/* * WareZな人々を捕獲する * */ ■システム管理その12 夜な夜な大量のファイル転送をする人々がいます。それをしている多くの人々は、そのフ ァイルの中身の制作者(会社)の著作権を侵害している人々です。今回はこういうことを している人々を特定する方法です。特定できましたら、あとはご自由に。 *注意:この文書は著作権法に触れる行為を助長するものではありません。ネットワークを モニターする前に利用規約に監査に関することが盛り込まれているか確認してから行って ください。ユーザーの権利も尊重しましょう。 *ISP(プロバイダー)の場合 まず、ダイヤルアップ認証にRadiusを使っていることが条件です。Radiusのログをどうに かして、データベースや表計算ソフトに取り込みます。このとき Summary形式でログをと っておくことをお奨めします。データ取り込みが楽です。ちなみにDTC版Radiusでは-Sv。 取り込んだデータを転送ファイルサイズ順(受信順、発信順)にソートをかけます。上位 の人々で、23:00からスタートして07:59ストップしている場合、かなりあやしいのでチェ ックします。 次に、LANカードがPromiscuousモード(1) で動くマシンでパケットモニタをします。この マシンはアクセスサーバーやルーターとリピーターハブで接続されていることが条件です。 UNIXならTCP DUMPなんかでいいでしょう。(ちょっと危険な情報のためここでは使用方法 は書きません)95/NTマシン用はいろいろあるのですが、とりあえず、SHOMITIのSurveyor を紹介しておきます。確か2週間ぐらい試用できます。これで、TCP 21 TCP 20 UDP 6667 のパケットをキャプチャーします。完全なキャプチャはハードディスクの性能や非常に大 きな空き容量、CPU の速さがある程度無いとできません。 リアルタイムでキャプチャー状況を監視できればいいのですが、できない場合は夜に仕掛 けて朝に記録を見てみます。TCP 21ポートに*.rar,*.r[00-99]2)のような、文字列を発見 したらやっている証拠です。あとは、IPアドレスをRadiusのログと照合してユーザー名を 割り出し、顧客名簿から、名前住所電話番号を割り出せばOKです。ISDNだともっとわか ることもあります。 もっと積極的に行うなら、UNIXのcronなどを使ってダイヤルアップのIPアドレスを毎時0 分にTCP21番ポートのスキャンをする方法もあります。 user:anonymousでpassword:admin@ISPname.ne.jpでログインしてやるだけでも十分効果あ ります。 *サーバーにされた場合 ・anonymous FTP は書けるようにしてはいけません。一番多いのがこれです、しかしこれ が以外と多いのでしっかりチェックしておきましょう。 ・ユーザーのホームディレクトリに *.rarが無いかcronなどで、毎夜0時と3時と朝7時 にチェックしましょう。こんな感じでスクリプトを実行します。 # find /home/|grep *.rar |sendmail root ・実際にされたときはどのように logをとっていたかが勝負を分けます。UNIXならlastコ マンドで一応出ますが、接続元が長い名前の時は十分でないときもあります。できる限 りftpdのログをftpdでとるようにしましょう。また、どのファイルがアップロードされ てダウンロードされたかもしっかり記録するようにしましょう。あとは、接続先に問い 合わせるだけです。しっかりログがとってあれば十分足跡の追えるものになります。 特にひどい設定なっていなければ WareZな人々にログを消されることは、ほとんどあり ません。 ■システム攻撃その12 派手にやるとばれます。小さなものを、少しずつ暗号化して行えばまずわかりません。た だし、暗号化で転送量が多くなります。 ftpが異常にに多いとまずいのできるだけ分割し てHTTPで送れば、まずわからないでしょう。深夜3時頃から朝7時頃に自動アクセスする ようにしておけば、プロバイダーにもあまり迷惑を掛けないはずです。 自前でサーバー持つのはかなりやばいです。ふつうは上り回線使用量は少ないはずですか ら。転送するものと、事後処理によっては、捕まるので覚悟しておきましょう。 (1)すべてのパケットを受信できるモード (2).r00 .r01 ... .r99のこと。