DNSについて

■ネームサーバの3つの動き
参考：http://www.atmarkit.co.jp/fnetwork/dnstips/005.html

# コンテンツサーバ（Contents Server）

自分が管理しているゾーンに対する問い合わせだけに回答します。名前解決ができなくてもほかのネームサーバへの問い合わせはせず、自らが管理しているデータベースに該当する情報がなければ「情報はない」と答えます。

# フルサービスリゾルバ（Full-Service Resolver）

スタブリゾルバから送られる「再帰（Recursive）検索」要求を受け、名前解決が完了するまで、それぞれの名前についてほかのネームサーバに「反復（Iterative）検索」という形で問い合わせをします。また、その結果をスタブリゾルバに返答します。

このとき、同じ問い合わせを何度も繰り返すという非効率を避けるため、一度名前解決をしたドメイン名を内部にキャッシュして再利用することから「キャッシュサーバ」とも呼ばれます。最近では、こちらの呼び名の方が出現頻度は高くなっているかもしれません。

# スタブリゾルバ（Stub Resolver）
　
利用者側から出される要望を基にフルサービスリゾルバと交信し、調べたいドメイン名を渡して必要な情報を教えてもらう、端末側で動作する検索プログラムです。単に「リゾルバ」と呼ばれることもあります。

■DNSセキュリティ
参考：http://www.itmedia.co.jp/enterprise/articles/0612/11/news035.html


■DNSトリビア？
DNS のやり取りは基本的に UDP で行われますが、メッセージが 512 バイトを超えるとき、 TCP を利用するように切り替わる。
DNS のメッセージヘッダに含まれない内容はクライアントのタイプを表すクライアント(CL)情報。

[OE] バックアップ

OutlookExpressのバックアップ方法

メッセージのバックアップ
①　受信メールの保存先確認

　　　OEトップ画面→オプション→メンテナンス→保存フォルダ
　　　ダイアログに保存先フォルダが表示される

　　　※添付ファイルは本文にエンコードされて保存されている
　　
②　保存先フォルダに移動
　　　　受信トレイ.dbxやら送信済み.dbxがあるので、そのままの形式でバックアップ

③　インポート
　　　　OEトップ画面→ファイル→インポート→メッセージ
　　　　　　→インポートするメッセージのソフト＆バージョン選択（OE6）
　　　　　　→インポートするファイルの選択
　　　　　　→インポート完了

アドレス帳のバックアップ
①　バックアップファイについて

　　　OEではCSVとWAB形式でエクスポートができる
　　　CSVではグループ設定などが反映されないので、WABでする方がいい。

　　　※公式サイトっぽいところではCSVで保存する説明しかなかった。
　　　　　よくわからんが、念のため両方取っておいた方が無難。

②　バックアップ作成
　　　・WAB
　　　　　　　　OEトップ画面→ツール→アドレス帳→(アドレス帳画面の)ファイル→エクスポート（WAB）
　　　
　　　・CSV
　　　　　　　　OEトップ画面→ファイル→エクスポート→CSV選択→保存場所選択・・・

③　インポート
　　　・WAB
　　　　　　　　OEトップ画面→ファイル→インポート→アドレス帳→（ファイル選択）バックアップしたWABファイル選択
　　　
　　　・CSV
　　　　　　　　OEトップ画面→ファイル→インポート→他のアドレス帳→（ファイル形式選択）CSV形式→ファイル選択
　　　

[PC]ガンブラー対策について

ガンブラー対策のHPアドレス
http://www.yomiuri.co.jp/net/security/goshinjyutsu/20100108-OYT8T00898.htm

サイバークリーンセンター
https://www.ccc.go.jp/detail/web/index.html

[server] rcpbindについて調査_メモ

とりあえず、参考：
http://claris.hp.infoseek.co.jp/basic/etc_file_1.html

掲示板で見つけた説明：
http://oshiete1.goo.ne.jp/qa528314.html

--抜粋させていただく-------------------------------------------------------
＞そもそもrpcbindがどのような機能をするのかがわかっていません。
＞これを止めていたらどのような影響がでてくるのでしょうか？

