2011年04月15日
魑魅魍魎の住むネットワーク
最近少しサボりギミのこのblogですが、新年度早々からヘビーな仕事が入ってきてあたふたしてます。
仕事の内容ですが、イーサネットを使った機器の試作です。ネットワーク機器の試作。OSもなし、既存のプロトコルスタックも使用しないというとんでもない状況です。
んで、ごりごり構成やらプログラムやらを作ってようやくパケットを受信できるところまできました。
そして受信したパケットをダンプして解析したところ、なんだこれ? というパケットがいくつも見つかりました。ネットワークの専門家ではない技術屋なのですが、気持ち悪いものを放っておいて先に進むことはできません。
というわけで調べたものを紹介してみます
まず、使っているネットワークアドレスは192.168.AAA.0とでもしましょう。そんなネットワークに
srcIP=192.168.NNN.MMM, dstIP=255.255.255.255 UDP, srcPORT=1030(IAD1), dstPORT=1947(sentinelsrm)
なるパケットが記録されました。srcIPのネットワークアドレスが異なっているわけです。
ポート番号もよく知られたものではないですが、とりあえず名前は調べられました。
ちなみに送信元MACアドレスはよく使用しているPC、宛先MACアドレスはff-ff-ff-ff-ff-ffですので、ブロードキャストされるパケットになるようです。
そしてもうひとつ。
srcIP=192.168.AAA.BBB, dstIP=255.255.AAA.255 UDP, srcPORT=1030(IAD1), dstPORT=1947(sentinelsrm)
今度はネットワークアドレスは問題ありません。dstIPも一応ブロードキャストアドレスです。送信元MACアドレスは先ほどのパケットと同じく、よく使用しているマシンです。
ブロードキャストして何やっているんでしょうね。気味悪いですね。ウィルスですかね。
手がかりはsentinelsrm
sentinelっていったら、USBにドングル挿さないと起動できないアレでしょうか。で、調べていくとHASP LMとも呼ばれているようです。HASPというキーワードまで出てきたらまず間違いなくドングルとかライセンスマネージャでしょう。確かにそれを使っているマシンが事務所にあります。
そうやってHASPのWebサイトまでたどり着き、ドキュメントを読んでみると…
"http://localhost:1947を入力することで…"という一文が。ブラウザにその通り入力すると、本当に管理ページにつながりましたorz
あぁあぁー、自分の知らないうちにこんなポートがぽっかり口を開けてたのかよ!!
タスクマネージャみたらhasplms.exeなるプロセスがきっちり走っているし!!
こーゆーのってショックなんですよね。これはちゃんとしたメーカーだから悪さはしないだろうけど、要するにウィルスもらってボット仕掛けられたことと同じロジックなわけです。使う自分がその存在を気づかなかったという点はまったく同じ。ちょっとした恥です。
で、気を取り直して管理ページを確認したところ、リモートライセンスサーバを探すというチェックボタンがあり、それにチェックが入っていました。探すっていっても、相手がどこにいるのかわからないのでブロードキャストに頼るのが自然ですね。
というわけで、気味の悪いパケットの正体がひとつ判明しました。
それ以外にも宛先MACアドレスが09-00-07-ff-ff-ffというパケットがありました。マルチキャストっぽいのですが、調べてみたらAppleTalkのブロードキャストアドレスのようです。
アップル製品なんてどこにも無いのに誰がこんなパケット出すのだろうと調べたら、EPSONのネットワークプリンタでした。これも正体がわかって一安心。
さらにはDHCPv6なる、IPv6なパケットまで見つかる始末。これはWindows7マシンが喋っていることがわかりました。
そんなわけで、本来の開発そっちのけになってしまいましたが、まだまだわからないパケットがネットワークの中を飛んでいるんでしょうか。
ボット
コンピュータウィルスも最近はボットが多く、あからさまにユーザーに嫌がらせをするのではなく、気付かれずに潜んでいて、ネットワーク経由で命令がくるのを待つものになっています。だからユーザはボットの存在をまったく知らず「自分のマシンは大丈夫」と思ってしまうわけです。目に見えないから気付くのも難しいです。
しかし、今回の様にネットワークに流れているパケットを可視化すると、世の中にたくさんのプロトコルあることも手伝って、誰かにボットを仕組まれていないか急に不安になります。
その不安に立ち向かうには…やっぱ勉強するしかないですね。
ちなみにボットが待ち受ける命令ってのはSPAM撒き散らしたりするものや、他のマシンに不正アクセスするための踏み台になるためのものです。被害者から見たらボットの入っているマシンが加害者に見えるのが恐ろしいところ。知らないうちに加害者になってしまうわけです。
そんなわけで、現在手元にある本はこれです
「マスタリングTCP/IP応用編」
入門編というのもあり、いずれも評判は高いようです。入門編を買おうかと思っていたのですが、古本屋には応用編しかなかったのです。でも、入門編がないとダメなわけではなく、事前に知識がちょっとあれば応用編から読んでも問題ないと思います。
なかなかにボリュームのある本ですが、イーサネット、IP、TCP、UDPの各章を読んで、後は気になるプロトコルをリファレンスとして参照すればよいのではないかなと思います。
説明も丁寧だと思います。良本。
そしてPCにパケットキャプチャがあればがんがん理解できると思います。wireshark使っているんですが便利ですね。
ちなみにこの本、中古だけどほとんど使わなかったのでしょう、新品みたいにきれいでした。読者登録カードまでちゃんと入っていましたw
