はてなキーワード: SYNフラッド攻撃とは
下記の記事に10Gsで提供されたルータの情報が載ってなかったので利用中の自分が調べてみた。
https://qiita.com/notoken3331/items/ca228e2ac28ac7ea4879
メーカー | Huawei |
製品型番 | HN8255Ws |
まず情報として、ONUに割り当てられたIPv6のプレフィックスは/56だった。
ルータ機能でのWAN側インターフェースではおそらくそれより細かく切ったプレフィックスでIPv6アドレスが割り当てられてるはずだが
HN8255Wsの管理画面では確認する方法がないように見受けられる。
セキュリティ関連の設定については、詳細設定 → セキュリティ設定 → DoS設定に下記のチェックボックスがありデフォルト全有効
SYNフラッド攻撃の防止:
LAND攻撃の防止:
Smurf攻撃の防止:
WinNuke攻撃の防止:
グローバル ー HN8255Ws(ONU兼ルータ) ー NetGear GS110MX ー PC(Windows10)
iphone X (au) Wifi無効設定で iNetToolsアプリにて疎通確認及びポートスキャン
ちなみにauのLTE契約のみでテザリングでPCをぶら下げる場合、PCにはIPv4プライベートアドレスと
IPv6リンクローカルアドレスしか振られないので、テザリングPC端末からIPv6疎通確認は実行不可。
LET NET for DATAを契約すればテザリングPC端末側にもIPv6グローバルIP振られるらしいんだが、
わざわざこのためだけに契約変更する気にはならんのでテザリングでの検証は却下。
そのため、iphoneのアプリで疎通確認可能なiNetToolsを疎通確認用プログラムとして選定。
iNetToolsというアプリだとポートスキャンの時にプロトコル指定が出来そうにないのでポート番号のみを指定した。
TCP、UDP両方チェックしているのか、どちらか片方しかチェックしていないのかは情報が見当たらなかった。
両方チェックして両方疎通した場合のみOpen判定なのか、どちらか片方でも開いていればOpen判定なのかも不明。
疎通確認端末のiphoneXがWifi経由でなく単独でIPv6のグローバルアドレスに疎通確認できる事の証明として
「www.google.co.jp」のIPv6アドレスに対してpingで疎通確認し、その後ポートスキャンで各ポートが開いているかどうかを見た。
確認項目とその結果は下記の通り。
iphoneXからwww.google.co.jpのIPv6アドレスへのicmpv6疎通確認 | アプリで疎通OK |
WinPC割当IPv6グローバルアドレスへのicmpv6疎通確認 | アプリで疎通NG |
WinPC割当IPv6グローバルアドレスへのポートスキャン(53) | アプリでClose判定(Open欄に出てこない) |
WinPC割当IPv6グローバルアドレスへのポートスキャン(80) | アプリでOpen判定 |
WinPC割当IPv6グローバルアドレスへのポートスキャン(135) | アプリでClose判定(Open欄に出てこない) |
WinPC割当IPv6グローバルアドレスへのポートスキャン(139) | アプリでClose判定(Open欄に出てこない) |
WinPC割当IPv6グローバルアドレスへのポートスキャン(443) | アプリでOpen判定 |
WinPC割当IPv6グローバルアドレスへのポートスキャン(445) | アプリでClose判定(Open欄に出てこない) |
ちなみにルータのWAN側インターフェースが握ってるIPv4アドレス宛にも同じポートのスキャンをしたが、同じように80と443がOpen判定だった。
昔フレッツ光回線使ってた時にポートスキャンテストとかしてなかったので他の光回線のポートスキャンの結果がどうなるかは知らない。
10Gsはそれなりにマシっぽいが、HTTP/HTTPSのポートが空いてるとすると、HTTP/HTTPSの改竄パケット受け取っただけで問題が発生する脆弱性が端末搭載OSに発覚した場合は危険かもしれない。
ただ、アプリ側のOpen判定が微妙なので誰かちゃんとIPv6環境から真っ当なポートスキャン試してみて。俺はこれ以上検証しない。