UNIX MAGAZINE 2005年12月号

キーフレーズ

UNIX MAGAZINE ファイル DNS http:// ネットワーク サーバー dev Linux 2005 システム Windows struct ソースルーティング インターフェイス www アドレス ドライバ prefix 場合 () LAN インストール 情報 Web データ etc image キャッシュ プログラム Mac OS X 対応 ユーザー ファイアウォール 作成 クライアント north アプリケーション 利用 コマンド 設定 デバイス 必要 UDgateway FreeBSD int ノード 192 ルータ 機能 処理 root パーティション Ethernet メッセージ Solaris アクセス DVD ジョイスティック ディスク ifra iptables INTERFACE CPU any プレフィックス ソフトウェア .com プロセス HDD example.com ホスト VMware 可能 設疋 mpfx ディレクトリ IPv6 オプション xen 構造体 バケット 管理 モデル hif 表示 時間 example ndopt lntel 000 指定 DMZ 環境 できる syslogd インターネット 実行

目次ページ

連載 / ネットワークとセキュリティ 図 5 www.iana ・ org に traceroute $ su traceroute tO 買W3. iana ・ org ( 192 . 0 .34 .162 ) , 30 hops max, $ traceroute —g 192 . 0.2 . 2 —g 192 . 0.2 . 3 www. iana ・ org 図 6 複数の糸各を指定して traceroute を実行 2 lsr 1 ( 192 . 0 . 2 . 2 ) 4 . 978 ms 5 . 936 ms 5 .332 ms 1 gw ( 192 .168.255.1 ) 4.846 ms 3 . 904 ms 4.576 ms traceroute t0 www. iana. org ( 192 . 0.34.162 ) , 30 hops max, $ traceroute -g 192 . 0 . 2 . 2 www. iana. org 46 byte packets 50 byte packets 1 2 4 図 7 gw ( 192 . 168 .255 . 1 ) 5 . 508 ms 4.471 ms 3.917 ms ソースルーティングを無効にしているホストで traceroute を実行 1sr2 ( 192 . 0 . 2 . 3 ) 6 . 011 ms 6 .467 ms 6 . 986 lsrl ( 192 . 0 . 2 . 2 ) 6 . 019 ms 7 .386 ms 6 .494 46 byte packets 46 byte packets 5 . 974 ms ! く 9 > 18 行目 : PatchO : libdnet—l .7—fw—ipchains ・ patch . 582 ms 2 goodboy ( 192 . 0.2 . 11 ) 8 .447 ms ! く 9 > 4.117 ms ! く 9 > 1 gw ( 192 .168.255.1 ) 4.053 ms 3 . 984 ms 4.029 ms traceroute t0 www. iana. org ( 192 . 0 . 34 . 162 ) , 30 hops max, $ traceroute -g 192 . 0 . 2 . 4 www. iana. org ・ ICMP でエラー通知を送信するホスト ( 192.0.2.11 ) の場合 ・まったく反応しないホスト ( 192.0.2.10 ) の場合 $ traceroute -g 192 . 0.2 . 10 www. iana. org traceroute tO www. iana. org ( 192 . 0 .34.162 ) , 30 hops max, 1 gw ( 192 . 168.255.1 ) 6.082 ms 3 .993 ms 5 ロードして、 SOURCES ディレクトリに移動します。 -/rpm/SOURCES/ $ mv libdnet-l . 10 . tar ・ gz $ cd N/rpm/SOURCES/ 次に、 Dag Wieörs 氏のサイト、 ・ http://dag.wieers.com/packages/libdnet/ から libdnet. spec をダウンロードし、 SPECS ディレク トリに移動します。 $ mv libdnet . spec N/rpm/SPECS/ $ cd -/rpm/SPECS 続いて、 SPEC ファイル libdnet. spec を編集します。 $ vi libdnet . spec まず、 8 行目を以下のように変更します。 Version: 1 . 7 ↓ Version: 1 . 10 次に、バージョン 1.10 では、 SPEC ファイルに含まれ ているパッチカ坏要となったため、当該箇所を無効化しま す。具体的には、 54 27 行目 : %patchO の行頭に # を追加します。また、共有ライプラリを RPM %{-libdir}/* . so* %{-libdir}/* . la の後ろに %{-libdir}/* . a パッケージに含めるため、 46 行目の、 コマンドを入力します。 RPM パッケージカ乍成されたら、 root に変更して次の $ rpmbuild —bb libdnet . spec SPEC ファイルの編集後、 RPM をビルドします。 という 2 行を追加し、 SPEC ファイルを保存します。 UNIX MAGAZ 工 NE 2005.12 これで libdnet のインストールは完了です。 exit # rpm -i libdnet-l .10ー0. rf . i386 . rpm # cd /home/ ユーザー名 /rpm/RPMS/i386

