123.ネットワークカードのインストール不調、故障など    目 次

今回は、経験談である。Laneedのld10/100ALという100Mbpsイーサカードを買ってきて、ELECOMのHPからドライバを落としたが、これが曲者カードでWin95のハードウェアウィザードの虫と重畳して、丸一日かかった。おまけに1枚は壊れてしまった。

症状はこうである;

 1.カードをPCIバスに挿し、PCを起動。PnPでカードを認識し、ハードウェアウィザードが起動。ドライバの在り処をA:\として教える。これも、実はおかしいのだが、その話は、7.で。

  A:\には、落としたドライバが解凍して入れてあり、ちゃんと.infファイルがある。 にも拘わらずWin95のハードウェアウィザードはこれを見つけられず、「次へ」ボタンがグレーアウトしたままであり、何もできない。この症状、結構、色々なカードで経験しているから、Win95のハードウェアウィザードがアホなのだろう。

  分からないのは、うまく行くカードもあることである。.infを見つけるだけということなら、見つからない訳がない。.infの内容までみて形式が間違っているのを認識して、「次へ」ボタンがグレーアウトしたままにしているのなら、このドライバファイルが誤っているのだから、絶対にインストールできないはずである。が、事実は、2.で述べる方法でインストールできる。Win95のハードウェアウィザードは.infの中をみているのだが、虫がいて、あるいは、.infの書き方との間に不整合があって、ドライバ情報が読み取れないのだと、思ったのだが、A:から、c:\tempに中身をコピーしておくと、認識する。つまり起動時PnPは、なんともアホなことに、フローッピが読めないのである。一度は読みにいくので、その後のresetがプログラムのどこかのパスだけで書き忘れたのだろう。まあ、こんなことは珍しくもないのだが、普通は、出荷前にテストで分かるものだ。だって、こんな浅いところにある虫なのだから。MSの製品は、皆、半製品だ。ついでに言うと、c:\tempから、つまりハードディスクからは読めるが、結果は同じ。不明なデバイス、つまりとなる。

 2.仕方ないので、キャンセルして、ドライバを組み込まないで、起動する。ここで注意が必要である。キャンセルすると、Win95(多分Win9x全体も)は、PnPで見つけたハードの扱いに困り、デバイスマネージャのマークの部位に登録してしまう。これが重大な、大抵の人の気が付かない問題を引き起こす。(これは、以前、モデムのところでも書いた問題

  さて、PCが起動した。だが、ハードのドライバはキャンセルしたので、組み込んでいない。それで、今度は、PnPではなく、手動ハードウェアウィザードで入れることになる。コントロールパネル→ハードウェアから、手動で機器をネットワークアダプタと指定する。この時、決して、自動で機器を検索させてはいけない起動時に既に存在だけは認識して、に放り込んだので、新しい機器の認識には引っかからないのである。 手動で機器の種類を指定し、一覧は使わず、ディスクからドライバを入れることにする。つまり、A:\を指定する。そうするとどうだ、ちゃんと、.infファイルを認識しし、中身も認識し、正確にはわすれたが、

  Laneed ld10/100al ファーストイーサネットワークカード
  Laneed ld10/100al シリーズ ファーストイーサネットワークカード

のような記述が表示される。だいたいELECOMもいい加減で、この二つが、同じなのかどうかがさっぱりわからない。まったくPC業者はマヌケばかりだ。起動時PnPウィザードと、起動後のハードウェアウィザードでは、異なる処理らしく、この現象は、何回か、100回位は経験している。

  というわけで、無事ドライバは入った。だけれど、何故か「再起動しろ」といういつものメッセージがでない。ホー、PnPカードは、UNIXみたいに、OSの再起動はしなくていいんだ、と感心してはいけない。そんな訳はないのである。言われなくても再起動する。で、デバイスマネージャを見ると、ネットワークアダプタの項目ができていて、 Laneed ld10/100al ファーストイーサネットワークカードがちゃんと表示されている。ただし、付きで。試しにそのプロパティを開くと、なんとリソースタブがない。最近のカードはリソースを食わずに動くんだ、これでIRQ不足に悩まされることは無くなった、なんて訳もない。リソースが割り当てられなかったから、なのである。

  3.さて、ここで初級者は、途方に暮れる。中級者なら迷わず、このLaneed何とかを削除して、再度、ドライバを組み込もうとする。で、実行、再起動。なんと、起動時PnPでカードが見つからず、そのまま立ち上がってしまう。当然、デバイスマネージャにはネットワークアダプタ項目はない。さっき、削除したからね。これは、PnPは、新しいカードを、なんのカードだかわからないが、とにかく、見つけたことは見つけ、で、既に、最初にに放り込んである事が原因である。後で入れたネットワークアダプタのドライバは、このハードに関連付けられていないので、削除したって、関係ないのである。ここにあるPCIコントローラとか、何とかを削除しないと、PnPにとっては、新しいハードは存在しないのである

  4.で、削除して、再起動。これで、1.に戻り、Windows無限ループ地獄に入ることになる。

  5.考えてみれば、分かるが、

 a) 起動時に見つけると、.infを読めないので、何のカードか分からず、に入る。これを削除して再起動すると、起動時PnPは見つけるが、何のカードか分からず。。。

 b) で、起動してから手でドライバをいれても、問題のカードは「不明なデバイス」というものとして認識済みだから、手で入れたネットワークアダプタのドライバに相当するカードはない。Winは何のことか分からず、とにかくドライバは言われた通りにいれるが、それを割り当てるハードが見つからない。存在しないカードにリソースなど割り当てない。これで、再起動しても、何もおこらず、起動する。が、ネットワークカードは動かない。

のどちらかになる。

さて、不明なデバイスの削除もダメ。削除せずに、手で、ドライバを入れてもダメである。本当は、削除して再起動したときに、PnPに見つからずに起動し、(つまり不明なデバイスにならず)起動後、手でドライバをいれたいのだが(イヤー、カードを入れずに起動し、通電中のPCにカードを差し込みたい衝動に駆られる)、PnPは何がなんでも見つけてしまう。

  6.残された手段は、一つしかない。を開き、不明なデバイスのプロパティを見るとドライバというタブがあるので、ここから、ドライバの更新を行う。すると、ハードウェアウィザードが起動し、手で、ドライバを入れることができる。間違っても、自動で探してはいけない。見つかっているものを、二度探すことはできない。たとえ、不明なデバイスでもそうである。

さて、これで、一応ネットワークは稼動する。次は、ネットワークアダプタのハード故障の診断についてである。このHPでもネットワーク不調の色々な場合を挙げているが、実のところ、オシログラフでもないと、本当のハード故障の診断は難しい。だが、上記で、こんなことがあった。どうしても一台が動かない。デバイスマネージャは、「このデバイスは正常に動いています」と言っている。ネットワークコンピュータ設定も問題ない。しかし、ネットワークコンピュータを叩いても、何も表示されない。TCP/IPでも、NetBEUIでもである。pingを他のPCに打つと、Timeoutではなく、忘れてしまったが、そもそもpingが打てないという意味のメッセージが出る。

 ping 127.0.0.1

はちゃんと応答があるので、ソフトモジュールは稼動している。しかし、

 ping 192.168.0.2 という自身のカードのIPアドレス

はだめである。つまり、ハードっぽい故障である。で、

c:\windows\winipcfg

をクリックしてやると、MACアドレス(アダプタアドレス)が、FFFFFF... となって、オール1が立っている。ソフトがこれを読み出せないのか、カードが壊れたかである。

