7月9日に
Subject: [FreeBSD-users-jp 91728] ssh へのご来遊に nmap を送りたい
で
tail で security log を監視
結果が Pipe 7 で 218.44.161.150:22 を検出したら
ソースが 64.238.112.202:56749 で生存していたら nmap を 64.238.112.202 に届ける
という事が出来ないでしょうか。
と投稿したのですが、批判もあったのですが、やって見ました。
色々テストの結果下記方法で稼動しています。
やった事
218.44.161.144/29の許可していない ip:port へのアクセスのみに処理を実行する。
nmap を仕掛ける機械は 218.44.161.148 が担当
http://tech.ryuhoku.jp/mrtg/nw15w_dmesg.html
な機械な為 nmap の起動に4〜5秒掛かるが下記機械の dummynet を通過するまでに
不正アクセス者が応答を受け取るまでに nmap は完了できる。
(sh はまともにやった事は無いので可笑しいのは覚悟)
http://nsg.ryuhoku.jp/nmapproc.html
以下の Link がnmapの結果
218.44.161.150:21,22,23 への許可しないアクセスには nmap に -A オプションで処理する。
http://nsg.ryuhoku.jp/
nmap の結果を見ていると時々面白い物がある。
http://nsg.ryuhoku.jp/nmap/18.00.11.79.17.186.12.3199.150.xml
此れと同じような物が、何件が有るが D-Link のルーターはデフォルトで WAN から設定の変更が出来るみたいですね。
ipfw も似た方法で変更をかけるテストをしています。
http://nrg.ryuhoku.jp/
メールアタックをかけられたら、短時間で中継ステーションからのメールをブロックする事で
メールアタックを受け無いようにと思いテストしています。
218.44.161.150:21,22,23 にアクセスすると(応答が帰るまでに数分掛かりますが)
nmap が数秒後自動で開始します、
完了までに5〜20分掛かりますが(処理中は XML エラーと表示)完了すると
http://nsg.ryuhoku.jp/ に Link で記録されます。
熊本県八代郡氷川町吉本103-1
浦口耕也
[メールアドレス保護]