アイドルスキャンとは
ハッカーは、アイドルスキャン(ゾンビスキャンとも呼ばれます)を使用して、送信制御プロトコル(TCP)ポートをスキャンし、被害者のシステムをマップしてその脆弱性を見つけようとします。 ハッカーは、実際のコンピューターではなく、ハッカーのデジタル位置を隠す制御されたゾンビコンピューターによって識別されるため、この攻撃はより高度なハッカー手法の1つです。 ほとんどの管理者は、ハッカーのインターネットプロトコル(IP)アドレスをブロックするだけですが、このアドレスはハッカーの実際のコンピューターではなくゾンビコンピューターに属しているため、これで問題は解決しません。 アイドルスキャンの実行後、スキャンはポートが開いている、閉じている、またはブロックされていることを示し、ハッカーは攻撃を開始する場所を認識します。
アイドルスキャン攻撃は、ハッカーがゾンビコンピューターを制御することから始まります。 ゾンビコンピューターは通常のユーザーに属している可能性があり、そのユーザーは自分のコンピューターが悪意のある攻撃に使用されていることを知らない場合があります。 ハッカーは自分のコンピューターを使用してスキャンを実行していないため、被害者はゾンビのみをブロックでき、ハッカーはブロックできません。
ゾンビを制御した後、ハッカーは被害者のシステムに忍び込み、すべてのTCPポートをスキャンします。 これらのポートは、他のマシンからの接続を受け入れるために使用され、基本的なコンピューター機能を実行するために必要です。 ハッカーがアイドルスキャンを実行すると、ポートは3つのカテゴリのいずれかとして返されます。 開いているポートは接続を受け入れ、閉じているポートは接続を拒否しているポートであり、ブロックされているポートは応答を返しません。
オープンポートはハッカーが探すポートですが、クローズポートも一部の攻撃に使用できます。 ポートが開いていると、ポートに関連付けられているプログラムに脆弱性があります。 閉じたポートと開いているポートは、オペレーティングシステム(OS)の脆弱性を示しています。 アイドルスキャン自体が攻撃を開始することはほとんどありません。 ハッカーに攻撃を開始できる場所を示しているだけです。
管理者が自分のサーバーまたはWebサイトを防御するには、管理者はファイアウォールとイングレスフィルターを操作する必要があります。 管理者は、ファイアウォールが予測可能なIPシーケンスを生成しないことを確認する必要があります。これにより、ハッカーがアイドルスキャンを実行しやすくなります。 入力フィルタは、すべての外部パケット、特にシステムの内部ネットワークと同じアドレスを持つパケットを拒否するように設定する必要があります。