  7.ELECOMのこのドライバ、Win95フォルダーには、readme.txtしか入っていない。Win98フォルダには、.infファイルが入っている。おまけにルートにも同じ名前の.infがある。中身を読んでみると、両方ともに、For Win95 OSR2、Win98...とある。同じ内容に見えるが、ファイルの大きさが違う。Win95フォルダに担当が、.infを入れ忘れたのか、これで正常なのか、まあ、PnPがまともに動かないのだから、チェックしていないことだけは確かである。

因みに、ld10/100という箱入りのNICを、秋葉にいっている余裕がなかったので近所の「他店より1円でも高かったら、申し出てください」という大手の店で、400円以上も高く(というか、同じ機種ではないのでこの表現は妥当ではないが。もともとGreenHouseだったかのような安い機種(\780@DosV パラ,2002/03/04)が置いてない。バルクじゃなく、箱入りでもである)泣く泣く買ったら、一発でインストールできたから、Elecomが悪いに違いない。



124.家庭サーバ用PCのマウスとキーボードのはずし方    目 次

これが結構難しい。サーバにするpcには、電源と、LAN以外のケーブルをその背面から出さず、きれいサッパリとしておきたいのだが。

   サーバ----ハブ---PC

という構成。この為には、次の条件を満たす必要がある。

 1.BIOS/OSにマウス、キーボードが無い、と文句を言われず、起動する
 2.サーバの電源投入後、キーボードから何も入れる必要なく起動する
 3.LAN上の他のPCからサーバを操作できる
 4.LAN上の他のPCからサーバをシャットダウンさせられる(これは3の一部であるが、多少の意味はある)

まず、2.、3.、4のチェックから始める。当然、サーバはまだフル装備で、モニタ、マウス、キーボードは要る。

 ・3.、4.のためには、サーバにVNC、他のPCにはVNCviewerをインストールしておく。

VNCの在処


  サーバがNTなら、VNCをサービスとして入れておく。こうすると、Logon以前にも、VNCが稼動し、
  他のPCから見える。詳しくは、ここここも

  Win9xなら、VNCショートカットをスタートアップにいれておこう。

以上で、他のPCから、サーバのデスクトップが見えて操作できることを確認。

これで、3.,4.はクリアできた。ついでに、ASDOWNなどをサーバに入れ、そのショートカットをデスクトップに置いておく。ショートカットを右クリックして、コマンドライン(リンク先)のプログラムへのパスの後ろに、

 /poweroff  /t 0   (0は数字のzero。time=0秒後にpoweroffするの意味)

というパラメータをつけておけば、それをダブルクリックするだけで、シャットダウン→電源断ができる。VNCのカーソルの動きはもどかしいので、これが便利である。勿論、NTは、別途、自動電源断の設定をしておく。Win9xなら、何もしなくても良い(居候のようにATのM/Bではダメであるが)。

次に、一般にネットワークを組み込むと、Win9xでは、必ず、IDとパスワードを聞いてくるようになる。これが、98には虫がいて、生ではネットワークが参照できなかったりと、色々厄介だが、とにかく、そのあたりは、解消しておく。この自動ログオンは、MSのPowerToys のTweakUIでできる。PowerToysは今となっては、PoorToysで必要ないものばかりだが、TweakUIのこの機能だけは使おう。
下記が詳しい。MSは、Win95 OSR2しか保証というか、想定していないというが、Win98でも、Meでも、NTでもTweakUのネットワークLogonは動いている。保証はしないが。

http://homepage1.nifty.com/redstar313/introsof.htm

解凍したら、必ず、c:\powerというフォルダをつくり、その中に入れる。そして、tweakui.infを右クリックして、installを選択すれば、コントロールパネルに、アイコンができている。networkからlogonに設定。

以上で、
 ・サーバの電源を入れ、途中で止まらず、勝手に立ち上がること
 ・他のPCから、サーバをVNCviewer経由で操作できること
 ・他のPCから、サーバをVNCviewer経由でシャットダウン、できたら電源断できること

を確認する。ここまでは、それほど面倒ではない。以下は、BIOSの作りに依存するので、PC次第である。

電源を切り、キーボードをはずす。マウスと、モニターとLANだけにする。
これで、起動する。何事もなく、Winが起動すれば、ok。次に進む。
BIOSがキーボードエラーを出すが、出すだけで、そのまま立ち上がれば、これも問題なし。次に進む。
キーボードエラーを出して止まってしまったら、BIOSセットアップに入り、キーボードを使わないという項目がどこかに無いか、探す。あれば、それをonにしておく。確か、IBM-PCにはこの項目があった。

キーボードは普通、無くてもまず、問題なく起動する。

これが解決したら、次にキーボードを付け、マウスをはずす。マウスもキーボードもなく、途中で、止まったら、電源を切るしかなくなる。まあ、それでも問題はない。次回起動時にScanDiskが走るだけである。が、鬱陶しいし、実は、必ずキーボードが必要になるので、とにかく付ける。

そうすると、BIOSで、マウスが無いといわれるか、どうかである。もし言われたら、上記キーボードと同じ処置をしておく。それでもダメなら、マウスははずせない。居候のさるPCでは、なんと、マウスを外すと、IDEが見えなくなる。BIOSで確認してもIDEには何もついていない。これでは、起動すらできない。なんという設計かね。

BIOSを無事とおりこしたら、今度はOSである。キーボードの時は何も言わなかったWinが、マウスには厳しくて、「マウスがついていない」というウィンドウが開いて、止まる。止まるのはとにかく困る。まだVNCは起動していないから、他のPCから、操作できないから。で、キーボードのスペースを叩くと、次回からはこのメッセージを出さないにチェックが入る。次にEnterで、ブートが続行する。マウスが無い時の、タブ、矢印、スペース、Enter、Escは重要な操作キーである。もし、不安なら、コントロールパネル→ユーザ補助で、テンキーでマウスカーソルを動かせる設定ができるので、どこかで調べて設定しておくといい。

一般には、タブ/矢印で、フォーカスが項目を移動、スペースで設定、Enterで選択、Escで取り消しである。さて、これでWinが立ち上がる。今度はシャットダウンしなければならない。これは色々な方法がある;

 ・左下のウィンドウズキーで、スタートメニューを出し、矢印で項目を移動し、Enterで選択で、Windowsの終了を選ぶ
 ・ウィンドウズキーが無いキーボードでは、Ctrl+Escで同じことができる
 ・Ctrl+Alt+Delでシャットダウンを選ぶ(Sを押すか、タブして、Enterする)
 ・Alt+F4でアプリをどんどん終了していけば、その内、Winの終了となる
 ・どれも分からんという人は、サーバなど建てない方が良いと思うが、いきなり、電源スイッチオフでかまわない。
  HDDのアクセスランプが点いていない時にネ^^;

以上で、すべて終了。モニターとLANだけにして、起動。様子をみていよう。まだモニターは外さないほうがいい。ブート途中で止まると、VNCが起動していないから、どんなメッセージがでているかわからないから。

これで無事、起動すれば、他のPCからVNCviewerで、サーバを操作してみる。まずは、シャットダウン。うまくいったら、モニタも外して本格的に運用する。ネットワークコンピュータでファイルサーバにしてもよし、HTTPdをいれて、Webサーバにしてもよし。

