【製品情報】Mobile
Beholder:簡易ネットワーク管理/調査支援ツール公開(2008/05/28)
【技術メモ】DDoS 攻撃的な
SMTP 接続の分析を掲載(2007/08/13)
【技術メモ】Beholder
を利用したサイトへのアクセス動向の分析を掲載(2007/08/08)
【お知らせ】ウェブサイトを刷新(2007/08/02)
DDoS 攻撃的な SMTP 接続の分析
2007年8月10日、cron からの daily report で SMTP 接続が異常な数に上っていることに気づきました。 メールのログを調べてみると、2007年8月9日午前0時から始まっていました。 そこで、 この普段とは違う異常な SMTP 接続がどの程度続くのか観測してみました。
2007年8月12日まで観測した結果、ほぼ2日間続いたことが分かりました。
以下が Beholder の RRDtool
モジュールで観測していたデータから作成した 2007年8月6日から12日までの
一週間のグラフです。9日深夜から SMTP 接続が増加し、
9日の 16:00 以降に急増したのが分かります。
なお、上のグラフで、recv となっているのは pop3 と imap のサービスへの接続、 send が smtp と submission のサービスへの接続を表しています。
次に、原因を究明するため 9日から11日までの maillog を分析してみました。 結果は、magickworx.com のデタラメなユーザ名宛のメール送信によるものでした。 maillog には、 "Recipient address rejected: User unknown in local recipient table" エラーが、127,440 件も記録されていました。 上位10件の宛先は次のようなユーザ名でした。 ユーザ名は、全部で 13,530通りありました。
| メールアドレス | 総数 |
|---|---|
| Glantzgcjb@magickworx.com | 1357 |
| Colby_ott@magickworx.com | 1256 |
| GemmyMarcancola@magickworx.com | 1232 |
| Busch@magickworx.com | 1199 |
| lydiaPuck@magickworx.com | 1146 |
| nazif@magickworx.com | 1103 |
| Melgarihxmu@magickworx.com | 1096 |
| eskoGater@magickworx.com | 1057 |
| petrov868@magickworx.com | 1055 |
| Bossefradina@magickworx.com | 969 |
"reject" された接続元の IP アドレスは、 全部で 8,427 ホストでした。 以下、接続元の IP アドレスとネットワーク・アドレス毎に、 それぞれ上位10件のデータを示します。 IP アドレスの上位とネットワーク・アドレスの上位とは、 単純に一致するものではないようです。
| 国名 | IPアドレス | ホスト名 | 総数 |
|---|---|---|---|
 インド |
202.138.126.240 | unknown | 1844 |
 ニュージーランド |
219.89.125.197 | 219-89-125-197.adsl.xtra.co.nz | 1357 |
 アンティグア・バーブーダ |
209.59.66.30 | mail.acbonline.com | 1277 |
 カナダ |
142.179.223.31 | s142-179-223-31.ab.hsia.telus.net | 1257 |
 英国 |
82.152.67.49 | mail.nortechonline.co.uk | 1232 |
 米国 |
207.114.11.132 | mail.homes-online.com | 1200 |
 イタリア |
212.216.176.134 | vsmtp104.tin.it | 1187 |
| 米国 |
209.155.67.22 | mail1.michaelwaltrip.com | 1146 |
| 米国 |
63.238.143.225 | mail.kayapartments.com | 1103 |
| 米国 |
65.202.145.237 | pop.granitenet.com | 1096 |
| 国名 | ネットワーク・アドレス | 総数 |
|---|---|---|
| イタリア |
212.216.0.0/16 | 3836 |
| 米国 |
12.0.0.0/8 | 3065 |
| 米国 |
65.192.0.0/11 | 2240 |
| インド |
202.138.96.0/19 | 1844 |
| 米国 |
63.64.0.0/10 | 1488 |
 ブラジル |
200.128.0.0/9 | 1405 |
| ニュージーランド |
219.89.0.0/16 | 1382 |
| カナダ |
142.179.0.0/16 | 1317 |
| 米国 |
65.112.0.0/12 | 1296 |
| アンティグア・バーブーダ |
