BLACKHOLE(4) | FreeBSD Kernel Interfaces Manual | BLACKHOLE(4) |
名称
blackhole — 拒否された TCP か UDP 接続試みに関する動作を操作するための sysctl(8) MIB書式
sysctl net.inet.tcp.blackhole[=[0 |1 |
2]]
sysctl net.inet.udp.blackhole[=[0 |
1]]
解説
接続リクエストが、ソケットリッスンがない TCP または UDP ポートで受信される場合、 blackhole sysctl(8) MIB は制御システム動作のために使われます。通常の動作は、TCP SYN セグメントが接続を受け付けるソケットがないポートで受信される場合、システムが RST セグメントを返し、接続をやめます。接続システムは、“接続拒否”としてこれを考えます。 1 つの数値として TCP blackhole (ブラックホール) MIB を設定することによって、着信 SYN セグメントは単に落とされ、RST はブラックホールがシステムに現われたものとして送信されません。 MIB 値を 2 に設定することによって、クローズされたポートに到着するどんなセグメントも RST を返さずに落とされます。これは、ステルス (内密) ポートスキャンに対する保護をある程度を提供します。
UDP インスタンスでは、ブラックホール動作を可能にすることはソケットリッスンがないポートに到着する UDP データグラムに応じて ICMP ポート到達不能メッセージを送ることをオフにします。この動作はシステムに traceroute(8) の実行をリモートシステムから防ぐことを注意されなければなりません。
ブラックホール動作はシステムの脆弱なサービスを検知することを試みて、システムをポートスキャンしている誰かをスローダウンさせるのに便利です。これはまた、サービス攻撃の拒否を試みているか誰かをスローダウンさせる可能性もあります。
警告
TCP と UDP ブラックホール機能は、ファイアウォールソリューションの置き換えと見なすべきではありません。より良いセキュリティは、利用可能なファイアウォールパッケージの 1 つとともに使用される blackhole sysctl(8) MIB から成るでしょう。このメカニズムは、システムを安全にすることの代わりではありません。それは他のセキュリティメカニズムと一緒に使用されるべきです。
歴史
TCP と UDP blackhole MIB は、 FreeBSD 4.0 ではじめて登場しました。作者
January 1, 2007 | FreeBSD |