【製品情報】Mobile
Beholder:簡易ネットワーク管理/調査支援ツール公開(2008/05/28)
【技術メモ】DDoS 攻撃的な
SMTP 接続の分析を掲載(2007/08/13)
【技術メモ】Beholder
を利用したサイトへのアクセス動向の分析を掲載(2007/08/08)
【お知らせ】ウェブサイトを刷新(2007/08/02)
Beholder を利用したサイトへのアクセス動向の分析
今回は、Beholder の IPログ・モジュールの結果を利用して、 本サイトへのアクセスを簡単に分析してみます。 利用するログは、2007年4月1日から2007年7月31日までの TCP と UDP のパケットヘッダに基づいたログです。 以下が、本サイトにアクセスのあった国の上位10件です。 ただし、日本からのアクセスは除いています。
米国
中国
台湾
韓国
アルゼンチン
ドイツ
インド
フランス
英国
ブラジル
以下、各国毎の接続ポート番号の上位5件とショートコメントです。 なお、日本国内からしかメールを受信することはないので、 海外からのメールは全て迷惑メールとして扱っています。 また、ポート毎の脆弱性の内容の調査には、 CVE - Common Vulnerabilities and Exposures を利用しています。
| ポート番号 | アクセス数 |
|---|---|
| 25 | 4,885 |
| 139 | 347 |
| 1026 | 304 |
| 445 | 303 |
| 5900 | 214 |
迷惑メールの送信を目的とした SMTP 接続がトップ。 139 番と 445 番は Windows の NETBIOS 関係の脆弱性を狙ったもの。 1026 番は Windows Messaging サービスの脆弱性を狙ったもの。 5900 番は RealVNC/UltraVNC の脆弱性を狙ったもの。 迷惑メール以外は Windows の脆弱性を狙ったスキャンだけ。
| ポート番号 | アクセス数 |
|---|---|
| 25 | 7,130 |
| 8080 | 792 |
| 22 | 677 |
| 1434 | 604 |
| 135 | 574 |
やはり、迷惑メールの送信を目的とした SMTP 接続がトップ。 8080 番は公開 Proxy Server を探しているのか。 22 番は SSH の総当たり攻撃と思われる。 1434 番と 135 番は Windows SQL Monitor と Windows Location Service の脆弱性を狙ったもの。 特に、1434 番は Slammer Worm に利用されるようなので、現役で活動中か?
| ポート番号 | アクセス数 |
|---|---|
| 135 | 1,539 |
| 25 | 943 |
| 445 | 568 |
| 139 | 500 |
| 1080 | 333 |
上位2国と違い 135 番がトップ。 しかし、迷惑メールの送信を目的とした SMTP 接続は上位を保持。 その他、Windows 関係の脆弱性を狙った攻撃。 1080 番は socks で利用されるポート番号であるが、 それの脆弱性を突いているのか、 あるいは公開 Proxy Server を探しているのか。 今回利用したログだけでは判断ができない。
| ポート番号 | アクセス数 |
|---|---|
| 25 | 1,464 |
| 139 | 542 |
| 5900 | 197 |
| 4899 | 122 |
| 1433 | 83 |
ここでは、迷惑メールの送信を目的とした SMTP 接続がトップに返咲き。 目新しいのは、4899 番へのアクセス。 これは、Windows RPC インタフェースの脆弱性を狙ったものだろう。 それ以外は、他国と同じ、RealVNC/UltraVNC と Windows SQL Server と NETBIOS 関係の脆弱性を狙ったもの。
| ポート番号 | アクセス数 |
|---|---|
| 25 | 1,603 |
| 445 | 27 |
| 139 | 21 |
| 22 | 20 |
| 4899 | 12 |
やはり、迷惑メールの送信を目的とした SMTP 接続がトップ。 22 番の SSH 以外は、Windows 関係の脆弱性を狙ったものばかり。 また、アクセスの大半が迷惑メール送信目的なのが分かる。 大量の PC が Zombie マシンとして Bot ネットワークを構築しているのか?
