TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 / 攻撃組織 に関する「個人」の調査・研究・参照ログ

ポートスキャン (まとめ)

security-tools.hatenablog.com


【目次】

概要

【スキャン手法】
スキャン名
プロトコル
別名
送信パケット
判定
TCPポートスキャン TCP 3way Connect
SYNポートスキャン TCP ハーフオープンスキャン
ステルススキャン
SYN ACK or RST
FINポートスキャン TCP FIN RST+ACK
Xmasポートスキャン TCP FIN, URG, PUSH RST+ACK
ACKポートスキャン TCP ACK Windows サイズ
Nullポートスキャン TCP 全フラグを「0」 RST+ACK
IPフラグメントIDポートスキャン TCP IdleScan(nmap)
デコイ・ポートスキャン TCP
IPフラグメント・ポートスキャン TCP
UDPポートスキャン UDP
【ポート一覧】

◆Service Name and Transport Protocol Port Number Registry (IANA)
https://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xhtml

【ツール】

◆nmap (nmap.org)
https://nmap.org/
https://nmap.org/man/ja/ (日本語リファレンスガイド)

【サービス】

◆Welcome to ShieldsUP! (Gibson Research Corporation)
https://www.grc.com/x/ne.dll?bh0bkyd2

記事

【ニュース】

◆攻撃はポートスキャンから始まる(上) (日経XTECH, 2004/04/28 00:00)
https://tech.nikkeibp.co.jp/it/members/NBY/Security/20040415/1/
https://malware-log.hatenablog.com/entry/2004/04/28/000000_2

◆攻撃はポートスキャンから始まる(中) (日経XTECH, 2004/05/06 00:00)
https://tech.nikkeibp.co.jp/it/members/NBY/Security/20040415/2/
https://malware-log.hatenablog.com/entry/2004/05/06/000000_4

◆攻撃はポートスキャンから始まる(下) (日経XTECH, 2004/05/11 00:00)
https://tech.nikkeibp.co.jp/it/members/NBY/Security/20040415/3/?i_cid=nbpnxt_reco
https://malware-log.hatenablog.com/entry/2004/05/11/000000

◆実践!ポート・スキャン (日経XTECH, 2007/05/22 00:00)
https://tech.nikkeibp.co.jp/it/article/COLUMN/20070521/271604/?i_cid=nbpnxt_reco
https://malware-log.hatenablog.com/entry/2007/05/22/000000

◆TCP 4786番ポートに対する探索行為が一時増加 - Cisco機器の脆弱性狙いか (Security NEXT, 2016/12/01)
http://www.security-next.com/076186
https://malware-log.hatenablog.com/entry/2016/12/01/000000

◆コインマイナー拡散が目的か?7001/tcpを狙うスキャン増加 - JPCERT/CC (Nifty, 2018/01/17 14:15)
https://news.nifty.com/article/technology/techall/12158-1715198/
https://malware-log.hatenablog.com/entry/2018/01/17/000000_8

◆スキャン対象ポートに変化傾向 - NICT、2018の年サイバー攻撃関連通信観測レポート (マイナビニュース, 2019/02/12 13:29)
https://news.mynavi.jp/article/20190212-770515/
https://malware-log.hatenablog.com/entry/2019/02/12/000000_1

◆脆弱性を持つWebメールクライアント「IMP」を探索するアクセスが増加(警察庁) (Excite, 2019/04/01 08:00)
https://www.excite.co.jp/news/article/Scannetsecurity_42155/
https://malware-log.hatenablog.com/entry/2019/04/01/000000_2

◆インシデント報告件数、「スキャン」が増加し4割超えに(JPCERT/CC)(NetSecurity, 2019/04/12 08:00)
https://scan.netsecurity.ne.jp/article/2019/04/12/42207.html
https://malware-log.hatenablog.com/entry/2019/04/12/000000_5

◆リモートデスクトップ狙うアクセスが増加 - 広範囲のポートに探索行為 (Security NEXT, 2019/06/24)
http://www.security-next.com/105952
https://malware-log.hatenablog.com/entry/2019/06/24/000000_2

【ブログ】

◆ポートスキャン機能を増強した「Mirai」、Windowsも踏み台に追加 (Trendmicro, 2017/02/14)
http://blog.trendmicro.co.jp/archives/14455
https://malware-log.hatenablog.com/entry/2017/02/14/000000_1

【公開情報】

◆NICTER観測レポート2017 (NICT, 2019/02/06)
https://www.nict.go.jp/cyber/report.html
https://malware-log.hatenablog.com/entry/2018/02/27/000000_6

◆NICTER観測レポート2018 (NICT, 2019/02/06)
https://www.nict.go.jp/cyber/report.html
https://malware-log.hatenablog.com/entry/2019/02/06/000000_4

【図表】


TCP ポートスキャン


UDP ポートスキャン
出典: https://tech.nikkeibp.co.jp/it/members/NBY/Security/20040415/1/



SYNポートスキャン


ACKポートスキャン


パケット・フィルタリングを回避するACKポートスキャン


TCP(FIN)ポートスキャン


TCP-Nullポートスキャン


TCP-Xmasポートスキャン
出典: https://tech.nikkeibp.co.jp/it/members/NBY/Security/20040415/2/



IPフラグメントIDポートスキャン
出典: https://tech.nikkeibp.co.jp/it/members/NBY/Security/20040415/3/zu10.html



出典: https://news.mynavi.jp/article/20180117-572778/



過去10年間の観測統計(NICT資料より)

宛先ポート番号別パケット数分布(調査目的のスキャンパケットを除く/NICT資料より)
出典: https://news.mynavi.jp/article/20190212-770515/

関連情報

【関連まとめ記事】

全体まとめ

◆攻撃手法 (まとめ)
https://malware-log.hatenablog.com/entry/Attack_Method


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2023