Generating fake ICMP ECHO_RESPONSE
近藤努/KONDO Tsutomu
ipfw(に限らず何でも良いのですが)を使って「任意のホストへの
ICMP ECHO_REQUEST に対して、ICMP ECHO_RESPNSEを返す」ように
することはできるでしょうか?
--------------------
学内各所に配置されたコピーマシンのデータを収集するパソコン
ソフトがあるのですが、このソフトはコピー機にpingを飛ばして返
事を貰ってからおもむろにデータを取りに行きます。
例のBlasterワームの亜種の対策として、学内のバックボーンで
ICMP ECHOリクエストが通らなくなってデータ収集ができなくなっ
てしまいました。
ネットワークボードを2枚差したFreeBSDマシンをパソコンとバッ
クボーンの間に入れて、パソコンからECHO_REQUESTがコピー機に向
かって送られたら、ECHO_RESPONSEを返してこないコピー機の代り
にFreeBSDマシンが返事をしてくれないかと考えているのですが、
このようなことは可能でしょうか?
--
近藤努@筑波大学図書館 kon...@tulips.tsukuba.ac.jp fax:029-853-6311
NAKAMURA Kazushi
kon...@tulips.tsukuba.ac.jp writes:
>ipfw(に限らず何でも良いのですが)を使って「任意のホストへの
>ICMP ECHO_REQUEST に対して、ICMP ECHO_RESPNSEを返す」ように
>することはできるでしょうか?
>
>--------------------
> 学内各所に配置されたコピーマシンのデータを収集するパソコン
>ソフトがあるのですが、このソフトはコピー機にpingを飛ばして返
>事を貰ってからおもむろにデータを取りに行きます。
> 例のBlasterワームの亜種の対策として、学内のバックボーンで
>ICMP ECHOリクエストが通らなくなってデータ収集ができなくなっ
>てしまいました。
>
> ネットワークボードを2枚差したFreeBSDマシンをパソコンとバッ
>クボーンの間に入れて、パソコンからECHO_REQUESTがコピー機に向
>かって送られたら、ECHO_RESPONSEを返してこないコピー機の代り
>にFreeBSDマシンが返事をしてくれないかと考えているのですが、
>このようなことは可能でしょうか?
バックボーンのfirewallのルールに、収集PCからのpingは通す、
ようにしてもらうのが一番かと。
さもないと、そもそもそのPCがpingを撃つのは収集したい相手の
コピー機がaliveかどうか確かめてからデータを収集しに行きたい
からではないでしょうか。downしている相手から、来るはずもない
応答を待ってダンマリになるのを避けたいからではないでしょうか。
すると、コピー機がaliveかdownかにかかわらずfake ECHO_RESPONSE
を返すのは意味の無い対処方ではないでしょうか。
それにしても迷惑なworm & それに感染する奴ですね。とばっちりが
Windows cleanにしている部屋にまで来る。
--
中村和志@神戸 <mailto:k...@kobe1995.net>
NAKAMURA Kazushi@KOBE <http://kobe1995.jp/>
- Be Free(BSD), or Die...
近藤努/KONDO Tsutomu
k...@kobe1995.net (NAKAMURA Kazushi) writes:
> バックボーンのfirewallのルールに、収集PCからのpingは通す、
> ようにしてもらうのが一番かと。
これができれば簡単なのですが、ICMPを通す/通さないの設定がホ
スト単位・サブネット単位ではなく、いくつかのサブネットをまと
めた単位でないと難しいそうです。(TCPのポートはホスト単位でき
め細かく制御できるとのこと)
#ネットワークのことが全然分からない私が電話で教えて貰ったこ
#とを解釈したことですので、実際と違っていたら失礼します。
自分たちの都合で、学内他組織に迷惑をかけるのは極力避けたく思
いまして。
> さもないと、そもそもそのPCがpingを撃つのは収集したい相手の
> コピー機がaliveかどうか確かめてからデータを収集しに行きたい
> からではないでしょうか。downしている相手から、来るはずもない
> 応答を待ってダンマリになるのを避けたいからではないでしょうか。
正におっしゃる通りです。が、現実的には、相手先のコピー機がネッ
トワーク的にaliveなのは100%確実と見て良いので、コピー機内の
データを何とか取ってくることはできないかと思いニュースでお尋
ねした次第です。
で、すごく泥臭い方法ですが、自力で何とか解決できました。
(ipfwやルータ機能は結局使わなくても済みました)
・FreeBSDマシンに、sing(portsのnetworkのセクションにあります)
をインストール。
・パソコン上で「コピー機からデータを取ってくる」ソフトを起動。
・パケットキャプチャで、ソフトが送っているICMP ECHO_REQUEST
のICMP IDをチェック。
・ソフトはICMP ECHO_RESPONSEが返ってこない場合、暫く待って再
送を繰り返す。待っている間にFreeBSDマシンで
sing -reply -S コピー機のIPアドレス -id ICMPID パソコンのホスト名
と実行してやると、ソフトは見事にだまされて、先のステップへ
進んでくれる。
> それにしても迷惑なworm & それに感染する奴ですね。とばっちりが
> Windows cleanにしている部屋にまで来る。
まったくです。
(が、オリジナルのBlastに職場のパソコンが1台やられた前科があ
> るので偉そうなことは言えない....)
では、失礼します。
Shinji KONO
In article <0pekynk...@www.tulips.tsukuba.ac.jp>, kon...@tulips.tsukuba.ac.jp (近藤努/KO NDOTsutomu) writes
> 自分たちの都合で、学内他組織に迷惑をかけるのは極力避けたく思
> いまして。
いや、それと「学内でpingを通さない」ってのとは別な問題だと思
います。積極的に文句をいった方がいいです。gateway で落すなら
ともかくLANでpingを落すのはひどすぎ。
> sing -reply -S コピー機のIPアドレス -id ICMPID パソコンのホスト名
> と実行してやると、ソフトは見事にだまされて、先のステップへ
> 進んでくれる。
むぅ。
> > それにしても迷惑なworm & それに感染する奴ですね。とばっちりが
> > Windows cleanにしている部屋にまで来る。
> まったくです。
まったく!
---
Shinji KONO @ Information Engineering, University of the Ryukyus,
PRESTO, Japan Science and Technology Corporation
河野真治 @ 琉球大学工学部情報工学科,
科学技術振興事業団さきがけ研究21(機能と構成)