アットマークのハニーポット(*1)の記事から、The Honeynet Projectのメンバーのページを見ていて、久方ぶりにFoundstoneを見るとリニューアルされてるぅ。 ここで Freeware (Windows) として配布されている PortScaner の SuperScan(*2) はなかなか素敵で nmap(win32) よりお気に入り。リニューアルされてトップページから辿り着くのにちょびっと時間を要した(^^;
アットマークの記事の話題に戻るが、honeypotとして紹介されている SPECTER を以前 欲しくて会社で買ってみようと思ったが、購入方法を見てあきらめてしまった代物です。仕方なく Winetd で我慢している次第だ(^^; 決して使いこなせているわけではない。目的は単にとあるデータ収集のため特定のポートを listening させるだけなので、なんでもよいのでした。知人に話したら作ってくれたけれど使ってなかったり(^^;;;
ところで、この Winetd 動作せずはまった事がある。内容は Windows2000 にインストールし起動しようとしたところ動作しない。どうも原因はデフォルトで入っている「IME が悪さをしているらしい」まで分かった。とりあえずの回避策は IME を MS Office でアップグレード。
ところでデフォルトで入っている IME を完全に消してしまう方法ってあるのかなぁ。。。終了するときに右下に残って目障りだったりします(^^;
*1 正しいタイトルは 【特集】ハニーポットを利用したネットワークの危機管理 〜おとりサーバで侵入者、攻撃者の手法を分析〜
*2 半年くらい前に発売された分厚いセキュリティ系の本(現在手元になく名前忘れた…)でも紹介されたりしたものです。
いつものように、メールを眺めていたら p.0.f (passive OS fingerprinting tool) なる存在を知った。1.8 final release らしい。ネタ元はintrusionsとかSecurityFocusのhoneypotsとか。私の英語読解力皆無の状態で理解しようとすると、相手から送られてきたパケットをもとにしてOSを判定するような代物。なかなか楽しげですね。例えばLinuxの人がUser-Agentを偽ってInternetExplorerと言っているのがどれくらいとか調べたら楽しそう。あまりいなそうだけど、やってみたらいたりして(笑
ところで nmap の OS fingerprinting の対抗手段として、Microsoft Windows 2000 TCP/IP 実装詳細のTCP/IP 構成パラメータを使ってOSを偽ることは可能だろうかと、ずーと前から思っているだけの状態。