怪文書保存館TOP
禁無断転載


　投稿者： 　投稿日：06月13日(土)18時45分55秒　■　★

　夜な夜な大量のファイル転送をする人々がいます。それをしている多くの人々は、そのファイルの中身の制作者（会社）の著作権を侵害している人々です。今回はこういうことをしている人々を特定する方法です。特定できましたら、あとはご自由に。

注意　この文書は著作権法に触れる行為を助長するものではありません。
ネットワークをモニターする前に利用規約に監査に関することが盛り込まれているか確認してから行ってください。ユーザーの権利も尊重しましょう。

＊ISP（プロバイダー）の場合

まず、ダイヤルアップ認証にRadiusを使っていることが条件です。 Radiusのログをどうにかして、データベースや表計算ソフトに取り込みます。このときsummary形式でログをとっておくことをお奨めします。データ取り込みが楽です。ちなみにDTC版Radiusでは -Sv。取り込んだデータを転送ファイルサイズ順（受信順、発信順）にソートをかけます。上位の人々で、23:00からスタートして07:59ストップしている場合、かなりあやしいのでチェックします。次に、LANカードがpromiscuousモード1)で動くマシンでパケットモニタをします。このマシンはアクセスサーバーやルーターとリピーターハブで接続されていることが条件です。
UNIXならTCPDUMPなんかでいいでしょう。（ちょっと危険な情報のためここでは使用方法は書きません）95/NTマシン用はいろいろあるのですが、とりあえず、 SHOMITIのSurveyorを紹介しておきます。確か２週間ぐらい試用できます。これで、TCP 21 TCP 20 UDP 6667のパケットをキャプチャーします。完全なキャプチャはハードディスクの性能や非常に大きな空き容量、CPUの速さがある程度無いとできません。
リアルタイムでキャプチャー状況を監視できればいいのですが、できない場合は夜に仕掛けて朝に記録を見てみます。
TCP 21ポートに*.rar,*.r[00-99]2)のような、文字列を発見したらやっている証拠です。あとは、IPアドレスをRadiusのログと照合してユーザー名を割り出し、顧客名簿から、名前住所電話番号を割り出せばＯＫです。ISDNだと、もっとわかることもあります。

　もっと積極的に行うなら、UNIXのcronなどを使ってダイヤルアップのIPアドレスを毎時0分にTCP21番ポートのスキャンをする方法もあります。
user:anonymousでpassword:admin@ISPname.ne.jpでログインしてやるだけでも十分効果あります。


＊サーバーにされた場合
・anonymous FTPは書けるようにしてはいけません。
　一番多いのがこれです、しかしこれが以外と多いのでしっかりチェックしておきましょう。
・ユーザーのホームディレクトリに*.rarが無いかcronなどで、毎夜0時と3時と朝7時にチェックしましょう。
こんな感じでスクリプトを実行します。

# find /home/|grep *.rar |sendmail root
・実際にされたときはどのようにlogをとっていたかが勝負を分けます。
UNIXならlastコマンドで一応出ますが、接続元が長い名前の時は十分でないときもあります。できる限りftpdのログをftpdでとるようにしましょう。また、どのファイルがアップロードされてダウンロードされたかもしっかり記録するようにしましょう。
あとは、接続先に問い合わせるだけです。しっかりログがとってあれば十分足跡の追えるものになります。
特にひどい設定なっていなければWareZな人々にログを消されることは、ほとんどありません。

システム攻撃その12

派手にやるとばれます。小さなものを、少しずつ暗号化して行えばまずわかりません。ただし、暗号化で転送量が多くなります。ftpが異常にに多いと、まずいのできるだけ分割してHTTPで送れば、まずわからないでしょう。深夜３時頃から朝７時頃に自動アクセスするようにしておけば、プロバイダーにもあまり迷惑を掛けないはずです。
自前でサーバー持つのはかなりやばいです。ふつうは上り回線使用量は少ないはずですから。転送するものと、事後処理によっては、捕まるので覚悟しておきましょう。

1)すべてのパケットを受信できるモード
2).r00 .r01 ... .r99のこと。