[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[connect24h:01889] Re: 2 月の不正アクセスのグラフとADSL

富永(ぬわあ)です。

Keiji Takeda さんは書きました:
>そこでうまく一律的な方法で脅威の状態を見る良い指標のようなものが
>ないかなあと考えていたわけなのです.

 なるほど。

 私は毎日以下の方法でログ整理してました。自作のシェルとExcelで。

1. ログのIPアドレスの部分に注目し sort | uniq | wc -l して、何か所から
   攻撃があったかを調べ、
2. 1の sort | uniq で抽出したIPアドレスリストを利用して、そのサイトから
  何回攻撃があったかをgrepで抽出しつつ wc -l して、

   www.xxx.yyy.zzz       23
      aaa.bbb.ccc.ddd       10
      eee.fff.ggg.hhh        8
      iii.jjj.kkk.lll        3

  って感じのリストを1日毎に作るようにする。

3. ログのサービス(ポート)の部分に注目し sort | uniq | wc -l して、攻撃
   されたサービスの一覧を作成し、そのサービスに対して何回の不正アクセス
   があったかも調べています。
   こんなリストも一日毎に作っています。
    ↓
      sunrpc                17
      netbios               14
      ftp                    6
      31789                  6
      domain                 6

 これらにより、どこのサイトからどういう攻撃をしてきてるかはある程度は
把握できています。「このアドレスからこういうツールを使って攻撃してるん
だろうなあ…」ってことは。

-- 
富永道也
tominaga@xxxxxxxxxxxxx