Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの
 

IP アドレス スイープおよびポート スキャン

アドレス スイープは、1 つの送信元 IP アドレスが事前定義された番号の ICMP パケットを、定義済みの間隔内でさまざまなホストに送信した場合に発生します。ポート スキャンは、1 つの送信元 IP アドレスが、TCP SYN セグメントを含む IP パケットを、同じ宛先 IP アドレスにある定義済み多数の異なるポートに事前定義された間隔で送信する場合に実行されます。詳細については、以下のトピックを参照してください。

IP オプションを使用したネットワーク 偵察について

IP 規格 RFC 791、Internet Protocolは、特別なルーティング制御、診断ツール、セキュリティーを提供するためのオプション セットを指定します。

RFC 791 では、これらのオプションは「最も一般的な通信には不要」であり、実際には IP パケット ヘッダーに表示されることはほとんどありません。これらのオプションは、IP パケット ヘッダーの宛先アドレスの後に表示されます(図 1を参照)。情報が表示されたら、その多くが不正な使用に使われるのです。

図 1:ルーティング オプション Routing Options

このトピックは、以下のセクションで構成されています。

IP パケット ヘッダー オプションの用途

表 1 は 、IP オプションとその付随する属性を示しています。

表 1:IPオプションと属性

クラス

長さ

使用目的

猛烈な使用

オプションの終わり

0*

0

0

1 つ以上の IP オプションの最後を示します。

なし。

オプションなし

0

1

0

ヘッダーに IP オプションがない状態を示します。

なし。

セキュリティ

0

2

11 ビット

セキュリティ、TCC(クローズド ユーザー グループ)パラメーター、および DoD(Department of Defense)要件と互換性のある制限コードの処理をホストに送信する方法を提供します。(このオプションは、RFC 791、Internet Protocol、RFC 1038 で指定されています 。Revised IP Security Option は時代遅れです)。

現在、この screen オプションは IPv4 にのみ適用されています。

未知。ただし、旧式のため、IP ヘッダー内の存在が疑わしいです。

ルーズ ソース ルート

0

3

異なります

送信元から宛先へのその転送に使用するパケットのルート リストの一部を指定します。パケットは指定されたアドレスの順序で処理する必要がありますが、指定されたアドレスの間で他のデバイスを通過できます。

回避。攻撃者は、指定されたルートを使用して、パケットの真のソースを隠したり、保護されたネットワークへのアクセスを取得したりすることができます。

レコード ルート

0

7

異なります

IP パケットが転送されるパスに沿って、ネットワーク デバイスの IP アドレスを記録します。その後、宛先マシンはルート情報を抽出して処理できます。(オプションとストレージ スペースの両方では 40 バイトのサイズ制限により、最大 9 IP アドレスしか記録できません)。

現在、この screen オプションは IPv4 にのみ適用されています。

偵察。宛先ホストが攻撃者の制御下にある侵害されたマシンである場合、攻撃者はパケットが通過したネットワークのトポロジーとアドレススキームに関する情報を収集できます。

ストリーム ID

0

8

4 ビット

(旧式)ストリーム概念をサポートしていないネットワークを介して 16 ビットの SATNET ストリーム識別子を送信する方法が提供されます。

現在、この screen オプションは IPv4 にのみ適用されています。

未知。ただし、旧式のため、IP ヘッダー内の存在が疑わしいです。

ス厳格なソース ルート

0

9

異なります

送信元から宛先へのプロセスでパケットを引き受け取るルート リストを指定します。リストの最後のアドレスは、宛先フィールドのアドレスを置き換える。

現在、この screen オプションは IPv4 にのみ適用されています。

回避。攻撃者は、指定されたルートを使用して、パケットの真のソースを隠したり、保護されたネットワークへのアクセスを取得したりすることができます。

タイムスタンプ

2**

4

 

接続元から宛先への移動中に各ネットワーク デバイスがパケットを受信した時間(協調ユニバーサル時刻[S]***)を記録します。ネットワーク デバイスは IP アドレスによって識別されます。

このオプションでは、パケットのパスおよび各デバイス間の送信期間に沿って、デバイスの IP アドレスのリストを作成します。

現在、この screen オプションは IPv4 にのみ適用されています。

偵察。宛先ホストが攻撃者の制御下にある侵害されたマシンである場合、攻撃者はパケットが通過したネットワークのトポロジーとアドレススキームに関する情報を収集できます。

* 0 と特定されたオプションのクラスは、追加のパケットまたはネットワーク制御を提供するように設計されています。

** 2 と特定されたオプションのクラスは、診断、デバッグ、および測定用に設計されました。

タイムスタンプには、24 時間 30 分の 10 秒(30 秒)以降のミリ秒を使用します。また、国際標準時のベースとなる GREEN GMT(Green gmt)とも呼ばれる。この時刻を表します。

偵察に使用されるIPオプションを検知するためのスクリーンオプション

次の screen オプションは、攻撃者が偵察や未知の疑わしい目的で使用できる IP オプションを検出します。

  • レコード ルート — Junos OS IP オプションが 7(レコード ルート)のパケットを検出し、イングレス インターフェイスのスクリーン カウンター リストにイベントを記録します。現在、この screen オプションは IPv4 にのみ適用されています。