『エンジニア必携スキルが身に付く oftware es•gn 月号 連載 / ネットワークとセキュリティ lsrscan のインストール 続いて lsrscan 本体をインストールします。現時点での 最新版は 2004 年 2 月にリリースされたバーション 1.0 ー rcl です。 まず、 SYN ACK Labs の Web サイト、 ・ http://www.synacklabs.net/projects/lsrscan から、 lsrscan-l. 0-rc1. tar. gz をダウンロードします。 次に、作業用に src ディレクトリを作成し、ダウンロー ドしたファイルを移動します。 $ mkdir N/src/ $ mv lsrscan-l .0-rc1. tar. gz -/src/ カレント・ディレクトリを変更し、アーカイプを展開し ます。 $ cd -/src/ $ tar xvzf lsrscan—l .0—rc1. tar ・ gz lsrscan のコンパイルは、それほど難しくありません。 libdnet さえインストールしてあれば、 configure と make を実行するだけです。 $ cd lsrscan—l . 0 $ . /configure $ make 念のため、インストールしたプログラムカ働作するかを チェックします。 $ . /lsrscan 正常に起動する場合には、ヘルプメッセージが表示され ます。 usage : lsrscan C-p dstport] [-s srcport] 問題がなければ、 root に変更してインストールをおこな います。 $ su # make install lsrscan の利用 それでは、 lsrscan の利用法について説明しましよう。 lsrscan は RAW ソケットを用いるため、動作には root 権限が必要です。 B5 判・ 224 ページ 特別定価 ( 税込 ) 1 , 390 円 15 周年 特集 組み込みし inux 実践講座 ~ 組み込みポード十 Linux で 作る My ガジェット ~ Linux の適用分野として近年伸びているのが組み込み分野 です . 最近では , 安価な組み込みポードが多数発売され , そ れを使った自作ハードウェア作成を楽しむユーザも現れてき ました . そこで本特集では , 「個人の趣味として , Linux と 組み込みポードを使って何かを作る」をテーマに , 安価な組 み込みポードと Linux を使った自作ハードウェア構築の実例 を紹介するとともに , 組み込み Linux の基礎知識 , 組み込み Linux 活用のアイデアなどについて解説します . Ruby による web アプリケーション構築 R uli) 、ぐい輸 第 2 特集 付録回■◎ Software Design アーカイプダイシェスト 2003 → tPDF 版 ] + 人気連載 2 本 PDF 記事完全収録 ! tBig 翫 othe 「で快適ネットワークシステム管理」 「オープンソースでキメる引 P 環境」 W ⅲ d 。 ws 版検索機能付き ほか ほか 好評発売中 ! ! 全国の書店 , または弊社ホームページで お買い求めください . http://www.gihyo.co.jp/ 血技術評諞社 55 UNIX MAGAZINE 2005 . 12