このサーバ、ファイアウォールなどを入れると、VNCviewerの接続要求を蹴ったりして他のPCから見られなくなる。VNCviewerのパケットは通すようにする。などなど、色々な状況で、VNCを動かなくすることが考えられる。解決は、簡単だが。

最悪、電源ケーブル引っこ抜きである。企業サーバでは困るが、家庭サーバでは、なんということは無い。OSは普通、遅延書き込みといって、ユーザがエディタなどを使っていて、保存しても、実はまだHDDに書き込まず、DRAMのなかにもったままのことがある。そんなときにコードを引っこ抜くと、データが消失するし、ファイルの整合が取れなくなったりするので、ScanDiskが動くのである。このことを知っていれば、電源引っこ抜きが何を起こすか自分の操作と合わせて判断できる。最近のATX M/BとWindowsの組み合わせは最悪で、日に3度は、Windows98SE、Meなどが固まって、しかもパワースイッチでも電源が切れず(長押しで切れるが)、プラグ引っこ抜きを毎日のようにやっている今日この頃である。





125.PgPを入れようとして、起動しなくなった時    目 次

PgPという暗号アルゴリズムは立派なものだが、このWindows9x/NT版のインストーラは碌でもないもの(registryを使うソフトは皆、碌でもないな。まあ、サービスもどきで自動起動程度は仕方ないが。あんなところに情報を集める意義は薄い)だから、使わない方が良い。

インストール最中に固まって、何もできなくなった。で、ハードリセット。ScanDiskで破損を直し、その後、停止。正確には、Windowsの旗がハタメイタ後、消えて黒い画面になり、32bitモードに移りかけたところで停止する。ここは、ネットワーク参照に行っているところだから、その辺りだろう。PgPは、要らぬことにダイアルアップアダプタとか、NICを触りたがる。

再度、Resetして、F8で起動メニュー、Safeモードで起動、コントロールパネルからPgPの削除を試みるが、uninstall情報を作る前に固まったので、これができない。

1.regeditでpgpを検索して、全部消す。

これは山のようにある。なるほど、serviceでRUNさせているか、これで止まるのだ。

2.後は、スタートアップにあるショートカットを一つ消す。

これできれいに起動する。



126.無線LANの使い方;ELECOM LANEED LD-WL 11/PCC を LD-WL 11/APと共に初代Windows95 で使う方   802.11b wireless LAN      目 次

LANEEDの板やカードは本当にひどい。ドライバーがなかなか素直に入らない。で、お決まりの苦闘であった。とはいえ、メルコやコレガの評判もこんなものだから、ネットワーク業界の問題かもしれない。100万円位の機器ならこんな思いはしなくてすむのだろう。AlliedTelesisが廉価版をコレガと別名/子会社扱いにしている理由が透けて見える。確かに10年前には家でこんなことが出来るとは思えなかったのだから。。。ン万円もした2400bpsのアイワのモデムで喜んでいた古き良き時代だった。

最近のカードはWin95を無視しているものが多く、Win98以降が大嫌いな居候には、嫌な時代である。ところが、PCCはWin95対応である(PCC2もカタログ2002 3→5 月号では、Win95対応と書いてあるが、HPでは、ダメと書いてある)。OSR2対応なら時々あるが、初代Win95対応なのである。それで購入。しかし、ドライバーCDのルートには3種の.infファイルがある。

 oemsetup.inf; これはWinNT用である。
 wl11pcc.inf; Win9x/Me/2000/XP用
 wl11usb.inf; 多分、名前からして、USB用

初代Win95のアホウィザードとあいまって、全然、入らない。こんな症状になる;
 ・アルファベット順で前の方にある、oemsetup.infが勝手に選択され、他のものは表示されていても、選択できない。さすがに、NT4.0のドライバでは9xは動かない。
 ・それで、oemsetup.infを他の場所に移し、ウィザードから見えないようにして、何とか入った。しかし、ドライバが入った後、お定まりのネットワーク関係ファイルのコピーが始まらない。大体、PCカードなら、うまく入ればピコッっと言って、即時使える用になるはずが、それも無い。デバイスマネージャで見ると、シッカリが付いていて、リソースが割り当てられていない。

普通なら、これで途方に暮れる。このHPを熟読している人なら、ハタと気が付くことがある。Win95のネットワーク回りは、バグだらけ、バグの中に多少動くコードが混じっているということだ。で、

  ・MSDUN3.1を入れる

これだけである。ついでに、TCPもupしておこう。
記憶が薄れて、確とした事は言えないが、IE4以上が入って入れば、MSDUN3.1も入っていたと思う。

これで、再度、ドライバを入れれば、ピコッっと言って、一応、動き出す。

NT4.0の方は、簡単に動いた。ただし活線挿抜に対応していないので、最初からカードを挿入し、それから電源を入れて立ち上げる。ドライバーを入れた後、SPを掛け直す事を忘れると、動かない。SP4以上とIE4以上は相性が悪いので、必ず、トラブル。SP4が再インストール出来なくなるのでこのようにして直す

さて、ドライバーは動いたが、APと、NIC両方の設定をしないと、通信できなかったり、近所にプライバシーを放送で公開したりというハメになる。もっとも、126bitの最強WEPをかけても、AirSnort簡単に破られるそうではあるが

2001年8月20日 2:20pm PDT  ほぼすべての主要なワイヤレス・ネットワークでやりとりされるデータを不正に入手して分析できるツール『エアスノート』(AirSnort)が、一般に公開された。これで今日のワイヤレス・ネットワークの安全性がさらに低下することになる。

  -- http://www.hotwired.co.jp/news/news/technology/story/20010821301.html より引用

インターネット・セキュリティー会社、米アットステーク(@Stake:ボストン)の研究者、ティム・ニューシャムは12日(米国時間)、30秒もかけずにセキュリティーを破れるワイヤレス・ネットワークのパスワード・システムの脆弱性について詳細に発表した。これは、ワイヤレス・ネットワークの安全を確保するはずの『WEP』(Wired Equivalent Privacy)プロトコルに発見された3つ目の脆弱性となる。

  --http://japan.cnet.com/News/2001/Item/010713-2.html?rn より引用

 まあ、鍵は破られる為にあるようなもの。それでも普通の善良な人々にできることではないから、かけることは有意義である。

さて、LANEEDのマニュアルには書いてない点で、困った点だけを記す。

NICのユーティリティでは、プロファイルが設定できる。プロファイルって、無意味語。これだけでは誰も何のことか分からない。こんな名前を付けた連中も、どう呼んでいいのか分からないので、「それ」とか「あれ」とかいうのりで付けたのだろう。ここでは「設定」の事。.iniファイルと言った方が分かり易い。毎回、色々な設定をしていたのではかなわないので設定の一群をファイルにして保存するのだが、そのファイル名だと思えばよい。設定ファイル名と訳した方が分かりやすいのだがPC界なんて、計算機関係の出来の悪い連中の集まりだから、そんな気のきいたことはしない。

で、色々設定する。一つ設定したらその度に変更ボタンを押しておこう
普通のWindowsのソフトのように最後にOKを押せば反映してくれると思ったら、全然、していない。

air1.JPG


ところで、このプロファイル、名前を付けて選択し、OKで、ユーティリティを終了、再度ユーティリティを開くと、空白の欄になって、選択されていない。

タスクトレーにユーテリティのアイコンがあるから、それを右クリックして、チェックを付けてやらないと、選択されない。あるいは、変更ボタンを押すのかもしれない。アホも良い極まれりである。