  • タイムスタンプ — Junos OS IP オプション リストにオプション 4(インターネット タイムスタンプ)が含まれるパケットを検出し、イングレス インターフェイスの screen カウンター リストにイベントを記録します。現在、この screen オプションは IPv4 にのみ適用されています。

  • セキュリティ— Junos OS IP オプションが 2(セキュリティ)のパケットを検知し、イングレス インターフェイスのスクリーン カウンター リストにイベントを記録します。現在、この screen オプションは IPv4 にのみ適用されています。

  • ストリーム ID — Junos OS IP オプションが 8(ストリーム ID)のパケットを検出し、イングレス インターフェイスのスクリーン カウンター リストにイベントを記録します。現在、この screen オプションは IPv4 にのみ適用されています。

以前の IP オプションを持つパケットが受信された場合、Junos OS このフラグを付け、イングレス インターフェイスのイベントを記録します。

例: 偵察に IP Screen オプションを使用するパケットの検知

この例では、偵察に IP スクリーン オプションを使用するパケットを検出する方法を示しています。

要件

開始する前に、ネットワーク の偵察の仕組みについて理解してください。IP オプションを使用したネットワーク 偵察について を参照してください

概要

RFC 791、Internet Protocol は 、特別なルーティング制御、診断ツール、セキュリティを提供するための一連のオプションを指定しています。Screenオプションは、攻撃者が記録ルート、タイムスタンプ、セキュリティ、ストリームIDなどの偵察に使用できるIPオプションを検出します。

この例では、IPスクリーン1を設定し、zone-1と呼ばれるセキュリティ ゾーンを有効にします。

メモ:

1 つの画面で有効にできるのは 1 つの画面セキュリティ ゾーン。

トポロジ

構成

手順

CLI迅速な設定

レコード ルート、タイムスタンプ、セキュリティー、ストリーム ID IP スクリーン オプションオプションを使用してパケットを迅速に検出するには、以下のコマンドをコピーしてデバイス に貼りCLI。

手順

次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、「 ネットワーク ユーザー ガイド 」の CLI CLI モード での CLI エディターの使用 を 参照してください

偵察に IP スクリーン オプションを使用するパケットを検出するには、次の方法に従います。

  1. IP 画面オプションを設定します。

    メモ:

    現在、これらのスクリーンオプションはIPv4のみをサポートしています。

  2. 画面で画面を有効セキュリティ ゾーン。

結果

設定モードから、 コマンドを入力して設定を確認 show security screen します。出力結果に意図した設定結果が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モード commit から を入力します。

検証

設定が正常に機能されていることを確認します。

セキュリティ ゾーンでのスクリーンの検証

目的

画面が画面で有効になっているかセキュリティ ゾーン。

アクション

動作モードから コマンドを入力 show security zones します。

セキュリティ画面の設定の検証

目的

セキュリティ画面に関する設定情報を表示します。

アクション

動作モードから コマンドを入力 show security screen ids-option screen-name します。

IP アドレス スイープについて

アドレス スイープは、1 つのソース IP アドレスが定義された間隔(5,000 マイクロ秒がデフォルト)内で異なるホストに送信された指定された数の ICMP パケットを送信するときに発生します。この攻撃の目的は、少なくとも 1 件の返信でターゲットのアドレスを明らかにすることを期待して、ICMP パケット(通常はリクエストをエコーするリクエスト)をさまざまなホストに送信するためです。

Junos OS 1 つのリモート ソースからの異なるアドレスに ICMP パケットの数を内部でログに記録できます。デフォルト設定を使用して、リモート ホストが 0.005 秒(5,000 マイクロ秒)で 10 のアドレスに ICMP トラフィックを送信した場合、デバイス フラグを設定して、アドレス スイープ攻撃として、そのホストからそれ以上のすべての ICMP パケットを拒否し、指定したしきい値の残りの時間を過ごします。図 2 を参照してください

図 2:アドレススイープ Address Sweep

ポリシーに対してこの screen オプションを有効セキュリティ ゾーンゾーンからの ICMP トラフィックを許可するポリシーがある場合にのみ有効にすることを検討してください。そうしないと、screen オプションを有効にする必要はありません。このようなポリシーが欠如すると、そのゾーンからの ICMP トラフィックすべてが拒否されます。攻撃者が IP アドレス スイープを成功から保護します。

メモ:

Junos OS ICMPv6 トラフィック用のこの screen オプションもサポートしています。

例: IP アドレス スイープのブロック

この例では、仮想ネットワークから発生した IP アドレス スイープをブロックする画面を設定する方法セキュリティ ゾーン。

要件

開始する前に、以下を実行します。

概要

そのゾーンからの ICMP トラフィックを許可するセキュリティ ゾーンするポリシーを設定している場合、ポリシーの設定画面を有効にする必要があります。このようなポリシーを設定していない場合、そのゾーンからの全 ICMP トラフィックがシステムによって拒否され、攻撃者は IP アドレス スイープを正常に実行することはできません。

