さて、随分アングラちっくなタイトルですが、実際は正反対の内容です。
それは、自ホストが80番ポートを開けていると、串提供を行っていると判定される問題の解決です。
したらばではこの手法での串判定が主なようですので、これを回避します。
主な情報を得たのは、次のレスでした。
まずは、tcpdump により、つなぎに来るIPアドレスを判定します。
tcpdump -n tcp port 80
これを実行しておいて、したらばで書き込みを実行。
案の定、串判定がなされますが、tcpdump にちゃんとログが残ります。
00:30:32.250383 IP IPアドレス.ポート番号 > 自ホストIP.http: S 3080365183:3080365183(0) win 5840 <mss 1398,sackOK,timestamp 656201332 0,nop,wscale 0>
00:30:32.250479 IP 自ホストIP.http > IPアドレス.ポート番号: S 801926110:801926110(0) ack 3080365184 win 5792 <mss 1460,sackOK,timestamp 47813089 656201332,nop,wscale 0>
00:30:32.267270 IP IPアドレス.ポート番号 > 自ホストIP.http: . ack 1 win 5840 <nop,nop,timestamp 656201334 47813089>
00:30:32.275578 IP IPアドレス.ポート番号 > 自ホストIP.http: F 1:1(0) ack 1 win 5840 <nop,nop,timestamp 656201335 47813089>
00:30:32.275882 IP 自ホストIP.http > IPアドレス.ポート番号: F 1:1(0) ack 2 win 5792 <nop,nop,timestamp 47813091 656201335>
00:30:32.292589 IP IPアドレス.ポート番号 > 自ホストIP.http: . ack 2 win 5840 <nop,nop,timestamp 656201337 47813091>
ちょっと饒舌ですが、まぁ必要なのはIPアドレスだけなので問題なし。
アクセスが連発するウェブサーバを運用している人は、いったん -w でファイルに書きだしてから、WiresharkなりEtherealでなり解析すると良いでしょう。
さて、敵のIPアドレスが判明したところで、次にそれを iptables で破棄(DROP)する設定を行います。
ポートが開いているかどうかが問題なので(先のログより明らか)、拒否(REJECT)では意味がないです。
これは簡単に、次の一文で実行できます。
iptables -t filter -A INPUT -p tcp -i eth0 -j DROP -s IPアドレス --dport 80
-i eth0 の部分は各々の環境に合わせて書き換えましょう。
iptables コマンドを実行したら、別にRestartさせる必要もありませんので、そのまま書き込みをチェックしましょう。
問題なく書き込めるはずです。
それは、自ホストが80番ポートを開けていると、串提供を行っていると判定される問題の解決です。
したらばではこの手法での串判定が主なようですので、これを回避します。
主な情報を得たのは、次のレスでした。
19 名前:ぶぅぶぅ 投稿日: 2006/11/18(土) 05:16:45 [ MVSMkfcc ]なるほど、チェックしに来るIPは殆ど同一、ならばそいつを蹴れば良いだけの話!
管理人ではありませんが、したらば鯖からのポートチェックのIPアドレス元は
大体決まっていますので、それを指定して塞ぐのが定石みたいです
まずは、tcpdump により、つなぎに来るIPアドレスを判定します。
tcpdump -n tcp port 80
これを実行しておいて、したらばで書き込みを実行。
案の定、串判定がなされますが、tcpdump にちゃんとログが残ります。
00:30:32.250383 IP IPアドレス.ポート番号 > 自ホストIP.http: S 3080365183:3080365183(0) win 5840 <mss 1398,sackOK,timestamp 656201332 0,nop,wscale 0>
00:30:32.250479 IP 自ホストIP.http > IPアドレス.ポート番号: S 801926110:801926110(0) ack 3080365184 win 5792 <mss 1460,sackOK,timestamp 47813089 656201332,nop,wscale 0>
00:30:32.267270 IP IPアドレス.ポート番号 > 自ホストIP.http: . ack 1 win 5840 <nop,nop,timestamp 656201334 47813089>
00:30:32.275578 IP IPアドレス.ポート番号 > 自ホストIP.http: F 1:1(0) ack 1 win 5840 <nop,nop,timestamp 656201335 47813089>
00:30:32.275882 IP 自ホストIP.http > IPアドレス.ポート番号: F 1:1(0) ack 2 win 5792 <nop,nop,timestamp 47813091 656201335>
00:30:32.292589 IP IPアドレス.ポート番号 > 自ホストIP.http: . ack 2 win 5840 <nop,nop,timestamp 656201337 47813091>
ちょっと饒舌ですが、まぁ必要なのはIPアドレスだけなので問題なし。
アクセスが連発するウェブサーバを運用している人は、いったん -w でファイルに書きだしてから、WiresharkなりEtherealでなり解析すると良いでしょう。
さて、敵のIPアドレスが判明したところで、次にそれを iptables で破棄(DROP)する設定を行います。
ポートが開いているかどうかが問題なので(先のログより明らか)、拒否(REJECT)では意味がないです。
これは簡単に、次の一文で実行できます。
iptables -t filter -A INPUT -p tcp -i eth0 -j DROP -s IPアドレス --dport 80
-i eth0 の部分は各々の環境に合わせて書き換えましょう。
iptables コマンドを実行したら、別にRestartさせる必要もありませんので、そのまま書き込みをチェックしましょう。
問題なく書き込めるはずです。
アクセス
トータル
ランキング