そういえば、APのユーテリティでは、パスワードをいきなり聞いてくる。初回設定とか、そんなじゃない。それで、自分のパスワードを決めて入れたら、拒否された。これは分からない。マニュアルには何気なく、defaultになっていると有ったのを思い出し、defaultと入れたら、はいれたが、あの作りのマズサは憤怒を通り越して噴飯ものである。一体、どういう大脳の構造をしていたら、ああいう事を考え出せるのか、不思議でさえある。

air2.JPG

セキュリティ

さて、これは無線の場合、非常に重要である。3種程仕掛けがある。

しかし、どの仕掛けも穴だらけだから、無線LANは、プライバシーを放送しているつもりで使うこと。PCやルータにはしっかりFireWallを建てることが原則である。

ESS−ID(アクセスポイント(AP)、カード両方で設定); これは何の意味もないセキュリティ(とは呼べないが)である。

ESSID,SSIDといろいろに表記され、定まっていない(SSID: Service Set IDentification。EはEnhancedか、Extendedで、どっちも「拡張」とか「強化」の意味)。これは、ネットワークコンピュータのワークグループみたいなものである。同じESSIDのグループ同士でしか通信できない。ワークグループは他のワークグループからもアクセス可能であるが、SSIDでは、異なるグループからはまったく見えない。電波状態さえモニタできない。と読むと結構使えるセキュリティのように感じるが、そうではないことは、下記。尚、買ってきて、デフォールトのSSIDのままでは、同じくデフォールトのままの人との間で、電波が丸見えになるから注意。ついでにAPにアクセスして、有線LAN側にも侵入される。総当たりで、色々なESS−IDを試されたら、破れるかも知れない。まあ、暗証番号のようなものか。

ところで、SSIDを破るのは、とても簡単、というか破られる仕組みがわざわざつけてある。カード側のESS−IDをANYとすると、これは予約語で、全APにアクセス可能になる。この規格を作った連中は相当のアホだね。これほど意味の無い構造はない。錠を付けた。でも鍵は要らないよ。錠の横のボタンを押せば、誰でも開錠できるよというのだから。近頃のITの連中は、PCも通信も、白痴だね。(言い訳としては、駅のHotSpotのような一般に有料でAPを公開している場合、SSIDが邪魔だから、万能合鍵を作ったということである)

MACアドレス(アクセスポイントのみ); MACであって、Macではない。Media Access Control アドレス。物理的媒体、たとえばカードそのもののアドレスなので、カードの中のROMに工場で書き込まれている。2層アドレス。IPアドレスは3層アドレスで、カードのアドレスには違いないが、カードには書き込まれていない。TCP/IPソフトが管理している儚いものである。TCP/IPの代わりにIPX/SPXとか、Netbuiを使えば、PCの中には存在さえしない。ソフト的なもの。

MACアドレスも世界で唯一しかない(ことになっている)。それで、APで、APに予め貴方が登録したNICのMACアドレスしか受け付け無いようにしておけば、APを通して、有線LANに侵入される恐れはなくなる(ことになっている)。ESS−IDと違って。NICのMACアドレスは、NICの中のROMに書かれている(書き換え可能な物がある/あった)ので、これを偽装するのはなかなか厄介で難しいだろう。もっとも、ドライバを書ける技術があれば、MACアドレスなど変え放題ではある。

WEP(アクセスポイント、カード両方で設定); 上の二つは、侵入を阻止する手段。窓を破って、PCや、LANに入られないためである。WEPはこれと違う。出している電波を読まれない手段である。電波は、出さざるを得ない。これを盗聴(傍受という官公庁用語みたいな表現もある)されるのは上の2つの方法では防げない。電波に暗証番号や、パスワードが乗っていたら、平文では読まれてしまう。それで、暗号化するのである。

しかし、128bitでさえすぐ破られてしまう。暗号というものはパターンをもっていてはいけない。たとえば、英語はeという字の出現頻度が最大である。暗号文の中で、最大の出現頻度のコードは従って、eである確率が高い。これでeが分かれば、その構造を解析して、他の文字も分かる、という小説を子供の頃読んだ。WEPもパターンを探られてたちまち破られる構造らしい。

ところで、LANEEDは、全然バージョン管理していないのか、APは、設定項目が、ESS−IDとなっているが、NIC側のユーティリティは、上の最初の図のごとくSSIDである。困ったものである。

WEPに至っては、APそのもののfirmwareは、40bitと128bitなのだが、付属CDの設定ユーテリティは40ビットしか対応していない。Webの設定ユーティリティで見ていて、偶々見つけた。ユーティリティが古いので、HPからDLしなければ、ファームと合わないのである。 おまけに、NICは64bitと128bitである。APの128bitを見つける前の状態は、128bitと64bitと40bitの組み合わせで、一致するものが無かった。これではWEPは使えない(でも、やってみたら40bitで動いた。64bitは40bitと互換性があるらしい)。LANEEDは上級者以外は使わない方が良いだろう。といいながら、居候はその安さに負けて、いつも、買ってしまうのだが。この、AP+NICも定価5万円(これはそもそもやりすぎ)を18000円で買った。新品である。

その他の注意

無線LANカードとアクセスポイントの組み合わせは、異なるメーカ間では、基本通信はできても、WEP、ESS−ID、MACアドレス制限などのアクセス制御が効かない場合があるので、互換性をHPで調べてから買う。 802.11(aもbも付かない。つまり旧方式)の売れ残りが時々安く出ている(2002.3.14現在、AP+NICx2で12800円など;居候の経済観では、これは高い。4800円でないと買う気がしない)。最大2Mbpsであるが、アクセス制御が無いか、甘いので、それを念頭に置いて置く。

無線LANの使い方その2;アクセスポイント+無線LANカードと、無線LANカードだけのLANの違い



127.「Netware互換シェルが使えません」に対処する方    目 次

126項目で、コントロールパネルのネットワークを弄くっていたら、起動時にこのメッセージが出るようになってしまった。Netwareとは、IPX/SPX絡みである。98か、2000以降は、こんなプロトコルは入らないが、95では、デフォールトで入っている。これを消したので、出るようになったのだろうが、普通は、そんなことにはならない。犯人は、MSDUN3.1である。これを入れると、NDS=Novell Directry Services関係が入る(らしい)。とにかく、MSDUN3.1を入れると、なにやらバーチャルネットワークだったか、が一杯ネットワークに入ってしまう。その中に、NDSとか、NDIS、Netware、Novell などという文字列を含むエンティティ(これも無意味語)、があって(削除してなくて)、かつ、IPX/SPXを削除してしまっていると、出るメッセージである。IPX/SPXはNovell社独自のTCP/IP相当のプロトコルである。それがなくては、NDS/NDISは動かない。とにかく、ネットワークコンピュータの設定窓の中は、

netcmp0.jpg


これだけで良い。詳しくは、ここ

上記で動かない時は、再度、Microsoftではなく、Netwareのサービスとかクライアントをインストールして、その後、それらを再度削除すれば、変に残っていたnetware関係の残滓がuninstallされてこのメッセージは出なくなる。下記、参照。

netware1.jpg

http://support.microsoft.com/default.aspx?scid=kb;EN-US;q149757

The NetWare Compatible shell is not available.
Contact your network administrator.





