[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[connect24h:03540] Re: dns に関するパケットのログについて
- To: <connect24h@xxxxxxxxxxxxxxxxxxxx>
- Subject: [connect24h:03540] Re: dns に関するパケットのログについて
- From: Shikap <shikap@xxxxxxxxxxxx>
- Date: Thu, 19 Jul 2001 12:26:33 +0900
しかPです。
on 01.7.19 0:00 PM, 山中 慎一 at y-shin@xxxxxxxxxxxxxxxxxx wrote:
> ログの内容
> (1)input DENY eth0 PROTO=17 aaa.bbb.ccc.ddd:937 eee.fff.ggg.hhh:53
> (1)input DENY eth0 PROTO=17 aaa.bbb.ccc.ddd:937 eee.fff.ggg.hhh:53
> (2)input DENY eth0 PROTO=17 aaa.bbb.ccc.ddd:945 eee.fff.ggg.iii:53
> (2)input DENY eth0 PROTO=17 aaa.bbb.ccc.ddd:945 eee.fff.ggg.iii:53
> (3)input DENY eth0 PROTO=17 jjj.kkk.lll.mmm:53 eee.fff.ggg.iii:53
>
(SNIP)
>
> (1)(2)に関しては、7/18の21時29分から21時31分の間だけのアクセスだったので
> 不正なアクセスと思っているのですがどうでしょうか?
一部のOS(つか、リゾルバ)は、1023以下のポートでdnsを引きにいくようです。
私の経験ではWin2000とLinuxがそうでした。
#ただ単に設定が悪いと言われればその通りなんでしょうけれど・・・・
#面倒だからチェックはしていません。
と言うわけで、不正アクセスであると決めつけることはできないかと思います。
> (3)に関しても、送信元が使用しているポート番号が気になっています。
> 現在は、eee.fff.ggg.hhh:53当てのパケットは通し、eee.fff.ggg.iii:53当ての
> パケットは止めています。
この話題(53<->53)はsnort-users-MLでも話題になっていました。
たしか、そう言う場合もある、と言う話に落ち着いていたかと。
#あやふやです。手元にログがないし、あさる根性もないし(^^;
#盛り上がっていたのは、たしかMACアドレスも変じゃない?って話題もついて
#いたからだったかもしれません。
#お暇でしたら、snort-users-MLのアーカイブをひろってください。
#http://www.geocrawler.com/redir-sf.php3?list=snort-users
絶対とは言いませんが、不正アクセスの可能性は高くないと思います。
落ち着いて、その周囲のログを見てみましょう。
あーんど、間違った認識だったら突っ込んでください>ALL
--
============================
鹿田 幸治 Koji.Shikata
E-Mail:shikap@xxxxxxxxxxxx
snortパッチ公開中:http://www.yk.rim.or.jp/‾shikap/patch/
============================
------------------------------------------------------------------------
えっ、友達とのペアで毎日100万円が当たるチャンス! 楽ぴた倶楽部
http://www.rakupita.ne.jp/