俺の日記帳　第二冊目

1 ：login:Penguin：2007/05/03(木) 12:29:53 ID:CbgoHqlv.net

批判は受け付けない。

431 ：デムパゆんゆん＠冬眠前線炎上中：2011/01/02(日) 04:18:28 ID:5537oach.net

>>430
netfilterのバグのような気もする
「NEWステートでありながらSYNビットの立っていないパケット」を弾く条件式
ソースコードの　endifで切り分けしてなかったり
くだ質ではソース嫁とか言われそうだが一番の近道

他の環境で試してみるとか
カーネルが古いせんとすとかカーネルが新しいFedoraとか　でぶあんsqueezeとか

くだ質は質問の内容が高度なのが多いけど実質あのスレしか機能してないから
あそこに質問が集中する
マ板もム板もほとんどスルーだし

icmpは常にセッション維持する必要はほとんどないんじゃねの？
パケットが相手の存在確認するくらいだけだし

>>427
＞よって、同じものとは思えませんが、等価なんでしょうか。
NOだな

432 ：デムパゆんゆん＠冬眠前線炎上中：2011/01/02(日) 04:26:59 ID:5537oach.net

というか
>>409
何度も読み返して気になってたんだが
http://www.asahi-net.or.jp/~aa4t-nngk/ipttut/output/newnotsyn.html
よく読んで
>>409でクライアントはウィンドウズ
ウィンドウズ以外でも同じ現象が出るかテストする
マイクロソフト製品は時としてコネクションが切れNEWステートになり
iptables -A FORWARD -p tcp ! --syn -m state --stat NEW -j STEALTH_SCAN
で弾かれてるんじゃないか　とか
気になるならルールの最後に--log-tcp-options つけろとも言ってるでござる

＞「ESTABLISHEDかつSYN」なパケット。何故このようなものが生じるのだろう。
＞発生頻度は低く、再現性も無いが、たま〜にポツリ…と発生する。
iptablesをすり抜けるため意図的に作られたパケット
パケットキャプチャで監視
どこから来てどこへ行くか
iptables入れた鯖外部に公開してるなら　狙われてるんかもな
ハカーは少しずつこういうイレギュラーなパケット流して進入経路作るし
あるいはNSAに送信されるバックドア！

>>409のDROPログは正常じゃないの？
iptables -A FORWARD -i eth1 -o eth0 -p tcp ! --syn -m state --state ESTABLISHED -j ACCEPT
eth1からeth0のSYNビットがついていないコネクション継続中のTCPパケットを許可
DROPログはSYNビットがついているから弾かれた
SYNビットは開始要求パケットで継続中のパケットにはそんなものいらない

「ESTABLISHEDかつSYN」なパケット。はNSAがバックドアを仕掛けるために作られたのだ！

433 ：デムパゆんゆん＠冬眠前線炎上中：2011/01/02(日) 04:29:29 ID:5537oach.net

なんでうぶんちゅとか言われても環境全然書いてないんだもん　わがんね
うぶんちゅ使いが多いからなんとなく
今日はiptablesの勉強をした

434 ：デムパゆんゆん＠冬眠前線炎上中：2011/01/02(日) 04:35:19 ID:5537oach.net

>>431
間違えた
netfilterのバグのような気もする
×「NEWステートでありながらSYNビットの立っていないパケット」を弾く条件式
○「ESTABLISHEDステートでありながらSYNビットの立っているパケット」を弾く条件式
ソースコードの　endifで切り分けしてなかったり
くだ質ではソース嫁とか言われそうだが一番の近道

435 ：login:Penguin：2011/01/02(日) 06:38:29 ID:Ab3/z3Kq.net

> ウィンドウズ以外でも同じ現象が出るかテストする
Windowsだからこんな現象が出るのでは？って疑念は持ってます（>>366も私です。）。
今使ってる本番用の他に、同じ設定のPCルーターとDebianのクライアントの組み合わせもありますが
そちらでは、今のところ出ていませんから。
ただ、実験用で、そんなに使用時間は長くないんです。

発生頻度が低いと書いたように、滅多に出ないので、Windowsだけに出ても今は不思議ではありません。
もう一台のWindowsマシンでも出ませんが、これも使用時間的に、今は何とも。

> >>409のDROPログは正常じゃないの？
> SYNビットは開始要求パケットで継続中のパケットにはそんなものいらない
仰るとおりです。
だからこそ何で「ESTABLISHEDかつSYN」なパケットが出てんの？と疑問に思ったわけです。

> 「ESTABLISHEDかつSYN」なパケット。はNSAがバックドアを仕掛けるために作られたのだ！
ﾏ
ｼﾞ　 ﾊ ,,ﾊ
ﾃﾞ　(；ﾟ◇ﾟ)z
!?