209.59.64.0/18 | 1279 |
接続元のネットワーク・アドレスの上位3件の IP アドレスとホスト名は、 次のようになります。 イタリアは、"tin.it" というドメインのみからのアクセスのようです。 米国は、ホスト名を DNS で逆引きできない IP アドレスからも多いですが、 ホスト名だけを見て推測する限りでは、ISP のようには見えません。
| IPアドレス | ホスト名 | 総数 |
|---|---|---|
| 212.216.176.134 | vsmtp104.tin.it | 1187 |
| 212.216.176.59 | vsmtp102.tin.it | 1071 |
| 212.216.176.208 | vsmtp106.tin.it | 942 |
| 212.216.176.131 | vsmtp100.tin.it | 363 |
| 212.216.176.239 | vsmtp108.tin.it | 237 |
| 212.216.176.224 | vsmtp4.tin.it | 36 |
| IPアドレス | ホスト名 | 総数 |
|---|---|---|
| 12.36.42.235 | ip-12-36-42-235.hqglobal.net | 566 |
| 12.17.38.78 | mail.sensormatic-midatl.com | 244 |
| 12.156.3.136 | list1.publishingconcepts.com | 156 |
| 12.104.158.198 | mail.spectrumimaging.com | 151 |
| 12.32.196.225 | tecomail.tecoinc.com | 139 |
| 12.190.130.11 | ms1.pccnm.com | 113 |
| 12.151.20.137 | ns1.go-des.net | 104 |
| 12.175.65.51 | unknown | 92 |
| 12.15.162.100 | mail1.cambridgetrust.com | 91 |
| 12.163.112.30 | unknown | 89 |
| IPアドレス | ホスト名 | 総数 |
|---|---|---|
| 65.202.145.237 | pop.granitenet.com | 1096 |
| 65.212.156.98 | smtp.engenv.com | 411 |
| 65.213.251.177 | unknown | 87 |
| 65.210.57.6 | post.merklenet.com | 85 |
| 65.212.14.203 | unknown | 75 |
| 65.196.174.172 | jvsmtp.skyteamcargo-usjv.com | 69 |
| 65.213.225.158 | dogbert5.daedalusgroup.net | 69 |
| 65.222.84.43 | unknown | 40 |
| 65.193.151.119 | unknown | 39 |
| 65.200.185.195 | unknown | 32 |
同様に、日本国内に限定して分析してみました。 日本国内からの接続は、 合計で 553 ホストからありました。 以下、IP アドレスとネットワーク・アドレス毎の上位10件の内訳です。 日本の場合は、IP アドレスの上位とネットワーク・アドレスの上位が一致します。 また、ホスト名から推測すると、 接続元は ISP と企業がそれぞれ半分ずつという感じです。
| IPアドレス | ホスト名 | 総数 |
|---|---|---|
| 203.112.31.5 | h031005.203112.miinet.jp | 610 |
| 210.143.109.138 | ns3.micro-wave.jp | 466 |
| 218.223.68.14 | guard2.dreamwave.ne.jp | 329 |
| 222.15.69.197 | wmflb12na02.ezweb.ne.jp | 260 |
| 210.166.218.6 | ns.crossco.co.jp | 222 |
| 61.120.19.210 | aa20060100213d7813d2.userreverse.dion.ne.jp | 165 |
| 210.166.213.58 | ns.npsin.com | 105 |
| 222.15.69.198 | wmflb12na03.ezweb.ne.jp | 105 |
| 210.188.195.114 | unknown | 90 |
| 202.33.162.230 | meg04-gwy146.shinseibank.co.jp | 84 |
| ネットワーク・アドレス | 総数 |
|---|---|
| 210.160.0.0/12 | 783 |
| 203.112.0.0/19 | 610 |
| 210.136.0.0/13 | 608 |
| 218.216.0.0/13 | 446 |
| 133.0.0.0/8 | 390 |
| 219.96.0.0/11 | 387 |
| 222.12.0.0/14 | 365 |