128.YahooBB!、802.11b 速度の実測、転送の途切れなど (ELECOM LANEED LD-WL 11/PCCとLD-WL 11/AP)    目 次

YahooBB!
我が家では、1.2Mbpsが最大値だが、1Mbpsが巡航速度。
NTTから2.6Kmだからこんなもの。これ以上早くても、どうせWebサーバや、太平洋海底ケーブルが律速要素だから体感的には余り変わらないだろう。昔話では、128kbpsのISDN/MP契約を一般家庭と契約しながら、バックボーンへの自社回線を64kbpsでつないでいたインチキISPがいたらしい。どこがネックかを考えておかないと、アクセスライン(家庭と最寄の通信会社の拠点)だけ速くしても仕方ない。

Vectorからのダウンロードが700kbps〜1Mbps
米国からは200〜300Kbps。時間帯なのか、700Kbps出ることもある。

無線LAN(公称11Mbps)
1.8Mbps程度。接続状況100%、電波強度100%。
つまりAPの1m横で、この程度。802.11の2Mbpsでは、64kbpsというのもうなずける。
これでもADSLより速いのだから、木造家屋で、AP1階、自室2階(接続状況80%強、電波強度60%強)という環境で、1MB程度のファイルは10秒程度でインターネットから落ちてくる。

が、なぜか、必ず、400KB位のところで、止まって固まるか、その後1Kbpsになる。HTTPでのDLなら、キャンセルして再試行すればレジュームで続けられる。英語版ファイアウォールとか、モニタとか色々いれたのが原因のようだ。MSDUN3.1再インストールで解決(Win95/SP1 PC)。インターネットに限らず、LAN内転送も同じ。無線LANの問題だろう。他のノート(WinMe)でも同じ事が起きた。こちらは、MTUをモデムの時のままにしておいたかららしい。EditMtu (Win95にも使えた)でMTUとRwinを調節して、ほぼ直った。ほぼ、というのは、固まることはなくなったが、2MB位を転送すると、途中で、5〜10秒くらい停止することが3,4回起きる。今度、Rwinを微調整してみよう。

そういえば、100Mbpsの有線LANでも、Win95→NT4.0方向において、SMBでファイル転送すると、この現象が起きる。NT→Win95では起きない。Realtechのような安いチップでは、割り込みの設計の問題で息継ぎが起きると聞いたことがあるが、色々理由はあるものだ。

802.3の10Base−Tが、細かなファイルを多数送ると、2台しか接続していない環境でも3Mbps。
10MB位の大きなファイル1個で、5Mbps。




129.家庭サーバのセキュリティ確保のために    目 次

セキュリティは一般には難しい。なぜ難しいかは簡単で、あまり大声で原因を言えないからである。言えば、まねする馬鹿者が必ず出てくるから、説明がおざなりになる。

当面、家庭サーバでのセキュリティには2面を考えておく;

 1.侵入;家庭のサーバに入られ、そこを拠点にして、LAN上の他のPCにも入られる。
   この場合、入られるとは、簡単にいえば、ファイル共有などをしていれば、ファイル見放題、消し放題ということ。

 2.盗聴;これは無線LAN以外ではあまり考えられないが、一部のCATVなどでは、CATVケーブルがLANに
   なっているので、他の家庭のPCが見放題になる場合がある。これはむしろ上記1.である。

このほか、メールなどを出すと、

  盗聴/改竄
  成済まし/否認
  ウィルス
  ワーム

などの問題が出る。

1.侵入

思われているほど、そんなに簡単にできることではない。普通の家を狙う泥棒と同じである。侵入するためには鍵=パスワードを手に入れなければならない。
こんな手を使う;
 ・Social Engineeringを使う
 ・辞書を使い、全可能性の試行;exhaustive search

家に入られない為には、鍵をかける。見知らぬ人があなたに近寄ってきて、あなたの家で火が出ているようなので、調べてあげるから鍵を下さい、といわれて、あなたは鍵を渡すだろうか?渡さないに決まっている。ところが、これがパスワードとか、銀行通帳とか、クレジットカードのナンバーとかだと渡してしまうお人よしが世間には一杯いるらしい。銀行から出てきた人を待ち伏せ、銀行員を騙り、今お渡しした通帳にミスをしてしまったので、通帳とハンコを貸してください。すぐ直しますのでと言われて渡してしまう人、電話でISPを騙り、あなたのメールアカウントにウィルスが入ってしまいましたので(どうやったらこんなことができるか知らないが)、IDとパスワードを教えてください、と言われて教えてしまう人、中には、さっき渡したおつりの中に偽札が混じっていたかもしれないので、取り替えるから渡してといわれて、渡してしまう素直な人もいる。こういうことは、不思議なことに後を絶たない。

さて、このやり口をソーシャルエンジニアリング(社会工学)と、詐欺師達は称している。この詐欺師、クラッカー(金庫破り;クラックcrack=破る。普通の英語)とも言う。ハッカーとも呼ぶが、昔、無知な人たちが、そう呼んだため。本来ハッカーは、プログラムの鉄人の意味。

このsocial、社会と言うより、世渡りとか口八丁といってもいいかもしれない。というより直裁に、詐欺と言った方がいい。SocialEngineering=詐欺術である。まあ、詐欺は、社会的現象ではある。なんとなく分かるでしょ。

侵入を止めるには
 ・鍵(錠)をかける
 ・(外錠の)鍵を渡さない

これだけのことである。Webサーバを建てた場合、これは公開しているから鍵(内錠)はかけられない。例えば、Webではなく現実の世界で、あなたの描いた絵を公開したいとする、1日24時間、1年中、あなたの家の客間を公開して、そこに飾る。これでは危なくて仕方ない。どうしてもやりたいなら、庭の一角にプレハブでも建てて、塀に小さなドアをつけ、そこからだけ出入りできるようにしておく。絵を持っていかれたり、落書きされたりしないよう、あなたが付きっ切りで監視してはいられないだろうから、監視カメラとビデオをつけておく(これがlogに相当)。この位は考えるだろう。

他の門や母屋のドアは鍵(内錠)をかける。

もうおわかりだろう。これがパケットフィルタリングである。


Webサーバは普通、80番のポート(門ネ)を開いている。他のポートはとりあえず全部閉じよう(ポートのフィルタリング)。

店を開けている以上、誰(どのIPアドレス)が尋ねてくるかはわからないので、IPアドレスでは、普通、拒否しない。皆、一応対応しなければならない。対応して、80番にきた人は80番にだけ入れてあげる。他のポート、例えば178番に来た人は拒絶する。ただ、顔で(IPアドレスで)常連の泥棒さんであることが分かっていれば、訪ねてきたポート番号など聞く必要はない。いきなりお引取り願う。これがIPアドレスでのフィルターリングである。

基本は鍵をかけて入れない事である。つまり、全ポートを閉じる。高目の(1万円以上)ブロードバンドルータならその機能がある(外からのパケットをfilterする、と謳っているもの。BBRxpはこの点ダメ)。必要に応じていれるようにする。

この鍵、実は正確には内錠である。家の内側からかける錠で、鍵はない。だから、盗まれることも無い。Webサーバの場合、他の部屋(ポート)にはこの内錠をかける。これは非常に安全で堅牢な方式である。普通、絶対、侵入できない。錠が壊れていたり、錠を取り付けているネジが外に出ていて、錠ごと外せたり、ドアが外れる場合は別で、これがOSやアプリのセキュリティホールに相当する。泥棒どもは、こういうことがないかと、ドアをゆすったりするわけである。
なお、Webサーバは開けっ放しであるが、普通は、ReadOnlyのプロトコルだからクラッカーどもも何もしようがない。ところが、HPを変更するには、遠隔からならFTPを使うが、これには鍵=パスワードがいる。ドジなWebMasterだと、このパスワードを自分の部署名とか、passwordとかにしていたりするので破られるのである。