RPC（Remote Procedure Call）系のサーバ・クライアント(NFS、NISなど)が
接続できなくなります。

rpcbind はLinuxではportmapperデーモンと呼ばれています。

普通TCP/IP系のサーバはhttpは80 smtpは25とポート番号
が決まっているので、クライアントはそのポート番号を指定して、つながります。

RPC系のサーバはポート番号が固定していません。その代わり、毎回ポート番号を
rpcbindに登録します。

RPC系のクライアントはrpcbindを調べて、目的のサーバのポート番号を見つけるわけです。
NFS、NISのほかに、CDE関連の環境もRPCを使っているサービスがあります
--------------------------------------------------------------------------

【NIS】
http://www.geocities.co.jp/SiliconValley-Cupertino/9120/nis.html（参照）
NISサーバとは、Network Infomation Serverといい、TCP/IP上で コンピュータの情報を共有するサービスである。
これを使うことにより、パスワードファイルを一括管理したり、
groupファイルやaliasesファイル、hostsファイルの共有が可能になる。

【NFS】
http://www.freebsd.org/doc/ja_JP.eucJP/books/handbook/nfs.html（参照)
NFS はある、Network File Systemといい、
マシンから他のマシンへと、ネットワークを通じて ディレクトリとファイルを共有することを可能にします。

ファイルサーバらしい。
このあたりを使うために、portmapperは動いているらしい。
どちらも使っていないから、停止したいのだが、他に使っている可能性があるものが分からない。

起動しているアプリケーションを調べてみる。
rpcinfo -p localhost　で、動いているポートとアプリケーション名が出るらしい。
--------------------------------------
[root@centos etc]# rpcinfo -p localhost
プログラム バージョン プロトコル ポート
100000 2 tcp 111 portmapper
100000 2 udp 111 portmapper
--------------------------------------
→よくわからないので、netstatでしてみる。

netstat -nlp
netstat /oanb　　←Windowsの場合はこういうのがあるらしい
参考：http://www16.atwiki.jp/rinn/pages/58.html

-------------------------------------------------------------------------------------------------------
[root@centos etc]# netstat -nlp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 1561/portmap
tcp 0 0 0.0.0.0:8080 0.0.0.0:* LISTEN 1748/httpd
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 1748/httpd
tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN 1734/vsftpd
tcp 0 0 192.168.xxx.xx:xx 0.0.0.0:* LISTEN 1532/named
tcp 0 0 127.0.0.1:xx 0.0.0.0:* LISTEN 1532/named
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1700/sshd
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 1715/cupsd
tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN 1532/named
udp 0 0 0.0.0.0:55938 0.0.0.0:* 1808/avahi-daemon:
udp 0 0 192.168.xxx.xx:xx 0.0.0.0:* 1532/named
udp 0 0 127.0.0.1:xx 0.0.0.0:* 1532/named
udp 0 0 0.0.0.0:xxxx 0.0.0.0:* 1808/avahi-daemon:
udp 0 0 0.0.0.0:111 0.0.0.0:* 1561/portmap
udp 0 0 0.0.0.0:631 0.0.0.0:* 1715/cupsd
Active UNIX domain sockets (only servers)
Proto RefCnt Flags Type State I-Node PID/Program name Path
unix 2 [ ACC ] STREAM LISTENING 4365 1621/hald @/var/run/hald/dbus-V6CvEwGa8d
unix 2 [ ACC ] STREAM LISTENING 4366 1621/hald @/var/run/hald/dbus-TokJc7j5TB
unix 2 [ ACC ] STREAM LISTENING 3976 1449/audispd /var/run/audispd_events
unix 2 [ ACC ] STREAM LISTENING 4276 1584/dbus-daemon /var/run/dbus/system_bus_socket
unix 2 [ ACC ] STREAM LISTENING 4325 1605/pcscd /var/run/pcscd.comm
unix 2 [ ACC ] STREAM LISTENING 5088 1715/cupsd /var/run/cups/cups.sock
unix 2 [ ACC ] STREAM LISTENING 5327 1808/avahi-daemon: /var/run/avahi-daemon/socket
------------------------------------------------------------------------------------------------------

