タグ: TCP no bits set

  • TCP no bits set

    TCP no bits set

    使用しているYAMAHAのルーターから不正アクセスとして「TCP no bits set」が検知された。
    ヘルプによると、

    フラグに何もセットされていない

    http://www.rtpro.yamaha.co.jp/RT/docs/firewall/index.html#section3

    ということらしいが、よくわからない。

    どういう意味かもう少し調べると、これは「NULLスキャン」ということで、このサイトが見つかった。
    これによると

    NULLスキャン
    どのフラグも立っていないNULLパケット*7を送信し、RSTパケットが返ってくるか調べる方法。RSTパケットが返ってきたら、サービスが稼働していないと判断する(サービスが稼働しているときは、何も返ってこない)。
    *7 すべてのフラグが0になっているパケット

    https://eset-info.canon-its.jp/malware_info/special/detail/200702.html

    ということなので、「TCP no bits set」は「外部からサービスが動いているかどうかを調べている」と捉えた。

    ちなみに、こちらによると

    なお、相手がMicrosoft Windowsホストの場合、RSTパケットさえも帰って来ないため、このポートスキャンは有効でない。代わりにWindowsホストであることが分かる。

    https://www.wdic.org/w/WDIC/TCP%20NULL%E3%82%B9%E3%82%AD%E3%83%A3%E3%83%B3