「Linux Tips （セキュリティ）」の編集履歴（バックアップ）一覧に戻る

Linux Tips （セキュリティ） - (2006/05/28 (日) 00:49:47) のソース

''コンテンツ一覧''
#contents

*psコマンド改竄時の対処
/procでプロセスを確認すると良い。psは改竄できても/procの改竄は難しい。
以下のコマンドを実行してみる
 # ls -d /proc/* | grep [0-9] | wc -l ; ps aux | wc -l
 62
 62
上記の場合なら、/procで確認したものと、psで確認したものが同じ数なので問題無い。
これが、/procで確認したもののほうが圧倒的に多い場合などは、
危険な状態の可能性が高い。


*MACアドレス偽装
以下の操作で、MACアドレスを偽装することができる。

 # ifdown eth0
 # ifconfig eth0 hw ether 01:02:03:AB:CD:DF　←eth0の場合
 # ifup eth0

以上で、MACアドレスの偽装は完了。MACアドレスで制限しているシステムも、
許可されているMACアドレスを上記で指定してやれば、突破することが可能。

MACアドレスはユニークなものであるが、簡単に偽装することが可能ということを
忘れないで欲しい。MACアドレス ＝ ユニーク ＝ 安全 というのは、
間違った見解である。

なお、コンピュータを再起動すれば、MACアドレスは元に戻る。


*囮のIPアドレスを指定して、ポートスキャンする
nmapを使用してポートスキャンする際に、-sS を指定して
ステルススキャンを行なえば、ターゲットのログに記録されにくくはなる。
しかし、例えステルススキャンしてもNIDSなどの検知システムは反応し、
NIDSのログにはバッチリ、ポートスキャンされたことが残ってしまう。

ここでは、囮のIPアドレスを使用して、ターゲットのNIDSのログに、
自分の痕跡を残しづらくする方法を紹介する。
ターゲットのNIDSのログには、ここで指定した囮のIPアドレスが残る。

書式は、以下の通り、
 # nmap -sS -P0 -D 囮のIPアドレス1,ME,囮のIPアドレス2 ターゲット

以下に実行例を示す
 # nmap -sS -P0 -D 222.222.222.222,ME,222.222.222.223 target.com

ここでは、囮のIPアドレスに、222.222.222.222 と 222.222.222.223 を
指定している。
なお、ここで指定する囮のIPアドレスは実際に生きているホストを
指定してやる必要がある。
この例でのターゲットは、target.comとなる。