1998年11月14日(土)
<< 前の日記 | 次の日記 >>
これまでの11月14日
編集
■1アドレス空間総当たり
Tweet
昨日はかなり派手なスキャンを受けました。アドレス空間総当たりだった様です。
普通はスキャンをやる時は目立たない様に色々と注意を払います。発覚して管理者に連絡されたりすると、例え踏み台を使って攻撃していても、貴重な踏み台を失うからです。
ゾーン転送を使っての探索にしてもアドレス総当たり探索にしても、順序通りにはやらずに広大な空間を離散的に探索する等の方法を使って、ログをチェックした時になるべく不審に思われない様に細工したりします。例えば、192.168.0.1, 192.168.2.2, 192.168.2.3 という順序でログに記載されていれば、これは当然スキャンを疑うわけですが、間に時間が空いていれば気づかないで見逃す確率は大きくなります。この間は全く違うアドレス空間をスキャンしている訳です。
これに対応するためには、ログは少なくとも2週間程度保存したいところです。Webサーバのログは1日でも相当の量になりますから、不審なアクセスのみ(phfのスキャン等)を切り出すスクリプトを用意して蓄積しておくと良いでしょう。
ところが、最近は踏み台になるようなホストがごろごろ転がっているのかあるいはスキャンに気づいても連絡しない人が多いのか、非常にアグレッシブなスキャンを掛けてくることが多くなった気がします。まさに絨毯爆撃といった感じです。
ウチの上流プロバイダはOCNなのですが、OCNのアドレス空間は、
普通はスキャンをやる時は目立たない様に色々と注意を払います。発覚して管理者に連絡されたりすると、例え踏み台を使って攻撃していても、貴重な踏み台を失うからです。
ゾーン転送を使っての探索にしてもアドレス総当たり探索にしても、順序通りにはやらずに広大な空間を離散的に探索する等の方法を使って、ログをチェックした時になるべく不審に思われない様に細工したりします。例えば、192.168.0.1, 192.168.2.2, 192.168.2.3 という順序でログに記載されていれば、これは当然スキャンを疑うわけですが、間に時間が空いていれば気づかないで見逃す確率は大きくなります。この間は全く違うアドレス空間をスキャンしている訳です。
これに対応するためには、ログは少なくとも2週間程度保存したいところです。Webサーバのログは1日でも相当の量になりますから、不審なアクセスのみ(phfのスキャン等)を切り出すスクリプトを用意して蓄積しておくと良いでしょう。
ところが、最近は踏み台になるようなホストがごろごろ転がっているのかあるいはスキャンに気づいても連絡しない人が多いのか、非常にアグレッシブなスキャンを掛けてくることが多くなった気がします。まさに絨毯爆撃といった感じです。
ウチの上流プロバイダはOCNなのですが、OCNのアドレス空間は、
- ある程度固まっている
- ネームサーバやルータのアドレスが分かりやすい
- 管理者の経験が浅いところが多い
■ 関連記事
- tacnewsってなに?2000-04-28
- RTA54iでVPN2001-12-26
- ブロードバンドルータの設定2003-01-07
- PPPoEサーバ2001-12-28
- 上流ネットワークの構造2000-06-14
- 某プロバイダからのアタック(1)1998-10-19
- IEEE OUI and Company_id Assignments2001-11-03
- ポートスキャン1998-11-11
- ログをみてあわてる2000-04-06
- 続・SC4202005-06-15
- bindへのpoisoning2002-03-04
- 今日のお客さん1998-11-09
- TTSSHのポートフォワーディング2002-01-15
- 大学からのアタックの話1998-10-21
- ログから2001-12-21