【製品情報】Mobile Beholder:簡易ネットワーク管理/調査支援ツール公開(2008/05/28)
【技術メモ】DDoS 攻撃的な SMTP 接続の分析を掲載(2007/08/13)
【技術メモ】Beholder を利用したサイトへのアクセス動向の分析を掲載(2007/08/08)
【お知らせ】ウェブサイトを刷新(2007/08/02)

DDoS 攻撃的な SMTP 接続の分析

2007年8月10日、cron からの daily report で SMTP 接続が異常な数に上っていることに気づきました。 メールのログを調べてみると、2007年8月9日午前0時から始まっていました。 そこで、 この普段とは違う異常な SMTP 接続がどの程度続くのか観測してみました。

2007年8月12日まで観測した結果、ほぼ2日間続いたことが分かりました。 以下が Beholder の RRDtool モジュールで観測していたデータから作成した 2007年8月6日から12日までの 一週間のグラフです。9日深夜から SMTP 接続が増加し、 9日の 16:00 以降に急増したのが分かります。 2007/08/06-2007/08/12 のメールの流量

なお、上のグラフで、recv となっているのは pop3 と imap のサービスへの接続、 send が smtp と submission のサービスへの接続を表しています。

次に、原因を究明するため 9日から11日までの maillog を分析してみました。 結果は、magickworx.com のデタラメなユーザ名宛のメール送信によるものでした。 maillog には、 "Recipient address rejected: User unknown in local recipient table" エラーが、127,440 件も記録されていました。 上位10件の宛先は次のようなユーザ名でした。 ユーザ名は、全部で 13,530通りありました。

Unknwon user(上位10件)
メールアドレス総数
Glantzgcjb@magickworx.com1357
Colby_ott@magickworx.com1256
GemmyMarcancola@magickworx.com1232
Busch@magickworx.com1199
lydiaPuck@magickworx.com1146
nazif@magickworx.com1103
Melgarihxmu@magickworx.com1096
eskoGater@magickworx.com1057
petrov868@magickworx.com1055
Bossefradina@magickworx.com969

"reject" された接続元の IP アドレスは、 全部で 8,427 ホストでした。 以下、接続元の IP アドレスとネットワーク・アドレス毎に、 それぞれ上位10件のデータを示します。 IP アドレスの上位とネットワーク・アドレスの上位とは、 単純に一致するものではないようです。

接続元 IP アドレス(上位10件)
国名IPアドレスホスト名総数
Indiaインド 202.138.126.240 unknown 1844
New Zealandニュージーランド 219.89.125.197 219-89-125-197.adsl.xtra.co.nz 1357
Antigua and Barbudaアンティグア・バーブーダ 209.59.66.30 mail.acbonline.com 1277
Canadaカナダ 142.179.223.31 s142-179-223-31.ab.hsia.telus.net 1257
United Kingdum英国 82.152.67.49 mail.nortechonline.co.uk 1232
America米国 207.114.11.132 mail.homes-online.com 1200
Italyイタリア 212.216.176.134 vsmtp104.tin.it 1187
America米国 209.155.67.22 mail1.michaelwaltrip.com 1146
America米国 63.238.143.225 mail.kayapartments.com 1103
America米国 65.202.145.237 pop.granitenet.com 1096
接続元ネットワーク・アドレス(上位10件)
国名ネットワーク・アドレス総数
Italyイタリア 212.216.0.0/16 3836
America米国 12.0.0.0/8 3065
America米国 65.192.0.0/11 2240
Indiaインド 202.138.96.0/19 1844
America米国 63.64.0.0/10 1488
Brazillブラジル 200.128.0.0/9 1405
New Zealandニュージーランド 219.89.0.0/16 1382
Canadaカナダ 142.179.0.0/16 1317
America米国 65.112.0.0/12 1296
Antigua and Barbudaアンティグア・バーブーダ 209.59.64.0/18 1279

接続元のネットワーク・アドレスの上位3件の IP アドレスとホスト名は、 次のようになります。 イタリアは、"tin.it" というドメインのみからのアクセスのようです。 米国は、ホスト名を DNS で逆引きできない IP アドレスからも多いですが、 ホスト名だけを見て推測する限りでは、ISP のようには見えません。