| ポート番号 | アクセス数 |
|---|---|
| 25 | 661 |
| 445 | 82 |
| 139 | 75 |
| 5900 | 69 |
| 22 | 30 |
迷惑メールの送信を目的とした SMTP 接続がトップ。 すでに、目新しいアクセスはない。 RealVNC/UltraVNC の脆弱性と SSH の総当たり攻撃がここでもランクイン。
| ポート番号 | アクセス数 |
|---|---|
| 135 | 1,457 |
| 25 | 784 |
| 5900 | 211 |
| 2967 | 162 |
| 445 | 152 |
台湾と同様、135 番へのアクセスがトップ。 相変わらず、迷惑メールの送信を目的とした SMTP 接続が上位。 目新しいのは、2967 番ポートへのアクセス。 これは、Symantec Enterprise Security Manager のリモートアップデートに対する脆弱性を突くワームらしい。 ここでも、RealVNC/UltraVNC の脆弱性への攻撃がランクイン。
| ポート番号 | アクセス数 |
|---|---|
| 25 | 880 |
| 139 | 122 |
| 445 | 69 |
| 22 | 38 |
| 5900 | 35 |
迷惑メールの送信を目的とした SMTP 接続がトップ。 順番は違うが、ドイツと同一のランキング。 隣接国は似るのか?ちょっとだけ興味深い。
| ポート番号 | アクセス数 |
|---|---|
| 25 | 831 |
| 139 | 41 |
| 445 | 36 |
| 5900 | 34 |
| 4899 | 12 |
迷惑メールの送信を目的とした SMTP 接続がトップ。 4899 番へのアクセスを除けば、フランスと同じ傾向。 つまり、SSH の総当たり攻撃の代わりに、 Windows RPC インタフェースの脆弱性への攻撃がランクイン。
| ポート番号 | アクセス数 |
|---|---|
| 25 | 1,300 |
| 22 | 42 |
| 445 | 40 |
| 139 | 38 |
| 5900 | 36 |
迷惑メールの送信を目的とした SMTP 接続がトップ。 ここも、順番は違うが、ドイツと同一のランキング。 アルゼンチン同様、アクセスの大半が迷惑メール送信目的なのが分かる。 やはり、南米の PC は Zombie マシンで Bot ネットワークを構築しているのか?
| ポート番号 | 内容 | 接続元の国 |
|---|---|---|
| 22 | SSH 総当たり攻撃 |
|
| 25 | 迷惑メール配信 |
|
| 135 | Windows の脆弱性 |
|
| 139 | Windows の脆弱性 |
|
| 445 | Windows の脆弱性 |
|
| 1026 | Windows Messaging サービスの脆弱性 |
|
| 1080 | socks の脆弱性? |
|
| 1433 | Slammer Worm |
|
| 1434 | Slammer Worm |
|
| 2967 | Symantec Enterprise Security Manager のリモートアップデートの脆弱性 |
|
| 4899 | Windows RPC インタフェースの脆弱性 |
|
| 5900 | RealVNC/UltraVNC の脆弱性 |
|
| 8080 | 公開 Proxy Service の探索? |
|
なお、日本の場合は次のような結果となりました。
| ポート番号 | アクセス数 |
|---|---|
| 138 | 23,040 |
| 25 | 3,476 |
| 22 | 339 |
| 2967 | 194 |
| 445 | 147 |
他国との違いは、138番ポートへの異常なアクセス数と 2967番ポートへのアクセス。 2967番ポートへのアクセスは、国外からはインドからしかアクセスがなく、 国内からで 2事例目となる。 他の国では、Symantec の製品は普及していないのか。 そういう理由ではない?
ところで、桁違いのアクセスの 138 番ポートですが、 実際にどこからアクセスしているのかを調べてみました。
| IPアドレス | アクセス数 |
|---|---|
| 59.106.21.81 | 11,521 |
| 59.106.21.57 | 11,519 |
どうやらサイトと同じネットワーク上のマシンから ほぼ同一の数だけのアクセスがあったようです。 これらのマシンの OS が Windows か何かは分かりませんが、 138 番宛のパケットをグローバル IP アドレスに流すのは意味があるのでしょうか。
以上、ここまで Beholder のデータの利用事例として、 収集したログを利用したサイトへのアクセス動向を見てきました。 Beholder のログには、今回利用していないデータもあります。 これらのデータを組み合わせることで、さらに多角的な分析ができます。 TCP フラグのデータを使えば、ポートスキャンによる接続なのか、 また正しい手順での接続なのか、なども分かります。 ICMP パケットのデータと併用すると、攻撃前の予兆動作も相関づけられます。 サーバやネットワークのアクセス動向を知るために、 Beholder を利用してはどうでしょうか。
製品紹介
TrickBSDTM
ネットワーク用途向けコンパクトフラッシュ版 FreeBSD
KoboldTM
IPv4アドレスから国名を検索するC言語用ライブラリ
BeholderTM
出力モジュールを拡張可能なパケットキャプチャとネットワークツール
ここまで見ると、 地域毎のアクセス動向や脆弱性への攻撃の傾向が見えて来そうです。 そこで、ポート番号別に接続元の国をまとめてみました。 迷惑メールの配信は10ヶ国全部で、 Windows の脆弱性のあるポートは既に攻撃のための標準スキャン対象のようです。 また、この期間の傾向は、 SSH の総当たり攻撃と RealVNC/UltraVNC の脆弱性への攻撃と考えられます。
さらに、国毎にちょっとした特色がでています。 米国では、Windows Messaging サービスの脆弱性に対するアクセスが多いですが、 これは Instant Messanger の利用が多いとの調査報告もあったので納得できます。 以前、中国と韓国の PC は非正規版の Windows が多く、 Windows Update ができなくウィルスなどに感染したままとの調査報告を見た気がします。 これが影響しているのか分かりませんが、 中国と韓国は、まだ、Slammer Worm が蔓延しているのか、 それぞれ 1434 番と 1433 番にアクセスがあります。