| 61.112.0.0/12 | 347 |
| 202.32.0.0/14 | 286 |
| 210.248.0.0/13 | 278 |
ネットワーク・アドレス毎の IP アドレスとホスト名の内訳を見る限り、 日本の場合は一部のホストのみが大量にアクセスしているようです。 接続を行っているパソコンのスペックが高いのか、 あるいはネットワーク回線が速いからでしょうか。
| ネットワーク・アドレス | ホスト名 | 総数 |
|---|---|---|
| 210.166.218.6 | ns.crossco.co.jp | 222 |
| 210.166.213.58 | ns.npsin.com | 105 |
| 210.171.0.10 | iron2-2.mailgw.jp | 74 |
| 210.163.0.2 | ns.joshibi.ac.jp | 51 |
| 210.172.167.47 | ctech-co.jp | 36 |
| 210.175.129.87 | mx03-rso-02.dci.ad.jp | 26 |
| 210.171.0.149 | iron4.mailgw.jp | 23 |
| 210.171.0.146 | iron1.mailgw.jp | 22 |
| 210.163.212.10 | hogwarts.sendai-c.ed.jp | 14 |
| 210.163.34.86 | ml.janis.or.jp | 13 |
210.160.0.0/12 内の IP アドレス一覧| ネットワーク・アドレス | ホスト名 | 総数 |
|---|---|---|
| 203.112.31.5 | h031005.203112.miinet.jp | 610 |
| ネットワーク・アドレス | ホスト名 | 総数 |
|---|---|---|
| 210.143.109.138 | ns3.micro-wave.jp | 466 |
| 210.137.74.131 | mchserv.mch.pref.osaka.jp | 61 |
| 210.141.104.148 | exs00.tkc.ne.jp | 32 |
| 210.143.35.50 | tyo200.gate.nec.co.jp | 25 |
| 210.136.104.167 | fe2.cww.jp | 12 |
| 210.142.28.93 | molkwsm01.mol.co.jp | 7 |
| 210.143.129.91 | unknown | 5 |
日本国内を含め全体的に見ると、 ホスト名が組織のゲートウェイと思われる IP アドレスがいくつか見られます。 特に、mail や smtp, ns など境界サーバによくある語を含むホスト名を経由して SMTP 接続が行われたことを考えると、 今回の DDoS 攻撃的な SMTP 接続は、組織内部あるいは個人所有のパスコンが Bot に感染して同時多発的に引き起こされたのではないかと思われます。
ただ、普段から迷惑メールは来ているのですが、なぜ突然、増加したのかは不明です。 その前日に、あるメーリングリストに登録したのですが、 それとの因果関係は現状では分かりません。 ただ、メーリングリストに登録したアドレスではなく、 ドメイン内のデタラメなユーザ宛であることを見ると、 メーリングリストは関係ないのかもしれません。
なお、今回のような SMTP 接続には、 Manticore は無力であることが分かりました。 このような攻撃には、もっと前の段階で何らかの策を講ずる必要があるようです。 SMTP 接続前にパケット・フィルタリングを行う方法も検討していきたいです。
以下、参考までに日本国内からのドメイン別のアクセスです。 各ドメイン毎に上位10件を表示しています。 なお、co.jp ドメインには国内の IP アドレスを割り当てている com ドメインも含まれています。
| IPアドレス | ホスト名 | 総数 |
|---|---|---|
| ac.jp ドメイン | ||
| 202.214.92.2 | lp2.konan-u.ac.jp | 69 |
| 210.163.0.2 | ns.joshibi.ac.jp | 51 |
| 133.44.2.24 | kankan.nagaokaut.ac.jp | 39 |
| 133.27.8.44 | ns5.adst.keio.ac.jp | 31 |
| 133.3.5.20 | icrsun.kuicr.kyoto-u.ac.jp | 25 |
| 133.83.160.213 | topaz1.ryukoku.ac.jp | 22 |
| 133.27.4.126 | mail-gw1.sfc.keio.ac.jp | 21 |
| 220.110.193.161 | musuhi.kogakkan-u.ac.jp | 21 |
| 192.218.161.40 | mailgw1.kwansei.ac.jp | 20 |
| 192.244.159.73 | mailsv1.ipc.kaiyodai.ac.jp | 20 |
| ad.jp ドメイン | ||
| 61.206.40.69 | vw2.solid.ad.jp | 49 |
| 210.175.129.87 | mx03-rso-02.dci.ad.jp | 26 |
