[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[connect24h:01631] Re: 状況整理 (ver.2241250)
- To: connect24h@xxxxxxxxxxxxx
- Subject: [connect24h:01631] Re: 状況整理 (ver.2241250)
- From: Eriya Akasaka (赤坂選哉) <eakasaka@xxxxxxxxxx>
- Date: Sat, 24 Feb 2001 19:53:33 +0900
こんばんは、え と申します。
>>>>> In article <200102240619.AA01020@xxxxxxxxxxxxxxxxxxxx>,
On Sat, 24 Feb 2001 15:19:02 +0900
"[connect24h:01614] 状況整理 (ver.2241250)" にて
tadashi nagao <tadashi@xxxxxxxxx> さんは仰りました:
tadashi> 状況もおさまってきたので、(?)
tadashi> これからは、パケットの監視でしょうか?
前回のメール以降のこちらの状況は(抜粋)
Feb 24 15:02:03 Rejected IN filter: TCP 151.196.*.*:21 > 210.230.*.*:21
Feb 24 15:23:43 Rejected IN filter: UDP 210.222.*.*:137 > 210.230.*.*:137
Feb 24 16:47:54 Rejected IN filter: ICMP 61.151.*.* > 210.230.*.* : 8
Feb 24 17:02:25 Rejected IN filter: UDP 210.118.*.*:137 > 210.230.*.*:137
Feb 24 19:18:05 Rejected IN filter: UDP 210.207.*.*:137 > 210.230.*.*:137
な感じでおさまってきたかといえばおさまって
きたみたいですね。
相変わらず韓国方面もあるみたいですが
HUC との関連は不明です。
ただ上記のうち半分位はネットワーク総なめですが、
あとの半分は向うの BBS を見たクライアントの
IP に来ているので何かしら関連があるかもしれないです。
tadashi> ルータごとのログ取得設定、ログの解析ツールの
tadashi> 標準設定、チェックのプログラム(異常を発見したら、
tadashi> どこかにメールを送る等)
tadashi> の簡単な一覧となっているサイトはないでしょうか?
私もあまりよく知らないのでそういうサイトが
あれば知りたいですね。
時間があれば検索エンジンでじっくり探すのですが。
tadashi> ターゲットになりやすいところは、パケットの異常発見
tadashi> ツールをいれておいて、攻撃くらったら連絡だせるように
tadashi> なっているといいですね。
一覧とは違うのですが、ログの読み方などは
http://www.firewall.gr.jp/docs/SD199812/software_text5.html
が比較的まとまっていると思います(UNIX 中心)。
それ以外も
http://www.firewall.gr.jp/docs/
には CERT 自主翻訳などもあり、これから
今回のような事態に備えるために勉強を始める方には
取掛かりの一つにはよいかと思います。
自分なら以前ならば(今もかも) swatch とか
ftp://ftp.stanford.edu/general/security-tools/swatch/
と組み合わせてルータやホストに入れたフィルタソフトに
syslog に書かせて引っかかったものをメールするとか、
簡単なパターンだったら Shell でもいいかもしれません。
対 日本サイトアタック情報掲示版に書きましたように
Windows 系は経験無いので識者の方々にお願いいたします。
--あかさかえりや <eakasaka@xxxxxxxxxx>
<eakasaka@xxxxxxxxxxxxxxxxxxxxxxxxxx>