[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[connect24h:3787] Re: BAD TRAFFIC same SRC/DST
- To: <connect24h@xxxxxxxxxx>
- Subject: [connect24h:3787] Re: BAD TRAFFIC same SRC/DST
- From: "HATO Kunio (Private)" <hato@xxxxxxxxxxxxxxxx>
- Date: Wed, 17 Apr 2002 19:23:33 +0900
はとです。こんばんは。
From: "Toi Yasuhiro(戸井康弘)" <y_toy@xxxxxxxxxxxxxxxxx>
Sent: Wednesday, April 17, 2002 6:07 PM
Subject: [connect24h:3782] BAD TRAFFIC same SRC/DST
> 勤務先のネットワーク(203.bbb.ccc.0/25)上で FreeBSD(98) + snort 1.8.6の
> PCを設置し監視しているのですが、4/13から2,3日毎に SRC/DSTが85.85.85.85
> 及び170.170.170.170のパケットがやってくるようになりました。
そのネットワークにつながっているハブ、スイッチ、ルーター、PC等が
故障等で異常なパケットを出している、という可能性はありませんか?
上記のように推測する理由ですが、
[理由1] IPアドレスが規則的
85(10進数) = 55(16進数)
170(10進数) = AA(16進数)
なので、規則的なアドレスに見えます。異常発生したパケットらしいかと。
# すでに、はまもとさんが指摘されてますね。
[理由2] あて先のIPアドレスが不正なら、そもそもそのネットワークに届かない。
SRC はともかく、DST が 85.85.85.85 や 170.170.170.170 な IP パケットが
203.bbb.ccc.0/25 のネットワークに届くのが、ちょっとおかしいと思います。
# まぁ、ルーティングの設定しだいでは絶対届かないとは言い切れませんが。
仮にアタックだとしても、外部からではなくまず内部の機器を疑ったほうが
よいかと。
[理由3] 似たような事例があります。
7.5 共用端末接続用イーサスイッチの故障によると思われる障害
http://www.qgpop.net/publication/pdf/fukuoka2001/report/7.troubles.kasahara.pdf
勤務時間外などで可能であれば、一台ずつ機器のオンオフを行って、
原因となる機器を特定されるとよいかと。
--------------------------------------------------
波戸 邦夫 <HATO Kunio> hato@xxxxxxxxxxxxxxxx
--------------------------------------------------
--[PR]------------------------------------------------------------------
使ってみたら意外と便利! FreeMLのMyPage
さあ使ってみよう→ http://www.freeml.com/ctrl/html/UserRegForm
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online www.gmo.jp