【製品情報】Mobile Beholder:簡易ネットワーク管理/調査支援ツール公開(2008/05/28)
【技術メモ】DDoS 攻撃的な SMTP 接続の分析を掲載(2007/08/13)
【技術メモ】Beholder を利用したサイトへのアクセス動向の分析を掲載(2007/08/08)
【お知らせ】ウェブサイトを刷新(2007/08/02)

Beholder を利用したサイトへのアクセス動向の分析

今回は、Beholder の IPログ・モジュールの結果を利用して、 本サイトへのアクセスを簡単に分析してみます。 利用するログは、2007年4月1日から2007年7月31日までの TCP と UDP のパケットヘッダに基づいたログです。 以下が、本サイトにアクセスのあった国の上位10件です。 ただし、日本からのアクセスは除いています。

  1. America米国
  2. China中国
  3. Taiwan台湾
  4. Korea韓国
  5. Argentineアルゼンチン
  6. Germanyドイツ
  7. Indiaインド
  8. Franceフランス
  9. United Kingdom英国
  10. Brazilブラジル

以下、各国毎の接続ポート番号の上位5件とショートコメントです。 なお、日本国内からしかメールを受信することはないので、 海外からのメールは全て迷惑メールとして扱っています。 また、ポート毎の脆弱性の内容の調査には、 CVE - Common Vulnerabilities and Exposures を利用しています。

1. 米国
ポート番号アクセス数
254,885
139347
1026304
445303
5900214

迷惑メールの送信を目的とした SMTP 接続がトップ。 139 番と 445 番は Windows の NETBIOS 関係の脆弱性を狙ったもの。 1026 番は Windows Messaging サービスの脆弱性を狙ったもの。 5900 番は RealVNC/UltraVNC の脆弱性を狙ったもの。 迷惑メール以外は Windows の脆弱性を狙ったスキャンだけ。

2. 中国
ポート番号アクセス数
257,130
8080792
22677
1434604
135574

やはり、迷惑メールの送信を目的とした SMTP 接続がトップ。 8080 番は公開 Proxy Server を探しているのか。 22 番は SSH の総当たり攻撃と思われる。 1434 番と 135 番は Windows SQL Monitor と Windows Location Service の脆弱性を狙ったもの。 特に、1434 番は Slammer Worm に利用されるようなので、現役で活動中か?

3. 台湾
ポート番号アクセス数
1351,539
25943
445568
139500
1080333

上位2国と違い 135 番がトップ。 しかし、迷惑メールの送信を目的とした SMTP 接続は上位を保持。 その他、Windows 関係の脆弱性を狙った攻撃。 1080 番は socks で利用されるポート番号であるが、 それの脆弱性を突いているのか、 あるいは公開 Proxy Server を探しているのか。 今回利用したログだけでは判断ができない。

4. 韓国
ポート番号アクセス数
251,464
139542
5900197
4899122
143383

ここでは、迷惑メールの送信を目的とした SMTP 接続がトップに返咲き。 目新しいのは、4899 番へのアクセス。 これは、Windows RPC インタフェースの脆弱性を狙ったものだろう。 それ以外は、他国と同じ、RealVNC/UltraVNC と Windows SQL Server と NETBIOS 関係の脆弱性を狙ったもの。

5. アルゼンチン
ポート番号アクセス数
251,603
44527
13921
2220
489912

やはり、迷惑メールの送信を目的とした SMTP 接続がトップ。 22 番の SSH 以外は、Windows 関係の脆弱性を狙ったものばかり。 また、アクセスの大半が迷惑メール送信目的なのが分かる。 大量の PC が Zombie マシンとして Bot ネットワークを構築しているのか?

6. ドイツ
ポート番号アクセス数
25661
44582
13975
590069
2230

迷惑メールの送信を目的とした SMTP 接続がトップ。 すでに、目新しいアクセスはない。 RealVNC/UltraVNC の脆弱性と SSH の総当たり攻撃がここでもランクイン。

7. インド
ポート番号アクセス数
1351,457
25784
5900211
2967162
445152

台湾と同様、135 番へのアクセスがトップ。 相変わらず、迷惑メールの送信を目的とした SMTP 接続が上位。 目新しいのは、2967 番ポートへのアクセス。 これは、Symantec Enterprise Security Manager のリモートアップデートに対する脆弱性を突くワームらしい。 ここでも、RealVNC/UltraVNC の脆弱性への攻撃がランクイン。

