[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[connect24h:01890] Re: 2 月の不正アクセスのグラフとADSL
- To: connect24h@xxxxxxxxxxxxx
- Subject: [connect24h:01890] Re: 2 月の不正アクセスのグラフとADSL
- From: Seiichi Nakashima <nakasei@xxxxxxxxxxxx>
- Date: Fri, 02 Mar 2001 17:11:46 +0900
中島です。
>
>武田圭史です.
>
>同じくMLに返答します.問題がありましたらご指摘ください.
>
>ご説明ありがとうございました.
>
>多分用途や監視の対象によると思うのですが,ポート1-1024までの
>スキャン行為が行われた場合数は1024ということになってしまったりするので,
>たとえば二つのサイトを比較したり,あるいは時間的な脅威の変化を見たい
>ときなどには数の変化というのがうまく指標としては使えないかなあと
>思っています.
>そこでうまく一律的な方法で脅威の状態を見る良い指標のようなものが
>ないかなあと考えていたわけなのです.
>
個人的な意見ですが、
攻撃側のIP-address, 自部門のIP-address, パケットの種類(TCP,UDP等), ポート番号で
分類等をすることが必要です。一律にスキャンの数での比較は難しいと考えます。
自部門で管理しているIP-address数とスキャンログ量は比例するのではないでしょうか。
今回ののbind乗っ取りツールは、bind( 53, UPDorTCP? )が動作しているIP-addressへ
パケットを送られるとアウトになるので、53を探しているスキャンが対象でしょう。
しかし、これ以外の手法で被害を受けたサイトもあると思います。これら被害の手口が
わかるのであれば、該当ポートを探しているログを集めることで絞込みはできます。
被害を受けたサイトを調べることができれば、手口に関する調査はできそうですが、
現実問題として難しいと考えます(クラック分析の専門家にお願いする領域かな?)。
現段階では、攻撃をしているグループがいくつあるのかも明確ではないうえに、
(私には)手口もわからない状況なので、過去のスキャンデータを集めて分析をすることが
できることだと認識しています。時間の経過と共にログを集めることは難しくなるので
実施するのであれば早いほうが良いでしょう。ログを集めるのは難しいことです。
収集ができた段階で、上記4つの項目を分類・整理して、攻撃のグループ数,手口を
推測することができます(上記項目に他に必要な項目があれば指摘願います)。
また、分析の結果、踏み台サイトが見つかった場合には、正常な状態に戻す努力も
必要なことです。
>tominaga michiya san wrote on Fri, 02 Mar 2001 15:28:55 +0900
>> 私の不正アクセスの定義は、「Firewallにて drop となったもの」を扱いま
>>した。reject も含めたほうがよいでしょうかねぇ?
>> 故意か過失かわかりませんが、許可していないポートに対してアクセスがあ
>>った場合は「不正」と処理しています。
>>
>> 「数」については、ログに記された一行(改行まで)を一件としてカウントし
>>ました。
>
>Keiji Takeda ( http://www.sfc.keio.ac.jp/~keiji/ )
>
------------------------------
Name : Seiichi Nakashima
E-Mail : nakasei@xxxxxxxxxxxx
------------------------------