さて、外錠をかけるには鍵がいる。これは内錠ほど堅牢ではない。鍵を盗まれれば泥棒に入られる。泥棒は、いかにしてこの鍵を盗むかに知恵を使う。これがSocialEngineeringである。この場合の鍵とは、パスワードである。

あなたのパスワードが何かを知らなければ、クラッカーも侵入の方法がない。彼らの手口は、

 ・SocialEngineeringを駆使して、聞き出す;上記の手口。
 ・幾つかの簡単な万能合鍵を試す;名前、誕生日、電話番号、住所、guest、password、visitorなど
  これはアンケートなどを装った電話で簡単に聞きだせる。アンケートなんかに答えちゃイカンノデスヨ。
 ・大規模合鍵を使う;一般語辞書、アイドル名辞書、人名辞書など数十万語の辞書を使い、それらを組み合わせ、
  片っ端から試す。
  パスワードに、ryoukoinochiとかmatsutakakoなんてつけたら破って下さいというようなものである。
  クレジットや銀行カードなんて、計算機で自動試行したら、4桁数字だから、0.0...00x秒で破られる。
幸い、これらはインターネット上では使わないし、人間が手でいれるし、3回試したら、ロックされる。

家サーバの場合、このパスワードはメールサーバやFTPサーバで使う。WebサーバのようReadOnlyな使い方(putというwriteメソッドもあるが、大抵は賢明なことに実装していない)なら、危なくないが、SMTPやFTPは、勝手に使われたら危ない。POPなどで、ID(メールアカウント)とパスワードが破られたら、あなたのメールは見放題、消し放題になる!!ことは簡単にわかるでしょ。FTPは、フォルダとファイルの読み書き、作成/削除などができるエクスプローラみたいなものだから、危なくてしかたない。しっかり、パスワードで保護しましょう。SMTPサーバは、昔は認証機能がなかった。だから、誰かが、Telnetでつないで、そこから、スパムメールを発信しまくりであった。SMTPの25番ポートに内錠をかけては意味がない。メールが出せなくなる。それで、外錠を付け、合言葉(パスワード)を知っている相手にだけ外錠を開くことにしたのが、最近のAuthenticatedSMTP:認証機能付きSMTPサーバである。勿論、メーラ側も対応していないと、合言葉を話せない。

外錠が内錠ほど堅牢でないのは、上のように鍵を盗まれる可能性があること。もう一つは、原理的にはパスワードは、必ず破られることである。これは、普通の家には原理的には必ず侵入可能であるということと同じである。バッキンガム宮殿でさえ侵入され、エリザベス女王の部屋にまで泥棒か何かしらないが入り込んだではないか。それが、いやなら、Fortnoxのように、莫大な金をかけて軍隊を投入した厳重警備がいる。

パスワードは、例えば128bitなら、10の38乗程度だから、全数サーチexhaustive searchすれば、いつか一致する。それが、1日か、1万年後かの問題であるが、全部試行するまで、1万年かかったとしても、偶然、最初の一回目で一致してしまうかもしれない。これがパスワードの怖いところである。まあ、しかし、やるしかないし、2重、3重にしておくことも意味がある。

さて、侵入の危険はこの程度である。
 ・内錠をかける(パケットフィルタリング)
 ・外錠をかける(パスワードをかける)
 ・外錠の鍵は誰にも渡さない
 ・でも、合鍵は100億年かかるかもしれないが原理的にはつくることができる。
  偶然、1回で出来てしまうかもしれない。

NAT/IPマスカレード(IP仮面という意味)

実は、もう一つ技術がある。金を隠してしまうことである。外から一切中が見えないようにしておく。これがブロードバンドルータ(BBR)などがやっているNAT/IPマスカレード(IPに仮面をかけて本当の顔を隠す)である。インターネットは、グローバルIPアドレスでしかアクセスできない。パケットを配信するルータが知っているのはこのグローバルIPアドレスだからである。グローバルIPアドレスとは、住所である。ところで、プライベートIPアドレスというものがある。これは、例えば、企画部とか、技術部にあたる。自社の中(LAN)でなら、このアドレスで届くが、世界的(インターネット)には無理である。グローバルアドレスは日本、東京都千代田区霞ヶ関1−x−xのようなもの。これで、世界どこからでも会社まで届く。しかし、企画部御中とだけ書いた郵便物は郵政事業庁には届けようがない。これがプライベートアドレスである。

会社の中から、どこかへ出すときには、その封筒には、グローバルアドレスしか書かないようにする。ただ、会社の郵便室は、その郵便への返事をどの部署に返していいかわからなくなるので、内部記号(適当な空きポート番号)を振っておき、返信には住所とともにそれを書いてもらうようにする。しかし、外からは何がなんだかわからない。この考え方で、内部PCのIPアドレスをマスクするのでマスカレードという。

したがって、BBRを使えば、外からは、内部のPCにアクセスできなくなる。

   インターネット----ADSLモデムなど----BBR--PC--PC--PC

というか、見えない。逆にいえば、内部にサーバを建てても外からその存在さえわからないので、サーバの意味がない。従って、例えば、25番ポート、80番ポートに来たパケットだけは特定の内部PCに回すようにBBRを設定する。これがバーチャルコンピュータ/サーバ機能である。このPCは、外から見えているのと等価である。もし、Webサーバや、メールサーバにバグがいて、Webサーバに書き込みができてしまい、おまけにフォルダ間移動ができてしまうと、非常に怖いことになるし、Webサーバが落ち、OSが見えてしまい、ファイル共有、NFSやSMB、が使えるようになったら、他のPCまで危うい。

コンピュータへの侵入は、パスワードクラッキングだけではない

OSやアプリに虫がいて、過負荷やら、考えられていないエラーが起きると、OSに入ってしまえることがある。いきなり、DOSになって、

C:>

なんて画面になったら、これである(サーバにWindows/DOSを使うかア?という疑問はさておく)。
これは虫なのだから、予め予測できない。予測できれば、虫などにはならない。で、これを狙っていろいろおかしなことをやるクラッカーがいる。land攻撃とか、smurf攻撃とかいろいろの名前が付いている。

ネットワークでは、IPパケットの中の送り元のアドレスを、送り先アドレスや、プライベートアドレスに書き換えたりすると、気が狂って、OSに落ちてしまう実装のネットワークソフトがあるらしい。それで、BBRでは、パケットフィルターリングで、そのドジなソフトにそんなパケットがわたる前に、捨ててしまうようにしておく。

