パッシブフィンガープリンティング
« shivaken
先日のsimscanの話で、
> RELAYCLIENTでない時にはNOP0FCHECK=""が必要だそうです。
ということを書きましたが、なんで?というところに踏み込んでなかったので
調べてみました。
まずはsimscanのソースの中でNOP0FCHECKを含むところを検索。
すると、該当個所ナシ。
え??
じゃあ、qmail?聞いたことないけど?
→やはりqmailにもNOP0FCHECKを含む行はなし。
そもそもNOP0FCHECKってどこで切るのかがまずわからない。
NOP_0F_CHECK?
でもいろいろ探して見つけました。
NO_P0F_CHECKが正解。
P0Fってのは?
→ パッシブフィンガープリンティング。
受け取ったパケットを元に通信相手のOSの情報を類推する方法。
NMAPで通信先のOSを調べる方法があるけど、その場合はまず、
こちらから通信を始める必要がありますね。
でも、向こうからコンタクトしてきている場合でも同じように調べられるのです。
パッシブソナーみたい。
ボットにやられたWindowsマシンがスパム送信に使われていることが多いから、
p0fでWindowsマシンと判断した場合にスパムスコアを高めに設定する、そういう
ことに使われてるみたいですね。
stoneを作った仙石さんもこんな風につかってます。スゲーすね。
では元の話に戻りましょう。実はsimscanはp0fを使う機能ももってたので
NOP0FCHECKなんて環境変数が意味あったのですが、
1.4.0にてそれを削ってしまってました。(by ChangeLog)
qmail-smtpdへのパッチにするって開発者の方が話してますが、見つからず…。
simscanの1.4.0が出てから意外と時間も立ってますし、
次期バージョンではbogofilterとかさらにいろいろ組み合わせてくるでしょう。
そのときにはcontribにちゃんとパッチが入ってくると信じて、
とりあえず待つことにします。いま、そんなにスパムに困ってないし。
でも、p0fってのは結構おもしろい仕組なので、
引き続き興味あるネタがあれば追っていきます。
> RELAYCLIENTでない時にはNOP0FCHECK=""が必要だそうです。
ということを書きましたが、なんで?というところに踏み込んでなかったので
調べてみました。
まずはsimscanのソースの中でNOP0FCHECKを含むところを検索。
すると、該当個所ナシ。
え??
じゃあ、qmail?聞いたことないけど?
→やはりqmailにもNOP0FCHECKを含む行はなし。
そもそもNOP0FCHECKってどこで切るのかがまずわからない。
NOP_0F_CHECK?
でもいろいろ探して見つけました。
NO_P0F_CHECKが正解。
P0Fってのは?
→ パッシブフィンガープリンティング。
受け取ったパケットを元に通信相手のOSの情報を類推する方法。
NMAPで通信先のOSを調べる方法があるけど、その場合はまず、
こちらから通信を始める必要がありますね。
でも、向こうからコンタクトしてきている場合でも同じように調べられるのです。
パッシブソナーみたい。
ボットにやられたWindowsマシンがスパム送信に使われていることが多いから、
p0fでWindowsマシンと判断した場合にスパムスコアを高めに設定する、そういう
ことに使われてるみたいですね。
stoneを作った仙石さんもこんな風につかってます。スゲーすね。
では元の話に戻りましょう。実はsimscanはp0fを使う機能ももってたので
NOP0FCHECKなんて環境変数が意味あったのですが、
1.4.0にてそれを削ってしまってました。(by ChangeLog)
qmail-smtpdへのパッチにするって開発者の方が話してますが、見つからず…。
simscanの1.4.0が出てから意外と時間も立ってますし、
次期バージョンではbogofilterとかさらにいろいろ組み合わせてくるでしょう。
そのときにはcontribにちゃんとパッチが入ってくると信じて、
とりあえず待つことにします。いま、そんなにスパムに困ってないし。
でも、p0fってのは結構おもしろい仕組なので、
引き続き興味あるネタがあれば追っていきます。
スポンサーリンク
コメント
RSS