連載 / ネットワークとセキュリティ 以下に、 192.0.2.0 / 24 を対象にスキャンをおこなう例を します。ネットワークの指定には CIDR 形式を用います。 ングの動作を確認するホストやネットワークを引数で指定 もっとも基本的な lsrscan の使い方は、ソースルーティ 上記の出力は、 192.0.2.10 ではソースルーティングされ 192 . 0.2 . 10 forwards LSR traffic through it 192 . 0 . 2 . 10 reverses LSR traffic Error prevented scan 0f 192 . 0.2 . 0 # lsrscan 192 . 0 . 2 . 0 / 24 示します。 to it 続を受け付けるポート番号を指定する必要があります ( 図 います。このため、正確な結果を得るには、外部からの接 ットへの応答バケットにのみソースルーティングをおこな の OS では開いているポートに対するソースルート・バケ デフォルトは 80 番ポートです。なお、 NetBSD など、一部 スキャン対象の TCP の宛先ポート番号を指定します。 —p ポート番号 lsrscan のコマンドライン・オプション ば、ソースルーティングにともなう問題はありません。 で折り返しています。以下同様 ) 。この設定になっていれ 無効になっていることを示しています ( 誌面の都合上、 これは、 192.0.2.40 ではソースルーティングカゞいっさい through it 192 . 0 . 2 .40 does not forward LSR traffic - 192 . 0 . 2 .40 does ot reverse LSR traffic tO it 達する可能性のある問題は残ると考えられます。 いものの、外部から到達できないはずのネットワークに到 ースルートをおこなわないため、アドレス詐称の危険はな 設疋であることを示しています。帰りの経路に関してはソ フィックを中継するが、応答の際に経路を逆にたどらない これは、 192.0.2.20 ではソースルーティングされたトラ 192 . 0 . 2 . 20 forwards LSR traffic through it 192 . 0 . 2 . 20 does ot reverse LSR traffic to it られます。 ったり、詐称されたバケットを中継する状態にあると考え ています。さきほと説明した IP アドレス詐称の被害に遭 おり、応答の際に経路を逆にたどる設定であることを示し たトラフィックを中継し、なおかっ RFC791 [ 2 ] の規定ど 56 図 8 ポート 22 番のみか開いているホストをスキャンした例 # lsrscan 192 . 0 . 2 . 30 192 . 0 . 2 .30 does not reverse LSR traffic to it 192 . 0 . 2 .30 forwards LSR traffic through it # lsrscan -p 22 192 . 0 . 2 .30 192 . 0 . 2 .30 reverses LSR traffic to it 192 . 0.2 .30 forwards LSR traffic through it —S IP アドレス スキャンの際に利用する送信元 IP アドレスを指定しま す。デフォルトではランダムな IP アドレスカリ用されま す。送信元 IP アドレスでフィルタリングがおこなわれて いる場合などには、別の IP アドレスを指定したほうがよ いかもしれません。 —b ホスト ソースルーティングをおこなう際、 lsrscan を稼動して いるホストの前に、別のホストを経由したかのようにみせ かけるホストを指定します ( 複数指定可能 ) 。ここで指定し たホストは、ソースルート・オプションの経路データに書 き込まれるだけなので、実際にソースルート・バケットを 輯医する必要はありません。 —a ホスト ソースルーティングをおこなう際、 lsrscan を稼動して いるホストの後に、経由する別のホストを指定します ( 複 数指定可能 ) 。ここで指定したホストには、トラフィックが 実際にソースルーティングされるため、ソースルーティン グカ効になっている必要があります。 -P 0 または 1 lsrscan はスキャンを実施する前に ping をおこない、対 象ホストが稼動しているかを確認しますが、スキャン前に ping をおこなわないようにするには 0 を指定します。 コマンドライン・オプションの利用例 たとえば、送信元 IP アドレスを 192.0.2.1 、宛先ポー ト番号を 22 に設定して 192.0.2.0 / 24 をスキャンするに は以下のようにします。 # lsrs can -p 22 —S 192.0.2.1 192.0.2.0 / 24 ソースルーティングを無効にする方法 ネットワークでの対策 外部のネットワークからのソースルーティングを防ぐに UNIX MAGAZINE 2005 . 12