HOME»情報処理安全確保支援士掲示板»平成30年秋-午後1-ポートスキャンのログの見方
投稿する
この4レコードの上は縦に「・・・」が並んでいます。
これは途中省略の意味と思われます。
この省略部分にも多数のポートスキャンの記録が残っていたと考えられます。
この4レコードはスタートしている行ではなく、NAT変換前の4IPアドレス
192.168.0.{8,12,32,44}についてポートスキャンを行ったログを抜き出した際の
最後の部分と思われます。
従いまして、表1「APの通信ログ」は問題を提供するにあたり、ログの最初と
最後のみを掲載したものと思われます。
平成30年秋-午後1-ポートスキャンのログの見方 [1013]
あふぇあwfさん(No.1)
平成30年秋-午後1-問2-「表1 APの通信ログ」のポートスキャンのログの見方の質問です。
表1には8個のレコードがあると思いますが、上4つの宛先IPアドレス「1.1.1.1」はどこに向けて送信してるのですか。
また下4つの宛先IPアドレスも「図1 G社のネットワーク構成」にあるネットワークアドレスに該当しないのでどこに向かって通信しているのか教えてほしいです。
私は、8個のレコードすべてがポートスキャンだというところまでは理解しました。
表1には8個のレコードがあると思いますが、上4つの宛先IPアドレス「1.1.1.1」はどこに向けて送信してるのですか。
また下4つの宛先IPアドレスも「図1 G社のネットワーク構成」にあるネットワークアドレスに該当しないのでどこに向かって通信しているのか教えてほしいです。
私は、8個のレコードすべてがポートスキャンだというところまでは理解しました。
2023.01.25 22:51
pixさん(No.2)
★SC ダイヤモンドマイスター
質問の問ですが、「平成30年秋-午後1-問2」が正しいと思われます。
P8 図3「ワームVに関する注意喚起」にIPアドレス範囲として
「(b)1.1.1.1から223.255.255.255の範囲」
とあります。
このうち、以下の5つはG社の本社・工場になります。
10.10.0.0/16
10.100.1.0/24
10.100.50.0/24
10.100.90.0/24
10.100.130.0/24
それ以外の
1.1.1.1や1.100.x.xはインターネット(外部)に向けてポートスキャンを
行っています。
「(b)1.1.1.1から223.255.255.255の範囲」というのは
IPアドレスで指定できるほぼすべての世界中のIPアドレス
(約37億6千IPアドレス)です。
この範囲に対して虱潰しにポートスキャンします。
ほぼすべての世界中のIPアドレスというと途方もない時間がかかるように
思えますが、現在の最高性能のポートスキャンツール(MasscanやZMap)では
1時間かからずにスキャンが可能です。
P8 図3「ワームVに関する注意喚起」にIPアドレス範囲として
「(b)1.1.1.1から223.255.255.255の範囲」
とあります。
このうち、以下の5つはG社の本社・工場になります。
10.10.0.0/16
10.100.1.0/24
10.100.50.0/24
10.100.90.0/24
10.100.130.0/24
それ以外の
1.1.1.1や1.100.x.xはインターネット(外部)に向けてポートスキャンを
行っています。
「(b)1.1.1.1から223.255.255.255の範囲」というのは
IPアドレスで指定できるほぼすべての世界中のIPアドレス
(約37億6千IPアドレス)です。
この範囲に対して虱潰しにポートスキャンします。
ほぼすべての世界中のIPアドレスというと途方もない時間がかかるように
思えますが、現在の最高性能のポートスキャンツール(MasscanやZMap)では
1時間かからずにスキャンが可能です。
2023.01.26 07:13
あふぇあwfさん(No.3)
回答ありがとうございます。平成30年秋-午後1-問2-「表1 APの通信ログ」でした。申し訳ありません。
ポートスキャンの話とてもわかりやすかったです。
下4つのレコードはどうして「1.100.x.x」と中途半端な数字からスタートしているのでしょう。
例えばリーン期間が終了してもう一度DHCPサーバに新しいIPアドレスを与えられたときの最初のレコードだからとかですか?
ポートスキャンの話とてもわかりやすかったです。
下4つのレコードはどうして「1.100.x.x」と中途半端な数字からスタートしているのでしょう。
例えばリーン期間が終了してもう一度DHCPサーバに新しいIPアドレスを与えられたときの最初のレコードだからとかですか?
2023.01.26 19:32
あふぇあwfさん(No.4)
↑リーン期間ではなくリース期間ですね。申し訳ございません。
2023.01.26 19:34
pixさん(No.5)
★SC ダイヤモンドマイスター
>下4つのレコードはどうして「1.100.x.x」と中途半端な数字からスタートして
>いるのでしょう。
この4レコードの上は縦に「・・・」が並んでいます。
これは途中省略の意味と思われます。
この省略部分にも多数のポートスキャンの記録が残っていたと考えられます。
この4レコードはスタートしている行ではなく、NAT変換前の4IPアドレス
192.168.0.{8,12,32,44}についてポートスキャンを行ったログを抜き出した際の
最後の部分と思われます。
従いまして、表1「APの通信ログ」は問題を提供するにあたり、ログの最初と
最後のみを掲載したものと思われます。
2023.01.26 19:47
pixさん(No.6)
★SC ダイヤモンドマイスター
補足です。
途中でDHCPでIPアドレスのリリース&再リースが行われておりますが、
同じIPアドレスを再リースされた別のPCは1.1.1.1からスキャンを開始すると
思われます。
それについては注1)から読み取れます。
表1「APの通信ログ」も192.168.0.{8,12,32,44}の4つのIPアドレスからポート
スキャンが行われている事実のみを伝えようとしているものと思われます。
表1の最後の行が10/28 17:31あたりで終わっているのは、出題のための例としてか
それ以外の理由かは判別する材料がないため確実なことは断言できないです。
途中でDHCPでIPアドレスのリリース&再リースが行われておりますが、
同じIPアドレスを再リースされた別のPCは1.1.1.1からスキャンを開始すると
思われます。
それについては注1)から読み取れます。
表1「APの通信ログ」も192.168.0.{8,12,32,44}の4つのIPアドレスからポート
スキャンが行われている事実のみを伝えようとしているものと思われます。
表1の最後の行が10/28 17:31あたりで終わっているのは、出題のための例としてか
それ以外の理由かは判別する材料がないため確実なことは断言できないです。
2023.01.26 20:08
あふぇあwfさん(No.7)
なるほど。納得しました。確かに注1に該当するのは上4つのみみたいですね。
本当にわかりやすかったです。ありがとうございました。
本当にわかりやすかったです。ありがとうございました。
2023.01.26 20:46