JPCERT/CC インターネット定点観測システム 22
ストーリー by Oliver
波は突然やってくる 部門より
波は突然やってくる 部門より
k3c 曰く、 "JPCERT/CC インターネット定点観測システム(ISDAS)がサービスを開始しました(プレスリリース)。インターネット上に複数のセンサを配置し、ポートへのスキャンが多かった上位5つのポート番号(PINGは常に表示)とスキャン数の推移をグラフの形で表示し、評価情報を提供するサービスです(解説)。当分は週1回の更新ですが、今後更新間隔を短くする予定もあるそうですので、期待しましょう。"
トラフィックに比例? (スコア:3, 参考になる)
pingとtcp135は人間ってことか?
http://www.jpix.co.jp/jp/techncal/traffic.html
http://nspixp.sfc.wide.ad.jp/Traffic/
とあのグラフを比較すると、pingやtcp135はトラフィックに比例か。
興味深いデータだ。
tcp135に対してpingが2倍 (スコア:2)
なんか関係あるんだろうか?
Re:tcp135に対してpingが2倍 (スコア:2, 参考になる)
だけど、あれって80にも攻撃するはずだけどそれはフラットですね。
で、強引に考えてみた。
* センサーのいくつかはWebサーバ。pingに応答するが80はカウント対象外
* それ以外のいくつかはpingを無視し80をカウント
とか。
ちなみに家はflets adslですが、ping,137,445の順で数はJPCERT/CCなみ。
135は4番目でpingの20分の1ぐらい。
80は時間1つもないくらいで、ほかに901や1434もそのくらい。
これらは一切無視でicmpやtcp resetも返していません。
Re:トラフィックに比例? (スコア:2, 参考になる)
もう一つ参考のサイト
@police インターネット定点観測
http://www.cyberpolice.go.jp/detect/observation.html
全国の警察施設に設置された不正侵入検知システム及びファイアウォールで検出したアクセス数
Re:トラフィックに比例? (スコア:1)
トラフィックの最大値と最小値の差を見ると
日本は3倍以上あるのに対してアメリカは2倍もないですね。
国民性でしょうか。それとも東電のおかげ??
「定点観測のグラフを読む」なんてコラムやってくれませんかね。> @police
Re:トラフィックに比例? (スコア:2)
俺はダイヤルアップ利用者も料金を気にせずに安易に常時接続出来る環境があるからだと思う。
Re:トラフィックに比例? (スコア:0)
( ・∀・)つ〃∩ へぇーへぇーへぇー
Re:トラフィックに比例? (スコア:0)
主なタイムゾーンが4つもある広い国だから、平均されてるんじゃないかな?(東海岸は真夜中でも西海岸はまだ宵のうち)
Re:トラフィックに比例? (スコア:0)
トラフィックが先かスキャンが先か。
いずれにしても、重要な社会インフラなのに、
ほとんどをごみが占有していると考えると泣きたくなりますな。
Re:トラフィックに比例? (スコア:1, おもしろおかしい)
>ほとんどをごみが占有していると考えると泣きたくなりますな。
路上駐車捕まえるなら、
無駄なパケット流してる奴もしょっぴいてくれ。
#そもそも会社から書き込んだこのパケットも無駄なパケットだな。
Re:トラフィックに比例? (スコア:0)
…だから路上駐車も捕まえていないのです。
周期性 (スコア:1, 参考になる)
毎日律義に電源を落とすマシンに大量にワーム類が感染している
という事なのか、深夜ごろにひま人の攻撃がきつくなるという事か。
あと、IDS建ててたりしてる人はすでに知っているとは思うけど、
スキャン元の統計も公開してくれたりするといいですね。
どこの国がとかだけじゃなくて、どこのプロバイダが出て行く
netbios-*止めてないとか。
Re:周期性 (スコア:2, 興味深い)
前者では?と思いますが実際はどうでしょうね。
土日は昼から夜と代わらないですね。
会社の感染は意外と少なく、家での感染が多いのでしょうか。
へなちょこ管理者も多いのに、と思うと少し意外
Re:周期性 (スコア:1, すばらしい洞察)
スキャン元の時間帯別に集計しないと、人間の活動との相関関係
はわかりませんね。
もっとも、原因がわかっても、解決はモラルに任せるしかない
という結果なのはわかってはいるのですが。
Re:周期性 (スコア:0)
かってにフィルタすれば、IP接続サービスではなくなるんでは?
Re:周期性 (スコア:0)
optionで止めてもらうことも出来るってのならありがたい
場合もあるかもしれないけど。
Re:周期性 (スコア:0)
>かってにフィルタすれば、IP接続サービスではなくなるんでは?
なくなりませんよ。
どう読み取っていいのか、教えて偉い人 (スコア:0)
さて、こういう情報は対策に利用できると考えるが当然でしょうが、逆に、「これが多いんだったらフラッドさせてやるぅ」なんていたずらをする人が増えてしまうんではないでしょうか?公表は、登録IDだけに限定とか方法はないのでしょうか?それともそんなことは意味なし?
ICMPが多いのはそんなもん (スコア:1, 参考になる)
これと同じようにICMPがトップで次にNetBIOS関連でした
いまだ対策されていないところが多いようです
Re:どう読み取っていいのか、教えて偉い人 (スコア:0)
今頃NachiやBlasterにやられているのは、日頃から放置プレー
アイデアはいいと思うのですが… (スコア:0)
※じゃないと役に立ちそうにもない。
Re:アイデアはいいと思うのですが… (スコア:0)
MSとかそういうのでなく、日頃、どのポートにどれだけアクセスが
あるか見ていて、なんか変な増減(減は無いか?)があったら、と
りあえず気を付ける。