意外な盲点

テーマ ・ プライベート♪ カテゴリ ・ ITコンサルタント #4224

今日はサイトのポートスキャンをしました。<img src="http://softonhouse.jp/images/blog/icon/43m.gif" border=0 />

正しい手順と連絡によって行われた実験ですよ。

決してクラッキングした訳ではありません、念のため。

今回は数の多い IP アドレスだったので、できるだけ短時間で終わらせようと、複数起動のできるソフトを使うことにしました。

まあ、Well-known ポートの調査だけでもけっこう時間がかかるので、ほったらかしにしようかと思っての事ですが・・・。

5つほど起動しておいて、偶然にも同時刻に重なってしまった、別のバッチ当て作業を遠隔で行っていました。

ポートスキャンしつつ、VPNの遠隔操作でパッチを当てて再起動。

10分ほど経ってから Web が正常に起動したかをインターネット経由で確認しました。

が・・・。起動しているらしいのに遅いし、プチプチ切れる。<img src="http://softonhouse.jp/images/blog/icon/38m.gif" border=0 />

初めての症状なので焦りました。

何しろ制御先は東京です・・・。<img src="http://softonhouse.jp/images/blog/icon/52m.gif" border=0 />

これは夜中に東京まで走りか!?

・・・。

で、よーく考えてみたら・・・・。<img src="http://softonhouse.jp/images/blog/icon/44m.gif" border=0 />

5つも同時に Well-know ports scan をしたため、会社のISAサーバーが怒っておられました。

「1つのIPアドレスから同時TCP接続数が上限値を経過」

「1台または多数のゾンビホストが、特定のサーバーに対して攻撃を試みている可能性がありますが、ISAポリシーは攻撃のトラフィックをブロックします。」

ゾンビ。。。w

ああ。。。

ごめんなさい・・・。<img src="http://softonhouse.jp/images/blog/icon/56m.gif" border=0 />

実は、Windows XP SP2 から、多数のセッションを短時間に張ろうとすると、ウイルスが発する他のPCへの攻撃と判断し、OS が自動的に抑制する仕様になっています。

ポートスキャンの様なソフトはそれを回避するため、OS のソケット DLL を使っていないものが多いのです。

ましてや私の PC はサーバー OS なので、その抑制がないのですよね。

短時間に合計で30万にも及ぶ TCP を発した訳ですから、ISA が必死になって怒るのも無理はありません。

(ISAサーバーは例外ホストを指定し、検出させない事もできます)

まあ、ひとつひとつ確実にやりなさいという戒めですね・・・。<img src="http://softonhouse.jp/images/blog/icon/65m.gif" border=0 />

コメント0

まだコメントはありません。最初のコメントを書いてみませんか?