への接続ならdropしていれば問題にならないのでは? 80/tcpへの制限をつけたいのでしょうか? それともDoSを受けているとかでしょうか。(ものによってはIPフィルタでも難しいでしょうが...)
補足
回答ありがとうございます。 教えていただいたサイトで、各国の使用しているサーバーのアドレス範囲がわかりましたが、未登録分やこれから割り当てられる(追加?)分を考えると、ちょっと疑問が残ります。しかもアクセス制限設定する数が多くて大変です。 次のような国毎に大きくグローバルアドレスが割り当てられているというものではないのでしょうか? 例.日本 192.168.0.1~192.168.0.255(適当) 韓国 192.168.1.1~192.168.1.255(適当) 中国 192.168.2.1~192.168.2.255(適当) 攻撃されている内容ですが、 ・Nimda_Propagation、高レベル、プロトコル:TCP ・HTTP_IIS_ISAPI_Extension、高レベル、プロトコル:TCP などです。 ルータでTCPポート"80"と"8080"はWEBサーバーのため開けています。それ以外のポートは閉じてます。 よろしくお願いします。
関連するQ&A
- NIS2007のFWで、IPアドレスを範囲指定する方法
先日ノートンInternetSecurityを2006から2007にアップグレードしました。 アップグレード自体はうまくいったのですが、ファイアウォールの設定方法が変わったのか、「接続を許可しないIPアドレスを範囲指定する」方法が分かりません。 2006のときは、ファイアウォール->ネットワーク->制限 で「範囲を使う」という選択肢が用意されていたんですが、2007だとIPアドレスを1つずつでしか指定できないようです。 すみませんが、どなたかNIS2007で「接続を許可しないIPアドレスを範囲指定する」方法をご存知でしたら、教えてください。
- 締切済み
- ウィルス・マルウェア
- IPアドレスのなりすましについて
社内のサーバPCにBlackICEを導入したところLAN上に不正アクセスをするPCがいくつも見つかりました。よく分析すると、存在しないIPアドレスや、電源を切っているPC、電源は入っているが、ウィルスやトロイ系はまったく入っている様子のないPCからでした。どうやらIPアドレスをなりすましたPCからのアクセスのようですが、IPアドレスとはLAN上に同じIPを持つPCがあってもパケットの送受信ができるのでしょうか?それともなりすましといっても実際に不正PCがIPを書き換えたわけではなく、不正パケットに添付するものなのでしょうか?
- 締切済み
- ネットワーク
- 接続ごとのIPアドレスの変化の範囲
.htaccess を使ったアクセス制限を考えています。 禁止するIPアドレスを記述するのですが、例えば、 aaa.bbb.ccc.ddd というIPアドレスがあった場合、その人がそのプロバイダーを使った接続をする限りは、 aaa.bbb.ccc と記述しておけば、アクセス制限できると思っていいのでしょうか? 接続形態によっていろいろとあるとは思うのですが、すべてをひっくるめて、上記のように、IPアドレスの変化の範囲は、最後のdddのところのみ、と考えていいのでしょうか?
- ベストアンサー
- ネットワーク
- IPアドレスによるアクセス制限方法
よろしくお願いいたします。 ウェブサーバのアクセス制限方法について質問です。 ウェブサーバの特定のフォルダのアクセス制限をかけたいのですが、 .htaccessをつかって、特定のIPアドレスのみアクセス許可して、 それ以外のIPアドレスからのアクセスは拒否するようにできるのでしょうか? よろしければサンプルコードが記載されているURLを教えてください。 もしくは核となるコードを教えてください。 よろしくお願いいたします。
- 締切済み
- PHP
- IPアドレスでアクセス制限
別サーバからデータベースサーバにアクセスさせるIPアドレスを限定したいのですが、 SQLServerでそのような設定箇所ってあるのでしょうか? ファイアーウォールでIPとポートを指定して、例外を所除する方法しか思いつきません。 対象サーバは、SQLServer2005WorkgroupEditionだったと思います。 宜しくお願いいたします。
- ベストアンサー
- SQL Server
- グローバルIPアドレスやプライベートIPアドレスやmacアドレスやデフォルトゲートウェイ