メールサーバの注意

SMTPサーバは、DOS攻撃や、spamメールの温床になる。しかし、サーバである以上、内錠はかけられない。ところが、外錠のないSMTPサーバがある。これは使わない方がいい。SMTP認証を行えるものにすべきである。SMTP認証が使えない場合、POP before SMTP機能がついているものにする。これだと、一度、POPで認証(IDとパスワードをいれる)しないと、そのSMTPサーバではメールを送れないというものである。ArgoSoftのメールサーバは、AuthenticatedSMTPに対応している。最近のメーラも対応しているので、この機能をonにしておくこと。

asmtp.JPG

上はメールサーバArgoSoftのSMTP認証設定の一例の画面。POPと同じにした場合。

ところで、せっかくパスワードで認証して侵入を防ごうとしても、そのパスワードを知られてしまえば何にもならない。詐欺にあって教えてしまったらすぐ変更する。その他、下記の盗聴によって知られてしまうかもしれない。パスワードがそのまま、インターネットを流れてしまうからである。それで暗号化したPOPがAuthenticatedPOPである。POPって、もともとauthenticateするから、これ変な名前だな。本当は、encriptedPOPじゃないかとおもうが。APOP対応メーラとPOPサーバならまあ、安心である。ああ、当然、SMTPも暗号化しておく。

asmtp2.JPG
これはメールクライアントEdMaxのSMTP認証の暗号化の設定。グレーアウトしているが、CRAM−MD5で認証が暗号化option

盗 聴

自宅のPCへの侵入は以上で防いでも、自宅から出て行くパケットを盗み見られる可能性はある。インターネットのどこにでもその可能性はある。10Base2などのバス型LANなら、それにつながる全PCに同じパケットが流れるので、その気になれば、読めてしまう。無線LANなら、もうそんな面倒もいらない。なにしろ電波は放送である。それで、ESS−ID,WEP、MACアドレスフィルターリングなどでアクセス制御、暗号化などをしているのである。

インターネット上の盗聴に対抗するには、PGPなどで暗号化する以外に方法はないだろう。

改竄

盗聴できれば、当然、書き換えして、偽のパケットを流すことが次の段階に来る。これが改竄である。

改竄できれば、他人のIPアドレスを発信元に書いて成済ましができる。このパケットに対する応答パケット−−TCPはコネクション型通信だからかならず応答パケットが返っていく−−は発信元に行ってしまうので、なんらかの方法で予めこれものっとっておく必要がある。

なりすますと、否認を行う。これをしたのはお前だろうと言われても、IPアドレスが自分の物と違うので俺じゃない、と言い張るわけである。

インターネットでは、盗聴→改竄→自分になりすまされる可能性があるので、重要データ、プライバシーデータは流さないのが賢明というものである

ウィルスとワームはもう言うまでもない。知らん人からのメール、差出人が空白のメールは一切開けず、ごみ箱へ

でないと、上に書いたような直接侵入ではなく、内部に味方を作り、これに内錠を開けさせるという手を取られる。いわゆる、トロイの木馬である。メールは、嫌でも門を通さざるを得ない。で、内部に入られてしまう。このメールにスクリプトやら、.exeやらの実行可能なファイルが添付されていて、これを開いてしまうと、知らない間に、BBRのファイアウォールの設定を書き換えられるとか、ファイル共有設定がされるとか、何でもできてしまう。時代劇で、お姫様の行列の荷物の一つに忍者を忍び込ませてお城の中に潜入するというあれである。


その他の具体的な対策

下記はサーバを建てている場合のこと。サーバを建てるということは侵入されることと同義だから、建てない方が良いが、どうしてもと言う場合、下記位は対策する。

サーバを建てていない人は、全IPアドレスからのパケットを破棄にしておく。安物のBBRではそんな機能はないから、下記は何もしなくて良い。 159. 初心者用簡単ADSLセキュリティ確保法 参照

さて、家庭サーバを建てたら、下記の日本のIPアドレス以外は、ブロードバンドルータか、ファイアウォールで、全部シャットアウトしよう。海外と文通していたり、英語のWebサイトを開いていて、海外に公開したい人は別であるが、日本しか関係ない人は海外はシャットアウトしておいて方が無難である。実際、居候のサーバに悪さをしようとしてアクセスしてくるIPアドレスは、全て海外の物であった。日本にもろくでなしは山のようにいるが、60億人より、1.2億に限定しておいた方が、多少は危険度が減る。

JPNIC がネームサーバの管理をしている IPアドレス(1997年1月21日付)

日本のIPアドレス;下記のIPアドレス以外は閉じよう。パケットを破棄する。
ただ、日本のIPアドレスは、アジアパシフィック地域のIPアドレスの部分だから、厳密には下のようにはなっていない。特に、携帯電話キャリア(ドコモ、KDDIなど)のIPアドレスはこの範囲の外にあるものもあり、下の桁が違うと中国辺りと同じになったりする。最初はここ以外を拒絶しておき、後は、少しずつ開いていくよりしかたなさそうだ。
133.0 〜 133.255
192.50.0 〜 192.50.255 
192.218.0 〜 192.218.255
192.244.0 〜 192.244.255
202.11.0 〜 202.11.255
202.13.0 〜 202.13.255
202.15.0 〜 202.19.255
202.23.0 〜 202.26.255
202.32.0 〜 202.35.255
202.48.0 〜 202.48.255
202.208.0 〜 202.255.255
203.136.0 〜 203.141.255
203.178.0 〜 203.183.255
210.128.0 〜 210.175.255

出典; http://www.cc.kurume-it.ac.jp/home/general/sibhome/net/net6.html

下記ポートは閉じよう(というか、Web,メールサーバを建てていなければ、元々全ポート閉じるか、存在しないDMZ PCに転送);モバイルで使いたいと言う人は、閉じられないから、別途、自分でセキュリティを考えよう。
137-139   Microsoftネットワーク共有サービス/クライアント
5900     VNC
20-21     FTP
23       Telnet
110      POP

以下は、他人と関わりたいプロトコルだから、閉じたら、あまり意味がないので、開いておく。

80    HTTP
25    SMTP


セキュリティ(クラッカー対策など)も役にたつよ。
無料ファイアウォール 日本語化キットもどこかにあるよ。
157. ウィルスの話;その本質と対策
159. 初心者用簡単ADSLセキュリティ確保法
  


130.家庭サーバのセキュリティ確保のために: 侵入の手口の実例    目 次

以下は、2002年3月某日、CHINANET Guangdong province(広東県) networkを用いた誰かが居候のPCに侵入しようとした実例のログの一部である。見ている目の前で、侵入していた。ストールのカッコウはコンピュータに卵を産む、(ここにも) だ(当然だが、メール宛先は無関係なのでアドレスは変えてある: xxxyyは存在しない。又、居候の環境は消してある。太字は居候の注。SMTP認証をかけてあるので、このリクエストは拒否された)

02/03/10 4:37:40 - Requested SMTP connection from 61.144.176.191
02/03/10 4:37:40 - ( 15) 220 IsourouMailServer
02/03/10 4:37:41 - ( 15) HELO localhost
02/03/10 4:37:41 - ( 15) 250 Welcome [61.144.176.191]
02/03/10 4:37:42 - ( 15) mail from:kzfqdvk@ms6.hinet.net
02/03/10 4:37:42 - ( 15) 250 Sender "kzfqdvk@ms6.hinet.net" OK...
02/03/10 4:37:43 - ( 15) rcpt to:xxxd@ms1.hinet.net
02/03/10 4:37:43 - ( 15) 550 User not local. Authentication required for relay
02/03/10 4:37:44 - ( 15) rcpt to:xxxeyli@ms1.hinet.net
02/03/10 4:37:44 - ( 15) 550 User not local. Authentication required for relay
02/03/10 4:37:45 - ( 15) rcpt to:xxxg01@ms1.hinet.net
02/03/10 4:37:45 - ( 15) 550 User not local. Authentication required for relay