436 ：login:Penguin：2011/01/02(日) 06:40:24 ID:Ab3/z3Kq.net

> icmpは常にセッション維持する必要はほとんどないんじゃねの？
> パケットが相手の存在確認するくらいだけだし
これも仰るとおり。
>>429でも書きましたが、実用上、ステートフル性なんか用いる必要はないかもしれません。

ですが、「中継してくれたルーターからの返答が、ごく一部とはいえ、どうしてINVALIDとなるのだろう。」
という疑問はあるのです。

どうしてそんな疑問を持つかというと、ログを見ながら一つずつ原因を探る。必要なものなら許可していく。
そんな勉強法をとっているからでしょう。
未解決事案に、icmpがINVALIDとして弾かれているログが、いつまでも残っているわけです。
実用上は問題なくとも。

勉強中なんで、それでいいだろうと思ってます。おまけに趣味でやってることなので。
いつかはソースが見られるようになれたらと思います。が、今は無理っす。
長々相手をしてくださり、ありがとうございました。

437 ：デムパゆんゆん＠冬眠前線炎上中：2011/01/02(日) 13:43:14 ID:5537oach.net

ESTABLISHEDかつSYNなパケットを監視するために
パケットキャプチャする
どこから来てどこへ行く　みんなどこへ行った　見送られることもなく
クライアント　ウィンドウズ2台　linux1台
パケット監視用PC1台　ルータ
12時間連続稼働なら大丈夫だろ
朝起きてPCに電源入れて帰ってきて飯食って風呂入ったら23時くらいだろ

icmp がINVALIDで弾かれる　は別の所が原因なんかな


くだ質は　iptablesで　ESTABLISHEDかつSYNなパケットはどうやって弾いたらいいんですか


>>413
＞icmpのtype3の受信で、INVALIDと判定されてしまうものがあるのだ。
弾いたログと前後を見ないと何とも言えない
ルータは基本中継するだけ丸投げがデフォ
何があってもボキュは知らない　それっ　ボキュに投げられても困る　それっ

早めにくだ質で聞くんだな
pfではどうやって弾いてるのか気になったでござる
その昔自作ルータ運用してたら侵入されたしなwwwwwwwwwwwwwwwwwwwwww
セキュリティ気にし出すと頭ハゲるね　いづれOpenBSDにたどり着く

438 ：login:Penguin：2011/01/02(日) 16:42:49 ID:p7DyIEOy.net

>>437
> くだ質は　iptablesで　ESTABLISHEDかつSYNなパケットはどうやって弾いたらいいんですか
申し訳ありませんが、それはないです。
弾くのは簡単です。
知りたいのは「発生原因・理由」です。発生頻度は月に1度あるかどうかですが（だから後回しにしてきた（汗）。

キャプチャについては、やってみます。
24時間つけっぱなしにしても、それだけでは出ませんが（何度も実験済み）。

> icmp がINVALIDで弾かれる　は別の所が原因なんかな
全く別の事象かと。
icmpに関しては、今回のことでもう一度見なおしましたが、「ひょっとして、これが原因？」というのはありました。
まだ全く自信はありませんが。

まぁ、ESTABLISHEDかつSYNなパケットにしても、icmpにしても、いずれ分かると気楽に考えてます。
くだ質もそのうち利用させてもらうでしょう。

439 ：438：2011/01/02(日) 16:58:11 ID:p7DyIEOy.net

438は失礼な物言いになってますね。すいません。
なら、iptablesで　ESTABLISHEDかつSYNなパケットが発生するのですが何故でしょう
と、したらってことですな。

もう少し好きにやらせてくださいな♪

440 ：デムパゆんゆん＠冬眠前線炎上中：2011/01/02(日) 17:46:07 ID:5537oach.net

月に一度あるかないかなのか
アクセスする日が10日から15日前後に限定され発信元はウィンドウズ
それはあっぷでと鯖に要求しているにちがいない
好きにやるといいよ　もう戻れないし底なし沼に片足突っ込んでいる　ﾌﾌﾌ
侵入や追跡に特化したのがいくつかあるけど
BackTrack Part2
http://hibari.2ch.net/test/read.cgi/linux/1232971901/l50

fedora security
http://spins.fedoraproject.org/security/

TOMOYO　Linuxも使うといい
http://tomoyo.sourceforge.jp
底なし沼へいらっしゃい。