紹介
- この記事は、セキュリティ、ネットワーキング、不正利用報告に関する個人的な経験を扱っている。
- 著者は自分のサーバーがマルウェアに感染したという通報を受けたが、調査の結果、問題がないことを確認した。
事件の発端
- 著者は Hetzner から、自分の IP アドレスに対して不正利用報告が届いたというメールを受け取った。
- サーバー上で異常な SSH 接続の試行が見つかったが、実際にはサーバーから外部への接続ではなく、外部からサーバーへの TCP リセットパケットが送信されていた。
IP スプーフィング
- インターネットにおける IP スプーフィングとは、送信元 IP アドレスを偽装してパケットを送る行為である。
- BCP38 は、ネットワーク間で IP パケットを転送する際に想定される IP アドレスだけを許可することを推奨しているが、すべてのネットワークが従っているわけではない。
動機の推測
- 攻撃者は送信元 IP を偽装してポート 22 に接続要求を送り、その結果として自動化された不正利用報告を発生させる。
- これは Tor ネットワークの一部ノードを標的にした攻撃である可能性がある。
Tor とのつながり
- Tor リレーは匿名化されたトラフィックを中継する役割を担っており、外部インターネットと直接接続されるわけではない。
- しかし、一部のインターネット利用者は Tor を嫌っており、これを無効化しようとする試みがあるのかもしれない。
結論
- インターネットは 25 年前にも問題があり、今もなお問題を抱えている。
- IP スプーフィングは依然として問題であり、BCP38 のようなセキュリティルールは適切に施行されていない。
- このような不正利用報告を受け取った場合、サーバーが被害者であることをホスティング事業者に説明する方法を知ることになるだろう。
# GN⁺のまとめ
- この記事は IP スプーフィングに関するセキュリティ問題を扱い、Tor ネットワークとの関連を説明している。
- インターネットセキュリティの重要性と BCP38 の必要性を強調している。
- 類似の機能を持つプロジェクトとして、さまざまなセキュリティネットワークツールが推奨されうる。
1件のコメント
Hacker Newsのコメント
IPスプーフィングの問題は、悪意ある行為者と無実のユーザーが同じ言い訳を使えるため、解決が難しい
過去に基本的なファイアウォールルールを実装したが、スプーフィングされたパケットによって問題が発生した
BCP38フィルタリングをしていないトランジットプロバイダーを見つければ、望むソースIPでパケットを送ることができる
Torリレーを嫌う誰かの理論には価値がないように見える
スワッティングに似た問題であり、未確認の問題の発信元に対して当局が重大な措置を取ることに依存している
過去にDrDoSリフレクターをスキャンしたことがあり、クラウドプロバイダーが大量の苦情を受けていた
システムは単一パケットに対して自動的に abuse を報告すべきではなく、サービス拒否レベルのトラフィックの場合にのみ報告すべきだ
IPスプーフィングは、スワッティング、パテントトローリング、無実の人に濡れ衣を着せることに似た問題だ
攻撃をハイジャックして全員にパケットを送れば、プロバイダーが abuse メールに圧倒されて攻撃が機能しなくなる可能性がある