                ・・・
02/03/10 4:37:46 - ( 15) rcpt to:xxxg3@ms1.hinet.net
02/03/10 4:37:46 - ( 15) 550 User not local. Authentication required for relay
02/03/10 4:37:49 - ( 15) rcpt to:xxxgchou@ms1.hinet.net
02/03/10 4:37:49 - ( 15) 550 User not local. Authentication required for relay
02/03/10 4:37:49 - ( 15) rcpt to:xxxgchyi@ms1.hinet.net
02/03/10 4:37:50 - ( 15) 550 User not local. Authentication required for relay
02/03/10 4:37:50 - ( 15) rcpt to:xxxgj@ms1.hinet.net
02/03/10 4:37:50 - ( 15) 550 User not local. Authentication required for relay
02/03/10 4:37:51 - ( 15) rcpt to:xxxglin@ms1.hinet.net
02/03/10 4:37:51 - ( 15) 550 User not local. Authentication required for relay
02/03/10 4:37:53 - ( 15) rcpt to:xxxgs@ms1.hinet.net
02/03/10 4:37:53 - ( 15) 550 User not local. Authentication required for relay
02/03/10 4:37:54 - ( 15) rcpt to:xxxlee1@ms1.hinet.net
02/03/10 4:37:56 - Error: [10054] Connection reset by peer
02/03/10 4:37:56 - SMTP connection with 61.144.176.191 ended. ID=15

これを見ると、
02/03/10 4:37:40 - Requested SMTP connection from 61.144.176.191
からメールサーバを不正利用しようとしている。自分のサーバを使わず、他のサーバのRelayを利用して、自分のアドレスを隠し、このようにMailingListを用いて、大量のスパムメールを打つ。

02/03/10 4:37:41 - ( 15) HELO localhost
ここでは、当然自分のドメインなど名乗っていない。

02/03/10 4:37:42 - ( 15) mail from:kzfqdvk@ms6.hinet.net
02/03/10 4:37:42 - ( 15) 250 Sender "kzfqdvk@ms6.hinet.net" OK...
Requestは61.144. = chinanet.cn.net/CHINANET Guangdong province network であるのに、差出人ドメインを、hinet.netと偽っている。
IPアドレス、あるいは、ドメインから組織名や管理者を調べる方法は、このHPの先頭 、目次の上参照。

尚、
Error: [10054] Connection reset by peer
A connection was forcibly closed by a peer. This normally results from a loss of the connection on the remote socket due to a timeout or a reboot.

  --http://support.ipswitch.com/kb/WSK-19980714-EM01.htm より



131.MTU,RWINに関するURL    目 次

ここは非常に良い。

../../../SiliconValley-SanJose/7682/editmtu

ここに置いてあるEditMtuはお薦めである

LAN型ADSL(YahooBB)の場合
 MTU=1500
 RWIN = 1460の倍数; 54020  198560など

../../../../../www.geocities.jp/hamdah3502213/osugi/osg.htm
 MTU=1456
 RWIN = 1416の倍数; 56640  192576など





132.素晴らしい暗号化ソフト    目 次

久しぶりにベタ誉めしたいソフトを見つけた。ソフトとは須らくこうあるべしという見本である。難しい事を簡単に!PgPに爪の垢でも煎じて飲ませてやりたいほどのソフトである。

ED




133.Windows95でCGIを使う    目 次

CGIと言っても何しろ、Win95でのことだから、制限がある。CGIプログラミングにはPerlを使う。Perlはインタープリタ言語だから、コンパイラなどは必要ないが、インタープリタがいる。要するに、Perlの命令語を一つ一つ解釈(インタープリート)して、実行するプログラムだね。Perlで書いたCGIプログラム自体は、どこかでフリーソフトをもらってくる。

Perlを稼動させる環境の構築=Perlのインタープリタをインストールするのは多少面倒である。

詳しくは、下記を見てもらうとして、Win95に限って、ここで説明する(というか、自分のメモ)

WindowsでCGI

Win95でPerlを動かす環境は結構面倒である。
尚、以下、WebサーバにはAN HTTPdを使っているものとして説明する。

 1.ActivePerlというPerlのinterpreterをここでダウンロード。

 Windows 95, 98, Me: Windows Installer 2.0+
 Windows 95: DCOM for Windows 95 and MSVCRT

から、Windows Installer 2.0+と、 DCOM for Windows 95(Win98以降には不要)と、 MSVCRT(Win98以降には不要)の3つをダウンロードする。

2.それが済んだら、同じページの右下のほうにNextという矢印があるから、それをクリック。ここでレジスタ(自分のemailなどを登録)する。 Email addressには、自分のemailアドレス、Nameには、名、姓(Tarou Yamada)のように入れる。Companyには個人なら何も入れなくても良い。

済んだら、Next。

3.ActivePerl Windows MSI をクリックしてダウンロード。AS Packageの方は要らない

これで準備はできた。

4. 1.でダウンロードした3つをインストールする。MSVCRTは、既に他の用途でインストール済みかもしれない。その場合、インストール不要だが、バージョンがわからないだろうから、とにかくインストールしてみる。

5.ActivePerl Windows MSI をインストール。

以上で、PerlプログラムをCGIで動かす準備はできた。

6.フリーCGIソフトで必要なものをDLする。

7.ダウンロードしたCGIを自分のホームページの下にフォルダごと置く。
 例えば、E:\mywww\ にindex.htmlがおいてあれば、E:\mywww\chat などとしておけば良い。chatはcgiソフト(例えば、chat.cgi)が入っているフォルダー名。
このCGIを呼ぶには、例えば、上記、index.htmlから呼ぶなら、同じフォルダ(mywww)内にあるから

<a href="./chat/chat.cgi">ちゃっと部屋</a>

のように書いておけば良い。

AN HTTPdのインストールされているフォルダ内にもcgi-binというフォルダがあるが、そちらに入れても良い。その場合、例えば、カウンターなら、

<img src="/cgi-bin/wcnt313/wwwcount.cgi?gif" width=96 height=18 alt="Counter">

のようにパスを通しておく。 /cgi-bin がAN HTTPdのインストールされているフォルダーにあることは、AN HTTPdの設定のエイリアスで指定してある。
ただ、ここに置くことはセキュリティ上問題が無い訳でもないので、止めた方が良い。

8.Webサーバには、AN HTTPdを使っている場合、サーバのCGIの設定はここ。ただし、関係あるのは、7.のエイリアスの設定位である。

Perlのプログラムの先頭には必ず、下記のようなパスが書いてあるが、Windowsでは関係ないので、そのままで良い。

#!/perl/bin/perl

UNIX系OSでは、xx.plというPerlスクリプトを直接実行
できるので、その時に使うPerlインタープリタ(Perl.exe
のようなもの)がどこに居るのかを、パスでOSに教え
なければ、実行ができない。Windowsではそんなこと
はできず、Perl.exeの引数としてxxx.plを渡すから、
この記述は不要なのである。

Windows9xでは、DOS窓を開いて、

  c:¥>C:¥perl¥bin\perl.exe  xxx.pl

として、xxx.plを実行する。

UNIXでは、

c:¥>xxx.pl

で、実行できる(これはDOSのプロンプトだが。。)


9.cgiで日本語を扱うには、jcode.pl という日本語化パッチが必要で、それをcgiと同じフォルダに入れておく。ただし、上のリンクへ行くと、いかにもUNIX使いらしい無造作なFTPサイトになっているので、とっても分かり難い。フリーCGIソフトのものには、既にjcode.plが入っているので、そのままで日本語が使える。comchatは最低限DLしておいた方が良い。



このページの先頭    目 次