8. フランス
ポート番号アクセス数
25880
139122
44569
2238
590035

迷惑メールの送信を目的とした SMTP 接続がトップ。 順番は違うが、ドイツと同一のランキング。 隣接国は似るのか?ちょっとだけ興味深い。

9. 英国
ポート番号アクセス数
25831
13941
44536
590034
489912

迷惑メールの送信を目的とした SMTP 接続がトップ。 4899 番へのアクセスを除けば、フランスと同じ傾向。 つまり、SSH の総当たり攻撃の代わりに、 Windows RPC インタフェースの脆弱性への攻撃がランクイン。

10. ブラジル
ポート番号アクセス数
251,300
2242
44540
13938
590036

迷惑メールの送信を目的とした SMTP 接続がトップ。 ここも、順番は違うが、ドイツと同一のランキング。 アルゼンチン同様、アクセスの大半が迷惑メール送信目的なのが分かる。 やはり、南米の PC は Zombie マシンで Bot ネットワークを構築しているのか?

ここまで見ると、 地域毎のアクセス動向や脆弱性への攻撃の傾向が見えて来そうです。 そこで、ポート番号別に接続元の国をまとめてみました。 迷惑メールの配信は10ヶ国全部で、 Windows の脆弱性のあるポートは既に攻撃のための標準スキャン対象のようです。 また、この期間の傾向は、 SSH の総当たり攻撃と RealVNC/UltraVNC の脆弱性への攻撃と考えられます。

さらに、国毎にちょっとした特色がでています。 米国では、Windows Messaging サービスの脆弱性に対するアクセスが多いですが、 これは Instant Messanger の利用が多いとの調査報告もあったので納得できます。 以前、中国と韓国の PC は非正規版の Windows が多く、 Windows Update ができなくウィルスなどに感染したままとの調査報告を見た気がします。 これが影響しているのか分かりませんが、 中国と韓国は、まだ、Slammer Worm が蔓延しているのか、 それぞれ 1434 番と 1433 番にアクセスがあります。

ポート番号内容接続元の国
22 SSH 総当たり攻撃 中国 アルゼンチン ドイツ フランス ブラジル
25 迷惑メール配信 米国 中国 台湾 韓国 アルゼンチン ドイツ インド フランス 英国 ブラジル
135 Windows の脆弱性 中国 台湾 インド
139 Windows の脆弱性 米国 台湾 韓国 アルゼンチン ドイツ フランス 英国 ブラジル
445 Windows の脆弱性 米国 台湾 アルゼンチン ドイツ インド フランス 英国 ブラジル
1026 Windows Messaging サービスの脆弱性 米国
1080 socks の脆弱性? 米国 台湾
1433 Slammer Worm 韓国
1434 Slammer Worm 中国
2967 Symantec Enterprise Security Manager のリモートアップデートの脆弱性 インド
4899 Windows RPC インタフェースの脆弱性 韓国 アルゼンチン 英国
5900 RealVNC/UltraVNC の脆弱性 米国 韓国 ドイツ インド フランス 英国 ブラジル
8080 公開 Proxy Service の探索? 中国

なお、日本の場合は次のような結果となりました。

日本
ポート番号アクセス数
13823,040
253,476
22339
2967194
445147

他国との違いは、138番ポートへの異常なアクセス数と 2967番ポートへのアクセス。 2967番ポートへのアクセスは、国外からはインドからしかアクセスがなく、 国内からで 2事例目となる。 他の国では、Symantec の製品は普及していないのか。 そういう理由ではない?

ところで、桁違いのアクセスの 138 番ポートですが、 実際にどこからアクセスしているのかを調べてみました。

IPアドレスアクセス数
59.106.21.8111,521
59.106.21.5711,519

どうやらサイトと同じネットワーク上のマシンから ほぼ同一の数だけのアクセスがあったようです。 これらのマシンの OS が Windows か何かは分かりませんが、 138 番宛のパケットをグローバル IP アドレスに流すのは意味があるのでしょうか。

以上、ここまで Beholder のデータの利用事例として、 収集したログを利用したサイトへのアクセス動向を見てきました。 Beholder のログには、今回利用していないデータもあります。 これらのデータを組み合わせることで、さらに多角的な分析ができます。 TCP フラグのデータを使えば、ポートスキャンによる接続なのか、 また正しい手順での接続なのか、なども分かります。 ICMP パケットのデータと併用すると、攻撃前の予兆動作も相関づけられます。 サーバやネットワークのアクセス動向を知るために、 Beholder を利用してはどうでしょうか。

製品紹介

TrickBSDTM

ネットワーク用途向けコンパクトフラッシュ版 FreeBSD

KoboldTM

IPv4アドレスから国名を検索するC言語用ライブラリ

BeholderTM

出力モジュールを拡張可能なパケットキャプチャとネットワークツール

ManticoreTM

接続元の国毎にアクセス制御 を行うための Postfixmilter