[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[port139ml:02085] Re: すらまー

To: port139ml@xxxxxxxxxxxxx
Subject: [port139ml:02085] Re: すらまー
From: syun <syun@xxxxxxx>
Date: Sun, 26 Jan 2003 11:20:38 +0900

おはようございます。

> どこで読んだか失念したのですが、すらまーは発信元アドレスを
> ランダムに設定し、ランダムな宛先へ送るんですよね？
> 
> とすると、Internet への出口でキャプチャする場合、フィルタ
> 条件としては 1434/udp 宛のすべてをキャプチャになるかと思う
> のですが、内部のどのシステムかを確認するの面倒そうですね。
> ＃境界ルータで IN/OUT 両方 1434/udp を drop したとして...
> 
> 感染ホストと同一セグメントでキャプチャすれば MAC アドレス
> から確認できるかと思いますが、ルータ等の先って？

その場合、普通はルータのMACアドレスが付きますよね。
うちでも大量に来るので、２匹だけ tcpdump で捕獲してみました。

●tcpdumpでとったもの
http://www.baba-lab.com/26JAN2003/1434.dmp

●etherealで可視化したもの
http://www.baba-lab.com/26JAN2003/1434.txt

> MSDE って感染対象でしたっけ？ CodeRed の時みたいに個人の
> ノート PC に感染して内部へ持ち込まれるケースがあるような
> 気がしているのですがどなんでしょ？

ここによれば、
http://www.nai.com/japan/virusinfo/virS.asp?v=W32/SQLSlammer

MSDEは感染対象のようです。
・ Microsoft SQL Server 2000
・ Microsoft Desktop Engine (MSDE) 2000

Follow-Ups:
- [port139ml:02087] Re: すらまー
  - From: Hideaki Ihara

References:
- [port139ml:02077] Re: すらまー
  - From: Hideaki Ihara
- [port139ml:02082] Re: すらまー
  - From: Kanatoko
- [port139ml:02083] Re: すらまー
  - From: Hideaki Ihara

Prev by Date: [port139ml:02084] Re: すらまー
Next by Date: [port139ml:02086] Re: すらまー
Previous by thread: [port139ml:02083] Re: すらまー
Next by thread: [port139ml:02087] Re: すらまー
Index(es):
- Date
- Thread