この例では、ゾーン 1 プロトコルで発生した IP アドレス スイープをブロックする画面 5000-ip-sweep をセキュリティ ゾーン。

トポロジ

構成

手順

手順

IP アドレス スイープをブロックする画面を設定するには、以下の手順に従います。

  1. 画面を構成します。

  2. 画面で画面を有効セキュリティ ゾーン。

  3. デバイスの設定が完了したら、設定をコミットします。

検証

設定が正常に機能されていることを確認します。

セキュリティ ゾーンでのスクリーンの検証

目的

デバイスで画面が有効になっているセキュリティ ゾーン。

アクション

動作モードから コマンドを入力 show security zones します。

セキュリティ画面の設定の検証

目的

セキュリティ画面に関する設定情報を表示します。

アクション

動作モードから コマンドを入力 show security screen ids-option screen-name します。

TCP ポート スキャンについて

ポート スキャンは、1 つのソース IP アドレスが TCP SYN セグメントを含む IP パケットを 10 の宛先ポートに定義された間隔で送信するときに実行されます(デフォルトは 5,000 マイクロ秒)。この攻撃の目的は、少なくとも 1 つのポートが応答して、ターゲットとなるサービスを識別できるよう、利用可能なサービスをスキャンする目的です。

Junos OSのリモート ソースからスキャンした異なるポートの数を内部にログに記録できます。デフォルト設定を使用して、リモート ホストが 0.005 秒(5,000 マイクロ秒)で 10 ポートをスキャンした場合、デバイスはこれをポート スキャン攻撃としてフラグを付け、指定したタイムアウト期間の残りの残りについて、宛先 IP アドレスに関係なく、リモート ソースからのすべてのパケットを拒否します。図 3 を参照してください

図 3:ポート スキャン Port Scan
メモ:

Junos OS IPv4およびIPv6トラフィックの両方のポートスキャンをサポートしています。

UDP ポート スキャンについて

UDP ポート スキャンは、セッションのしきい値に関する統計情報を提供します。受信パケットが画面を通過すると、セッションが確立されます。しきい値が適用されるセッション数は、ゾーン、送信元IP、しきい値周期に基づいており、各ゾーンおよび送信元IPアドレスについて、設定したしきい値期間では10を超える新しいセッションを許可しません。デフォルトでは、UDP ポート スキャンは無効になっています。UDP ポート スキャンが有効になっている場合、デフォルトのしきい値周期は 5,000 マイクロ秒になります。この値は、1000~1,000,000 マイクロ秒の範囲に手動で設定できます。この機能は、公開されている一部のパブリック UDP サービスを他の攻撃DDoSします。図 4 を参照してください

図 4:UDPポート スキャン UDP Port Scan

ポート スキャンをブロックしてトラフィック管理を強化する

この例では、特定のデバイスから送信されたポート スキャンをブロックする画面を設定して、トラフィック管理を強化する方法をセキュリティ ゾーン。

要件

開始する前に、ポート スキャンの仕組みについて理解してください。「 TCP ポート スキャンについて 」を参照してください

概要

ポート スキャンを使用して、同じソース アドレスから異なるポートに送信された TCP SYN セグメントまたは UDP セグメントを含む IP パケットを、定義された間隔でブロックできます。この攻撃の目的は、少なくとも 1 つのポートが応答すると期待して、利用可能なサービスをスキャンする方法です。ポートが応答すると、そのポートはターゲットへのサービスとして識別されます。

この例では、特定の セキュリティ ゾーン から発生するポート スキャンをブロックする 5000 ポート スキャン画面を設定し、ゾーン-1 と呼ばれるゾーンにこの画面を割り当にします。

トポロジ

構成

手順

CLI構成の迅速な設定

この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細情報を変更し、コマンドを階層レベルで CLI にコピー アンド ペーストして、設定モードから を入力します。 [edit] commit

手順

次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、「 ネットワーク ユーザー ガイド 」の「 設定モードでの CLI エディター の CLI使用 」を 参照してください

ポート スキャンをブロックする画面を設定するには、以下の手順に従います。

  1. 画面を設定します。

  2. 画面で画面を有効セキュリティ ゾーン。

結果

設定モードから、 および コマンドを入力して設定 show security screen ids-option 5000-port-scan を確認 show security zones します。出力結果に意図した設定結果が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モード commit から を入力します。

検証

設定が正常に機能されていることを確認します。

セキュリティ ゾーンでのスクリーンの検証

目的

画面が画面で有効になっているかセキュリティ ゾーン。

アクション

動作モードから コマンドを入力 show security zones します。

意味

サンプル出力は、ゾーン1のスクリーンがポートスキャンブロックで有効になっている示しています。

セキュリティ画面の設定の検証

目的

セキュリティ画面に関する設定情報を検証します。

アクション

動作モードから コマンドを入力 show security screen ids-option screen-name します。

意味

サンプル出力は、ポート スキャンのブロックが TCP および UDP しきい値で動作している状態を示しています。

詳細については、