■ステルス・スキャン(stealth scan)
サーバにログを残さないように通常とは異なる手順でポート・スキャンを行う手法のこと。
TCP/UDPの各ポートのサービス状態を総当り的に調査する「ポート・スキャン」では、ログが残ってしまうため、管理者に気付かれてしまう可能性がある。そこで、ログを残さないように通常の通信手順とは異なるパケットを送信し、その応答を見ることでサービスが動いているかどうかを確認する。ポート・スキャンのログが残らないことから「ステルス・スキャン」と呼ばれる。
ステルス・スキャンの手法にはいくつか種類がある。いきなり通信終了要求(FINパケット)を送信する「FINスキャン」、FIN/URG/PUSHの3種のフラグ付きパケットを送信する「XMASスキャン」、何もフラグの立っていないパケットを送信する「Nullスキャン」、接続が確立する寸前にRSTパケットを送信する「SYNスキャン」などがある。これらのスキャンには、Windows系OSは反応しないため、逆にこれらのスキャンを行うことでWindows
OSかどうかを判断することができる。
多くのファイアウォールやルータなどは、こうした異常なパケットをブロックするステルス・スキャン対策機能を装備している。またLinux向けには、ステルス・スキャンであってもログが残せる「iplog」といったログ・ツールが提供されている。
・セキュリティ用語(ポート・スキャン):
http://www.hotfix.jp/archives/word/2005/word05-01.html
|