[stalk:00343] 最近のあやしいパケット

["Katsuro Miyakoda" <katz@xxxxxxxxxxx>]

　みなさん、こんにちは。

　連休を前に、果たして今年は休めるのだろうかと心配です。5月1日から5月7日まで、HUCを中心とした中国グ
ループが、スパイ機関連事件で抗議するため、米国サーバ一斉攻撃週間を開始するとのニュースが入ってきまし
たね。2国以外の国のヤワなサーバ（たとえば日本や韓国のサーバ）も踏み台として一斉攻撃行動に組み込まれ
る可能性は極めて高いのだろうと思います。すると、日本国内のサーバも・・・。

私の関与しているサーバでは主として韓国からの111/tcpと53/tcpが特に目立っています。ちなみに、このマシ
ンはdnsではないので、ここにきた53は全部変なパケットだろうと思います。ごらんのようにsnortを入れるのは
まだこれからです。ログをとりはじめた当初は、不審なアドレスはsamspadeでひとつひとつ確認していたりする
のですが、ずっとやっていると、だんだん疲れますよね。永遠に続くのではないかと思ったりして。

１．不正パケット発信のアドレスの逆引きを自動的に行う仕掛けがないものか
２．過去のログのうまい保存/データベース化方法に使えそうな簡易のアイデアはないか


そんなことを考えて調べている今日このごろ。地道なふだんの監視業務が大切だと自分に言い聞かせています
が、もう少しエレガントに、問題パケットだけをきれいに浮き上がらせる方法はないものかと考えあぐねていま
す。世界中の厨房やクラッカーの犠牲となったサーバを相手にして、このまま永遠にログチェックが続くのは、
なにやら人生の大切な時間を無駄に使っているようで・・・（すみません、グチです）。

んで、honeypodっていうのを最近しらべています。dmzに、そこそこ入りやすいワナのサーバをおいて、まず、
そこに侵入されることを前提に、警戒／警報システムを運用したほうがいいかなあと思ったり。ワナがそのまま
踏み台になって他のサーバに迷惑をかけてしまうということもありうるので、ヘボな運用をすると、なんか、あ
ぶなそうな仕掛けではあります（正直、まだ自信ありません）。

もう一つは、ＣＤＲかなにかにTRIPWIREを焼きこんでおいて、これを1日2回、定期的に実行して問題があったら
関係者の携帯電話メールに緊急警報を出す、というような方法もとろうかとも思いはじめました。

直接的な方法でなくてもけっこうですので、うまい方法があったら関連リンクだけでも教えてください。お願い
します。

P.S.
以下は私の方で不正アクセスの試みとして取り出したログです。みなさんのサーバにもこれと同じアドレスから
同様なパケットがきているのではないかと想像します。ご参考までにご覧ください。

Apr 19 17:15:00 server tcplog[236]: port 111 connection attempt from 211.220.193.234:4893
Apr 20 01:03:09 server tcplog[236]: port 53 connection attempt from 210.95.4.125:2529
Apr 20 04:18:35 server tcplog[236]: port 98 connection attempt from 211.239.90.198:2125
Apr 20 05:38:30 server tcplog[236]: port 515 connection attempt from 211.238.32.2:1449
Apr 20 06:14:12 server tcplog[236]: port 111 connection attempt from 210.204.150.75:1198
Apr 20 08:28:33 server tcplog[236]: port 111 connection attempt from 211.220.193.234:1335
Apr 20 12:29:16 server tcplog[236]: port 111 connection attempt from 211.185.115.227:2388
Apr 20 13:45:44 server tcplog[236]: port 111 connection attempt from 211.251.175.129:2802
Apr 20 16:51:40 server tcplog[5975]: port 25 connection attempt from 211.9.131.20:2260
Apr 21 01:11:05 server tcplog[236]: port 53 connection attempt from 196.12.47.24:4532
Apr 21 01:05:42 server tcplog[236]: port 111 connection attempt from 211.185.115.227:3098
Apr 21 04:18:12 server tcplog[236]: port 53 connection attempt from sabre.jetplan.com:53
Apr 21 18:09:56 server tcplog[236]: port 111 connection attempt from 211.114.51.137:2244
Apr 21 23:18:23 server tcplog[236]: port 111 connection attempt from 210.243.197.211:4609
Apr 21 23:29:07 server tcplog[236]: port 111 connection attempt from 211.251.212.1:1230
Apr 21 23:18:23 server tcplog[236]: port 111 connection attempt from210.243.197.211:4609
Apr 22 08:17:29 server tcplog[236]: port 111 connection attempt from 211.250.245.67:4215
Apr 22 12:47:24 server tcplog[236]: port 12345 connection attempt from 211.177.42.196:2788
Apr 22 14:37:29 server tcplog[236]: port 53 connection attempt from
rr-56-40-145.atl.mediaone.net:3794

--
- このメイリングリストに関する質問・問い合せ等は
- <security-talk@xxxxxxxxxx>までお知らせください
--
------------------------------------------------------------------------
◆ 「パワーアップ！検索エンジン30万馬力キャンペーン」開催中！（5/2マデ）
　　　　　　　 http://www.infoseek.co.jp/ISCamp?svx=971122