名前だけで判断すると、
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 1715/cupsd
udp 0 0 0.0.0.0:631 0.0.0.0:* 1715/cupsd
udp 0 0 0.0.0.0:55938 0.0.0.0:* 1808/avahi-daemon:
udp 0 0 0.0.0.0:xxxx 0.0.0.0:* 1808/avahi-daemon:
これがよくわからない。

■cupsd
　　→プリンタサーバらしい
　　インストール方法は調べるとあるが、アンインストールはない。普通にyumで消してしまっていいのだろうか・・・。

■avahi-daemon
　　→mDNSを通してネームレゾリューションを提供するデーモン（よく分からない）
　　
　　mDNS：
　　DNSの代わりに、デバイスはマルチキャスト ドメイン名サーバ (mDNS) 通知を発行して、
　　サービスに関する情報を提供します。
　　通知には、サービスの種類 (印刷など)、サービスの名前 (「your printer」など)、IP およびポートアドレス、
　　その他必要な情報が含まれます。
　　ネットワーク上の各デバイスは、通知を受信して情報をそれぞれの DNSサーバに保存します。

　　機器のIPや名前解決をしているDNS？
　　DNSのサポート的な感じだろうか？

【結果】
よくわからんので、portmapも含め、無難にサービスを停止、OSを再起動して様子を見てみることにした。

サービスの停止方法
参考：http://itochif.com/contents/Linux/centos5/operation_0011.html

①　不要なサービスのチェック
　　　[chkconfig --list]
②　ネットーワークに関係するサービスをチェック
　　　[netstat -anp]とか
　　　[netstat -nlp]とか・・・オプションの違いは分からないが、先に進む。
④　①のサービス名表示と、②の表示が同じなら、サービスをその名前で停止する
　　　[root@centos etc]# /sbin/service portmap stop
　　　[root@centos etc]# /sbin/service avahi-daemon stop

⑤　①と②のサービス名が不一致の場合
　　　例）　cupsとcupsd
　　　/etc/rc.d/init.d/内にあるサービス起動スクリプトを調査。

　　　[/bin/grep cupsd /etc/init.d/*]
　　　/etc/init.d/cups:DAEMON=cupsd

　　　停止
　　　[root@centos etc]# /sbin/service cups stop

⑥　再起動しても起動しないように設定変更
　　[root@centos etc]# /sbin/chkconfig portmap off
　　[root@centos etc]# /sbin/chkconfig avahi-daemon off
　　[root@centos etc]# /sbin/chkconfig cups off
　　
　　再起動停止確認→全てがoffになっているのを確認する
　　[root@centos etc]# /sbin/chkconfig --list portmap
　　portmap 0:off 1:off 2:off 3:off 4:off 5:off 6:off
　　[root@centos etc]# /sbin/chkconfig --list avahi-daemon
　　avahi-daemon 0:off 1:off 2:off 3:off 4:off 5:off 6:off
　　[root@centos etc]# /sbin/chkconfig --list cups
　　cups 0:off 1:off 2:off 3:off 4:off 5:off 6:off

⑦　[netstat -nlp]で再度確認する
　　　おわり。


【補足】
デフォルトサービスについて
　Fedola5、6のデフォルトサービスと推奨の例
　　→http://kajuhome.com/service_list.shtml#n01を参考
　（インストールのときに本当はもっと調べておかなければいけなかったのだが・・）

[server] FTP攻撃

FTPバウンス攻撃
FTPサーバを中継点にして、別のホストを攻撃する方法。
この攻撃では、FTPのポートコマンドが利用される。
ポートコマンドを使えば、FTPサーバに対して、ファイルの転送先となるネットワークアドレスとポート番号を指定することができる。

脆弱性のあるFTPサーバを利用し、特定のネットワークアドレスやポートに大量のメールやファイルを送りつけたりする。
ネットワークアドレスと攻撃されるマシンとサービスのポート番号を含んだ FTP "PORT" コマンドを送り、



ブルートフォース攻撃
パスワードを回数の制限なく入力することで、「パスワード推測」される。
※ブルートフォースはFTPに限った攻撃ではない。