centoosで自宅webサーバー構築をしようとしているものです。 家はパソコンが二台あり、それぞれルータに接続しています。 パソコンAをクライアントとして、プライベートIPアドレスは192.168.0.1とします。 パソコンBをサーバーとして、プライベートIPアドレスは192.168.0.2とします。 IPアドレスのことで質問があります。ネットワーク関連の理解がまだまだなので勘違いが多いと思いますが、その勘違いを訂正していただければ幸いです。 1、プライベートIPアドレスは、パソコン一台につき一つありますが、グローバルIPアドレスは何個ありますか?一つでしょうか?NATによってルータでプライベートIPアドレスからグローバルIPアドレスに変換されるものだと思っていますが、変換されたグローバルIPアドレスは各プライベートIPアドレスによって違うのでしょうか? 2、固定IPアドレスと非固定IPアドレスは、何が固定で何が非固定なのかがわかりません。対象のアドレスはグローバルIPアドレスでしょうか?プライベートIPアドレスが非固定…っていうのはちょっと想像がつきにくいです…。それからこれはサーバー側とクライアント側どちらにも固定と非固定とあるのでしょうか? 3、DHCPに関しても「2」同じように、対象のアドレスはグローバルIPアドレスでしょうか?サーバーとクライアントとどちらにも設定があるようですが、サーバー側のDHCPがいまいち想像できません。 4、ルータにあるアドレスは”MACアドレスだけ”で大丈夫でしょうか? 5、ポートに関して、クライアントが開くポートは、「こちらから何か情報を送信するときに開くもの」サーバーが開くポートは、「送信されてきた情報を受け入れるために開いておくもの」ということですか?それともクライアント側サーバー側なんて関係なくポートは一つでしょうか? 6、他wan内のクライアントがパソコンBのサーバーにアクセスするとき、どのアドレスを頼りにアクセスしてくるのでしょうか? 参考書も買い、webでも色々調べたのですが、確信がもてないものやどうにも理解できないものをまとめてみました。(主に、IPアドレスと書かれても、そのIPアドレスがグローバルなものなのかプライベートなものなのかはたまたもっと別のものなのか…がよくわかりません。デフォルトゲートウェイ部分に表示されるアドレスも192.168.x.xという表記ですし…。) 無知な状態で、なんとかwebサーバー構築にたどり着けたとしても、クラッキングの対象にされて他の人に迷惑がかかる…とも知って、不安でいっぱいです。 ぜんっぜん理解できないてないと思いますが、どうかお手柔らかにお願いします。
- ベストアンサー
- ハードウェア・サーバー
- IPアドレスについて
あるサイトからリンクしてきた人だけに見せたいページがあります。 しかしリンク元のサイトはリファラーをだしておらず、IPアドレスしかわかりません。 その場合、リンク元のIPアドレスでアクセスを制限させるというCGIは作成可能でしょうか。 ベーシック認証は利用できないサーバーです。 よろしくお願いいたします。
- 締切済み
- CGI
- グローバルIPアドレスが1つしかないルータの内側にWebサーバーが2台
グローバルIPアドレスが1つしかないルータの内側にWebサーバーが2台あります。どちらも80番ポートでアクセスできるように設定するにはどうしたら良いでしょうか。
- ベストアンサー
- その他(ITシステム運用・管理)
- 不正アクセス対策のグローバルIPアドレス変更は無意味?
不正アクセス対策のためのグローバルIPアドレス変更(ADSLモデムのアダプタをコンセントから抜くこと)ですがグローバルIPアドレスが変わってもmacアドレスが同じならmacアドレスからグローバルIPアドレスを割り出され、結局ポートスキャンや攻撃されます。 というかDHCP機能でグローバルIPアドレスが割り当てられてない状態でインターネットプロパイダのDHCPサーバへローカルポート68からリモートポート67へパケットを送信し、次の受信パケットでグローバルIPアドレスを付与されるわけですが受信パケットはどうやってこちらのクライアント機を特定して戻ってくるんですか?やっぱりこちらのクライアント機のmacアドレスかADSLモデムのmacアドレス目がけてですよね? そうだとやっぱり不正アクセス対策のためにはグローバルIPアドレスとmacアドレスの両方変えないと意味無いんですよね?
- ベストアンサー
- ネットワーク
お礼
いろいろと情報ありがとうございました。 国単位できれいにアドレス範囲が割り当てられていないのですね。 今のところ不正アクセス(悪用された、感染したサーバ)のあったプロバイダのアドレス範囲をじみちにアクセス制限設定しています。やっぱり韓国、中国、香港の3カ国が酷いので、そこを中心に制限設定していこうと思います。 NISがチェックしてくれているので急いで制限設定しなくても安心はしているのですが、もしNISに不都合が生じプログラム強制終了していたら・・・怖いですよね。(^_^;)ルーターに関しても電源の入れ切れ等で設定が無効になってたりすることがあるようなので完全に安全というのは難しいものですね。 大変貴重な情報ありがとうございました。