我的工作項目之一就是管理計畫內的主機與代管主機,最近接獲一則很令人頭痛又好笑的消息。
「來自香港的資安通報」
資訊室來電通知,說我代管的主機疑似攻擊他人,而對方也有擷圖為證。這下可好了,當時心想該不會別人又出包了?
因為我這裡稱的代管主機,只是我負責「看」這台機器,而實際管理的人不是我,我也沒有權利進去看別人裝了什麼軟體,放了什麼檔案。就像 Hinet 機房的代管,只提供空間與機器,他要也怎麼搞都行。
這封信是直接反應到處長那裡,所以資訊室才會以「大事件」來處理。看完對方的論述與擷圖後,我只能傻傻地笑著。他所謂的證據(即擷圖),其中一張是 tracert 到代管機器,呃……這只能說明他到我們這經過了哪幾個 Hop,沒辦法說明入侵事證。另一張圖片更是傻眼,他用 netstat 指令看 TCP/UDP 連線,取出了一條紀錄,如下:
TCP 192.168.196.2:1108 [代管主機的IP]:80 CLOSE_WAIT
呃……這條紀錄是顯示他電腦連線至代管主機的證明,並不是我們入侵,反之,我們甚至可以用這紀錄說明其實是他嘗試入侵我們(笑~)。因為這條紀錄是 指他對我們的連線,而不是我們對他的連線。而且他的 IP 是虛擬 IP,在沒有提供實體 IP (public IP)的情況下,我也沒辦法做太多的調查。
當然,詳細情形這裡不便指出,但光上述的兩張擷圖證明,這次「大事件」只能說是搞笑收場。但因為身處政府機關,所以還是只能委婉的回應,無奈呀。就我的猜想,應該是某個安全偵測軟體發現有「異常」的連線通知他的吧,真想抓出這套軟體是什麼…
一直到現在我還是不懂 tracert 那張圖在這個事件上代表的意義?也許是我沒看透吧。
Posts
No comments:
Post a Comment