イタリア 212.216.0.0/16 内の IP アドレス一覧
IPアドレスホスト名総数
212.216.176.134 vsmtp104.tin.it 1187
212.216.176.59 vsmtp102.tin.it 1071
212.216.176.208 vsmtp106.tin.it 942
212.216.176.131 vsmtp100.tin.it 363
212.216.176.239 vsmtp108.tin.it 237
212.216.176.224 vsmtp4.tin.it 36
米国 12.0.0.0/8 内の IP アドレス一覧
IPアドレスホスト名総数
12.36.42.235 ip-12-36-42-235.hqglobal.net 566
12.17.38.78 mail.sensormatic-midatl.com 244
12.156.3.136 list1.publishingconcepts.com 156
12.104.158.198 mail.spectrumimaging.com 151
12.32.196.225 tecomail.tecoinc.com 139
12.190.130.11 ms1.pccnm.com 113
12.151.20.137 ns1.go-des.net 104
12.175.65.51 unknown 92
12.15.162.100 mail1.cambridgetrust.com 91
12.163.112.30 unknown 89
米国 65.192.0.0/11 内の IP アドレス一覧
IPアドレスホスト名総数
65.202.145.237 pop.granitenet.com 1096
65.212.156.98 smtp.engenv.com 411
65.213.251.177 unknown 87
65.210.57.6 post.merklenet.com 85
65.212.14.203 unknown 75
65.196.174.172 jvsmtp.skyteamcargo-usjv.com 69
65.213.225.158 dogbert5.daedalusgroup.net 69
65.222.84.43 unknown 40
65.193.151.119 unknown 39
65.200.185.195 unknown 32

同様に、日本国内に限定して分析してみました。 日本国内からの接続は、 合計で 553 ホストからありました。 以下、IP アドレスとネットワーク・アドレス毎の上位10件の内訳です。 日本の場合は、IP アドレスの上位とネットワーク・アドレスの上位が一致します。 また、ホスト名から推測すると、 接続元は ISP と企業がそれぞれ半分ずつという感じです。

日本国内からの接続元 IP アドレス(上位10件)
IPアドレスホスト名総数
203.112.31.5 h031005.203112.miinet.jp 610
210.143.109.138 ns3.micro-wave.jp 466
218.223.68.14 guard2.dreamwave.ne.jp 329
222.15.69.197 wmflb12na02.ezweb.ne.jp 260
210.166.218.6 ns.crossco.co.jp 222
61.120.19.210 aa20060100213d7813d2.userreverse.dion.ne.jp 165
210.166.213.58 ns.npsin.com 105
222.15.69.198 wmflb12na03.ezweb.ne.jp 105
210.188.195.114 unknown 90
202.33.162.230 meg04-gwy146.shinseibank.co.jp 84
日本国内からの接続元ネットワーク・アドレス(上位10件)
ネットワーク・アドレス総数
210.160.0.0/12783
203.112.0.0/19610
210.136.0.0/13608
218.216.0.0/13446
133.0.0.0/8390
219.96.0.0/11387
222.12.0.0/14365
61.112.0.0/12347
202.32.0.0/14286
210.248.0.0/13278

ネットワーク・アドレス毎の IP アドレスとホスト名の内訳を見る限り、 日本の場合は一部のホストのみが大量にアクセスしているようです。 接続を行っているパソコンのスペックが高いのか、 あるいはネットワーク回線が速いからでしょうか。

日本 210.160.0.0/12 内の IP アドレス一覧
ネットワーク・アドレスホスト名総数
210.166.218.6ns.crossco.co.jp222
210.166.213.58ns.npsin.com105
210.171.0.10iron2-2.mailgw.jp74
210.163.0.2ns.joshibi.ac.jp51
210.172.167.47ctech-co.jp36
210.175.129.87mx03-rso-02.dci.ad.jp26
210.171.0.149iron4.mailgw.jp23
210.171.0.146iron1.mailgw.jp22
210.163.212.10hogwarts.sendai-c.ed.jp14
210.163.34.86ml.janis.or.jp13
日本 203.112.0.0/19 内の IP アドレス一覧
ネットワーク・アドレスホスト名総数
203.112.31.5h031005.203112.miinet.jp610
日本 210.136.0.0/13 内の IP アドレス一覧
ネットワーク・アドレスホスト名総数
210.143.109.138ns3.micro-wave.jp466
210.137.74.131mchserv.mch.pref.osaka.jp61
210.141.104.148exs00.tkc.ne.jp32
210.143.35.50tyo200.gate.nec.co.jp25
210.136.104.167fe2.cww.jp12
210.142.28.93molkwsm01.mol.co.jp7
210.143.129.91unknown5

日本国内を含め全体的に見ると、 ホスト名が組織のゲートウェイと思われる IP アドレスがいくつか見られます。 特に、mail や smtp, ns など境界サーバによくある語を含むホスト名を経由して SMTP 接続が行われたことを考えると、 今回の DDoS 攻撃的な SMTP 接続は、組織内部あるいは個人所有のパスコンが Bot に感染して同時多発的に引き起こされたのではないかと思われます。

ただ、普段から迷惑メールは来ているのですが、なぜ突然、増加したのかは不明です。 その前日に、あるメーリングリストに登録したのですが、 それとの因果関係は現状では分かりません。 ただ、メーリングリストに登録したアドレスではなく、 ドメイン内のデタラメなユーザ宛であることを見ると、 メーリングリストは関係ないのかもしれません。