| 219.122.1.46 | newip46.telewave.ad.jp | 22 |
| 61.112.46.45 | sgb002.vpn.ocn.ad.jp | 19 |
| 203.141.1.199 | vw.iscan.cypress.ad.jp | 16 |
| 203.141.249.3 | d249i003.bbx.ad.jp | 14 |
| 219.122.1.32 | newip32.telewave.ad.jp | 10 |
| 210.172.192.40 | vchk1.mirai.ad.jp | 4 |
| 210.172.192.41 | vchk2.mirai.ad.jp | 2 |
| co.jp ドメイン | ||
| 210.166.218.6 | ns.crossco.co.jp | 222 |
| 210.166.213.58 | ns.npsin.com | 105 |
| 202.33.162.230 | meg04-gwy146.shinseibank.co.jp | 84 |
| 210.255.185.98 | mail.fds.co.jp | 84 |
| 202.32.86.16 | ns6.sharp.co.jp | 80 |
| 61.114.254.25 | tg3.sharp.co.jp | 52 |
| 210.251.97.2 | dns1.uem-net.co.jp | 45 |
| 202.248.236.202 | mx1.mail-filter.nifty.com | 44 |
| 210.251.73.244 | lnx-server02.tokyosoft.com | 44 |
| 133.183.129.25 | smtp.mei.co.jp | 38 |
| ed.jp ドメイン | ||
| 210.163.212.10 | hogwarts.sendai-c.ed.jp | 14 |
| go.jp ドメイン | ||
| 211.10.4.67 | osv05a.env.go.jp | 27 |
| 211.10.4.72 | osv05b.env.go.jp | 17 |
| 158.210.250.14 | mailsv.nies.go.jp | 12 |
| 211.10.4.73 | osv05c.env.go.jp | 9 |
| 202.33.248.146 | mail-sv.mofa.go.jp | 8 |
| 210.233.113.84 | mlrelay2.mlit.go.jp | 8 |
| 125.29.34.148 | mlrelay2.mlit.go.jp | 1 |
| gr.jp ドメイン | ||
| 219.94.144.215 | aegis.netfort.gr.jp | 1 |
| ne.jp ドメイン | ||
| 218.223.68.14 | guard2.dreamwave.ne.jp | 329 |
| 222.15.69.197 | wmflb12na02.ezweb.ne.jp | 260 |
| 61.120.19.210 | aa20060100213d7813d2.userreverse.dion.ne.jp | 165 |
| 222.15.69.198 | wmflb12na03.ezweb.ne.jp | 105 |
| 203.141.165.180 | scq.kcom.ne.jp | 42 |
| 218.216.20.239 | mr01.ndmc.ne.jp | 38 |
| 219.125.112.29 | nm06mta.dion.ne.jp | 38 |
| 218.230.104.104 | iron04.vdn.pwd.ne.jp | 36 |
| 218.230.104.106 | iron06.vdn.pwd.ne.jp | 34 |
| 157.205.253.210 | vwsmta01.aics.ne.jp | 33 |
| or.jp ドメイン | ||
| 219.163.16.36 | mail.werc.or.jp | 39 |
| 58.93.252.4 | mta-x4.plala.or.jp | 33 |
| 133.18.80.1 | astemgw.astem.or.jp | 18 |
| 210.163.34.86 | ml.janis.or.jp | 13 |
| 58.93.252.6 | mta-x6.plala.or.jp | 13 |
| 58.93.252.2 | mta-x2.plala.or.jp | 12 |
| 202.218.203.201 | sv.ttc.or.jp | 11 |
| 202.211.65.74 | smtp2.inforyoma.or.jp | 10 |
| 210.150.239.216 | bzflk1.plala.or.jp | 8 |
| 61.119.53.2 | dns00.hakujyujikai.or.jp | 7 |
製品紹介
TrickBSDTM
ネットワーク用途向けコンパクトフラッシュ版 FreeBSD
KoboldTM
IPv4アドレスから国名を検索するC言語用ライブラリ
BeholderTM
出力モジュールを拡張可能なパケットキャプチャとネットワークツール