少し得した気分です。
仕事の内容ですが、イーサネットを使った機器の試作です。ネットワーク機器の試作。OSもなし、既存のプロトコルスタックも使用しないというとんでもない状況です。
んで、ごりごり構成やらプログラムやらを作ってようやくパケットを受信できるところまできました。
そして受信したパケットをダンプして解析したところ、なんだこれ? というパケットがいくつも見つかりました。ネットワークの専門家ではない技術屋なのですが、気持ち悪いものを放っておいて先に進むことはできません。
というわけで調べたものを紹介してみます
まず、使っているネットワークアドレスは192.168.AAA.0とでもしましょう。そんなネットワークに
srcIP=192.168.NNN.MMM, dstIP=255.255.255.255 UDP, srcPORT=1030(IAD1), dstPORT=1947(sentinelsrm)
なるパケットが記録されました。srcIPのネットワークアドレスが異なっているわけです。
ポート番号もよく知られたものではないですが、とりあえず名前は調べられました。
ちなみに送信元MACアドレスはよく使用しているPC、宛先MACアドレスはff-ff-ff-ff-ff-ffですので、ブロードキャストされるパケットになるようです。
そしてもうひとつ。
srcIP=192.168.AAA.BBB, dstIP=255.255.AAA.255 UDP, srcPORT=1030(IAD1), dstPORT=1947(sentinelsrm)
今度はネットワークアドレスは問題ありません。dstIPも一応ブロードキャストアドレスです。送信元MACアドレスは先ほどのパケットと同じく、よく使用しているマシンです。
ブロードキャストして何やっているんでしょうね。気味悪いですね。ウィルスですかね。
手がかりはsentinelsrm
sentinelっていったら、USBにドングル挿さないと起動できないアレでしょうか。で、調べていくとHASP LMとも呼ばれているようです。HASPというキーワードまで出てきたらまず間違いなくドングルとかライセンスマネージャでしょう。確かにそれを使っているマシンが事務所にあります。
そうやってHASPのWebサイトまでたどり着き、ドキュメントを読んでみると…
"http://localhost:1947を入力することで…"という一文が。ブラウザにその通り入力すると、本当に管理ページにつながりましたorz
あぁあぁー、自分の知らないうちにこんなポートがぽっかり口を開けてたのかよ!!
タスクマネージャみたらhasplms.exeなるプロセスがきっちり走っているし!!
こーゆーのってショックなんですよね。これはちゃんとしたメーカーだから悪さはしないだろうけど、要するにウィルスもらってボット仕掛けられたことと同じロジックなわけです。使う自分がその存在を気づかなかったという点はまったく同じ。ちょっとした恥です。
で、気を取り直して管理ページを確認したところ、リモートライセンスサーバを探すというチェックボタンがあり、それにチェックが入っていました。探すっていっても、相手がどこにいるのかわからないのでブロードキャストに頼るのが自然ですね。
というわけで、気味の悪いパケットの正体がひとつ判明しました。
それ以外にも宛先MACアドレスが09-00-07-ff-ff-ffというパケットがありました。マルチキャストっぽいのですが、調べてみたらAppleTalkのブロードキャストアドレスのようです。
アップル製品なんてどこにも無いのに誰がこんなパケット出すのだろうと調べたら、EPSONのネットワークプリンタでした。これも正体がわかって一安心。
さらにはDHCPv6なる、IPv6なパケットまで見つかる始末。これはWindows7マシンが喋っていることがわかりました。
そんなわけで、本来の開発そっちのけになってしまいましたが、まだまだわからないパケットがネットワークの中を飛んでいるんでしょうか。
ボット
コンピュータウィルスも最近はボットが多く、あからさまにユーザーに嫌がらせをするのではなく、気付かれずに潜んでいて、ネットワーク経由で命令がくるのを待つものになっています。だからユーザはボットの存在をまったく知らず「自分のマシンは大丈夫」と思ってしまうわけです。目に見えないから気付くのも難しいです。
しかし、今回の様にネットワークに流れているパケットを可視化すると、世の中にたくさんのプロトコルあることも手伝って、誰かにボットを仕組まれていないか急に不安になります。
その不安に立ち向かうには…やっぱ勉強するしかないですね。
ちなみにボットが待ち受ける命令ってのはSPAM撒き散らしたりするものや、他のマシンに不正アクセスするための踏み台になるためのものです。被害者から見たらボットの入っているマシンが加害者に見えるのが恐ろしいところ。知らないうちに加害者になってしまうわけです。
そんなわけで、現在手元にある本はこれです
「マスタリングTCP/IP応用編」
入門編というのもあり、いずれも評判は高いようです。入門編を買おうかと思っていたのですが、古本屋には応用編しかなかったのです。でも、入門編がないとダメなわけではなく、事前に知識がちょっとあれば応用編から読んでも問題ないと思います。
なかなかにボリュームのある本ですが、イーサネット、IP、TCP、UDPの各章を読んで、後は気になるプロトコルをリファレンスとして参照すればよいのではないかなと思います。
説明も丁寧だと思います。良本。
そしてPCにパケットキャプチャがあればがんがん理解できると思います。wireshark使っているんですが便利ですね。
ちなみにこの本、中古だけどほとんど使わなかったのでしょう、新品みたいにきれいでした。読者登録カードまでちゃんと入っていましたw
少し得した気分です。
Posted by mgw at 04:07│Comments(0)
│ソフトウェア
画像一覧