なお、今回のような SMTP 接続には、 Manticore は無力であることが分かりました。 このような攻撃には、もっと前の段階で何らかの策を講ずる必要があるようです。 SMTP 接続前にパケット・フィルタリングを行う方法も検討していきたいです。

以下、参考までに日本国内からのドメイン別のアクセスです。 各ドメイン毎に上位10件を表示しています。 なお、co.jp ドメインには国内の IP アドレスを割り当てている com ドメインも含まれています。

IPアドレスホスト名総数
ac.jp ドメイン
202.214.92.2 lp2.konan-u.ac.jp 69
210.163.0.2 ns.joshibi.ac.jp 51
133.44.2.24 kankan.nagaokaut.ac.jp 39
133.27.8.44 ns5.adst.keio.ac.jp 31
133.3.5.20 icrsun.kuicr.kyoto-u.ac.jp 25
133.83.160.213 topaz1.ryukoku.ac.jp 22
133.27.4.126 mail-gw1.sfc.keio.ac.jp 21
220.110.193.161 musuhi.kogakkan-u.ac.jp 21
192.218.161.40 mailgw1.kwansei.ac.jp 20
192.244.159.73 mailsv1.ipc.kaiyodai.ac.jp 20
ad.jp ドメイン
61.206.40.69 vw2.solid.ad.jp 49
210.175.129.87 mx03-rso-02.dci.ad.jp 26
219.122.1.46 newip46.telewave.ad.jp 22
61.112.46.45 sgb002.vpn.ocn.ad.jp 19
203.141.1.199 vw.iscan.cypress.ad.jp 16
203.141.249.3 d249i003.bbx.ad.jp 14
219.122.1.32 newip32.telewave.ad.jp 10
210.172.192.40 vchk1.mirai.ad.jp 4
210.172.192.41 vchk2.mirai.ad.jp 2
co.jp ドメイン
210.166.218.6 ns.crossco.co.jp 222
210.166.213.58 ns.npsin.com 105
202.33.162.230 meg04-gwy146.shinseibank.co.jp 84
210.255.185.98 mail.fds.co.jp 84
202.32.86.16 ns6.sharp.co.jp 80
61.114.254.25 tg3.sharp.co.jp 52
210.251.97.2 dns1.uem-net.co.jp 45
202.248.236.202 mx1.mail-filter.nifty.com 44
210.251.73.244 lnx-server02.tokyosoft.com 44
133.183.129.25 smtp.mei.co.jp 38
ed.jp ドメイン
210.163.212.10 hogwarts.sendai-c.ed.jp 14
go.jp ドメイン
211.10.4.67 osv05a.env.go.jp 27
211.10.4.72 osv05b.env.go.jp 17
158.210.250.14 mailsv.nies.go.jp 12
211.10.4.73 osv05c.env.go.jp 9
202.33.248.146 mail-sv.mofa.go.jp 8
210.233.113.84 mlrelay2.mlit.go.jp 8
125.29.34.148 mlrelay2.mlit.go.jp 1
gr.jp ドメイン
219.94.144.215 aegis.netfort.gr.jp 1
ne.jp ドメイン
218.223.68.14 guard2.dreamwave.ne.jp 329
222.15.69.197 wmflb12na02.ezweb.ne.jp 260
61.120.19.210 aa20060100213d7813d2.userreverse.dion.ne.jp 165
222.15.69.198 wmflb12na03.ezweb.ne.jp 105
203.141.165.180 scq.kcom.ne.jp 42
218.216.20.239 mr01.ndmc.ne.jp 38
219.125.112.29 nm06mta.dion.ne.jp 38
218.230.104.104 iron04.vdn.pwd.ne.jp 36
218.230.104.106 iron06.vdn.pwd.ne.jp 34
157.205.253.210 vwsmta01.aics.ne.jp 33
or.jp ドメイン
219.163.16.36 mail.werc.or.jp 39
58.93.252.4 mta-x4.plala.or.jp 33
133.18.80.1 astemgw.astem.or.jp 18
210.163.34.86 ml.janis.or.jp 13
58.93.252.6 mta-x6.plala.or.jp 13
58.93.252.2 mta-x2.plala.or.jp 12
202.218.203.201 sv.ttc.or.jp 11
202.211.65.74 smtp2.inforyoma.or.jp 10
210.150.239.216 bzflk1.plala.or.jp 8
61.119.53.2 dns00.hakujyujikai.or.jp 7

製品紹介

TrickBSDTM

ネットワーク用途向けコンパクトフラッシュ版 FreeBSD

KoboldTM

IPv4アドレスから国名を検索するC言語用ライブラリ

BeholderTM

出力モジュールを拡張可能なパケットキャプチャとネットワークツール

ManticoreTM

接続元の国毎にアクセス制御 を行うための Postfixmilter