Return-Path: sakamoto@hlla.is.tsukuba.ac.jp Date: Thu, 18 Jan 2001 20:53:28 +0900 Message-ID: <7bofx5xeiv.wl@ettin.hlla.is.tsukuba.ac.jp> From: Hideki SAKAMOTO To: kjm@rins.ryukoku.ac.jp Cc: sakamoto@hlla.is.tsukuba.ac.jp Subject: ML =?ISO-2022-JP?B?GyRCNElNfSVXJW0lMCVpJWAkTiU7JS0lZSVqJUYbKEI=?= =?ISO-2022-JP?B?GyRCJSMlWyE8JWsbKEI/?= (Re: [fw-wizard:1029] Re: DoS attack using open-relay ) In-Reply-To: <4678.979792466@ideon.st.ryukoku.ac.jp> User-Agent: Wanderlust/2.4.0 (Rio) SEMI/1.13.7 (Awazu) FLIM/1.13.2 (Kasanui) MULE/2.3 (SUETSUMUHANA) (based on Emacs 19.34) Organization: Institute of Information Sciences & Electronics, University of Tsukuba, Japan MIME-Version: 1.0 (generated by SEMI 1.13.7 - "Awazu") Content-Type: text/plain; charset=ISO-2022-JP 筑波大学の坂元と言います.突然のメールすみません. # 勘違いでなければ DDoS ready な計算機が世界中にゴロゴロしていることに # なりますので,ちょっとメーリングリストに流す気になれませんでした. ## このメールの取り扱いは自由になさってください. 表題にもあります fw-wizard に流れていた一連の記事を読んでいて,一昨年 あたりに被害にあった不正中継のことを思い出し,そこから一つの可能性に気 付きました. 要約すると,majordomo などのメールを使った自動応答型のシステムは簡単に DDoS 攻撃の兵隊(踏み台?)になる可能性があるのではないかという話です. 例えば僕が,今向かっている計算機から firewall.gr.jp に ---ここから--- From: kjm@rins.ryukoku.ac.jp To: majordomo@firewall.gr.jp help ---ここまで--- というメールを出したとすると,firewall.gr.jp のサーバから小島さんに対 して majordomo のへルプメッセージが届くと思います. 一種の不正中継なのですが, majordomo の動いているメールサーバの立場で 見ると,外からローカルに対して届いたメールを受け取り,ローカルから外に 出ていくメールを出すだけですので,いわゆる relay check には引っ掛かり ませんし,また中継後のメッセージに犯人を示す情報は残りません. # 僕の持っている異なるドメインの2つのアドレス間で中継がうまく行くこと # は確認済みです(firewall.gr.jp と securityfocus.com で help コマンド # を使って確認.他意はないんですが一番気を使っていそうな所と言うことで). さらにコマンドを工夫すれば,中継後のメールのサイズを中継前の何倍にも膨 らませることができます. これを応用して,最初のメールの From: フィールドに攻撃対象となるサーバ を含んだ適当なアドレスを書いてしまえば,クラックする必要もなく世界中の メーリングリストのサーバを兵隊(って言うのかな?)にして DDoS 攻撃が出来 てしまいます.しかもこの兵隊,おそらく今現在は無防備な状態で巷に溢れて います. # 出どころを隠すために司令官役はクラックする必要があるとは思いますが. ただ,気付いてしまうととても単純な穴なのに,僕が調べた限りではこれまで 誰も指摘していないようですし,どこでも対策がとられていない様子なのが, 僕がとんでもない勘違いをしているんじゃないかという不安を掻き立てるので すが... -- 坂元 英紀 (Hideki Sakamoto) 筑波大学電子・情報工学系 e-mail: sakamoto@hlla.is.tsukuba.ac.jp