JPCERT/CC インターネット定点観測システム

JPCERT/CC インターネット定点観測システム 22

ストーリー by Oliver 2003年12月10日 17時27分
波は突然やってくる部門より

k3c 曰く、 "JPCERT/CC インターネット定点観測システム(ISDAS)がサービスを開始しました(プレスリリース)。インターネット上に複数のセンサを配置し、ポートへのスキャンが多かった上位5つのポート番号(PINGは常に表示)とスキャン数の推移をグラフの形で表示し、評価情報を提供するサービスです(解説)。当分は週1回の更新ですが、今後更新間隔を短くする予定もあるそうですので、期待しましょう。"

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索22コメント Log In/Create an Account

トラフィックに比例？ (スコア:3, 参考になる)

by chanbaba (13080) on 2003年12月10日 18時52分 (#452069) ホームページ

tcp80やudp137やtcp445も常時稼動のロボット。
pingとtcp135は人間ってことか？

http://www.jpix.co.jp/jp/techncal/traffic.html
http://nspixp.sfc.wide.ad.jp/Traffic/
とあのグラフを比較すると、pingやtcp135はトラフィックに比例か。
興味深いデータだ。
- tcp135に対してpingが2倍 (スコア:2)
  
  by chanbaba (13080) on 2003年12月10日 18時55分 (#452076) ホームページ
  
  tcp135に対してpingが2倍？
  なんか関係あるんだろうか？
  
  シェア
  
  親コメント
  - Re:tcp135に対してpingが2倍 (スコア:2, 参考になる)
    
    by typer (9666) on 2003年12月10日 22時35分 (#452173) 日記
    
    pingの発生源はWelchiaでpingに応答しているからかなと。
    だけど、あれって80にも攻撃するはずだけどそれはフラットですね。
    で、強引に考えてみた。
    * センサーのいくつかはWebサーバ。pingに応答するが80はカウント対象外
    * それ以外のいくつかはpingを無視し80をカウント
    とか。
    
    ちなみに家はflets adslですが、ping,137,445の順で数はJPCERT/CCなみ。
    135は4番目でpingの20分の1ぐらい。
    80は時間1つもないくらいで、ほかに901や1434もそのくらい。
    これらは一切無視でicmpやtcp resetも返していません。
    
    シェア
    
    親コメント
- Re:トラフィックに比例？ (スコア:2, 参考になる)
  
  by Anonymous Coward on 2003年12月10日 19時27分 (#452092)
  
  もう一つ参考のサイト
  
  @police インターネット定点観測
  http://www.cyberpolice.go.jp/detect/observation.html
  
  全国の警察施設に設置された不正侵入検知システム及びファイアウォールで検出したアクセス数
  
  シェア
  
  親コメント
  - Re:トラフィックに比例？ (スコア:1)
    
    by druaga (13366) on 2003年12月11日 1時09分 (#452261) 日記
    
    リンク先の一番下のグラフで、
    トラフィックの最大値と最小値の差を見ると
    日本は３倍以上あるのに対してアメリカは２倍もないですね。
    国民性でしょうか。それとも東電のおかげ？？
    
    「定点観測のグラフを読む」なんてコラムやってくれませんかね。> @police
    
    シェア
    
    親コメント
    - Re:トラフィックに比例？ (スコア:2)
      
      by chanbaba (13080) on 2003年12月11日 12時02分 (#452424) ホームページ
      
      アメリカって、市内通話が基本料金込みで無料の地域があるような話を聞いたことがある。
      俺はダイヤルアップ利用者も料金を気にせずに安易に常時接続出来る環境があるからだと思う。
      
      シェア
      
      親コメント
      - Re:トラフィックに比例？ (スコア:0)
        
        by Anonymous Coward
        
        ＞市内通話が基本料金込みで無料の地域があるような話(Bold化は引用者)
        
        ( ・∀・)つ〃∩ へぇーへぇーへぇー
    - Re:トラフィックに比例？ (スコア:0)
      
      by Anonymous Coward
      
      > 国民性でしょうか。それとも東電のおかげ？？
      
      主なタイムゾーンが4つもある広い国だから、平均されてるんじゃないかな？(東海岸は真夜中でも西海岸はまだ宵のうち)
- Re:トラフィックに比例？ (スコア:0)
  
  by Anonymous Coward
  
  > 、pingやtcp135はトラフィックに比例か。
  
  トラフィックが先かスキャンが先か。
  いずれにしても、重要な社会インフラなのに、
  ほとんどをごみが占有していると考えると泣きたくなりますな。
  - Re:トラフィックに比例？ (スコア:1, おもしろおかしい)
    
    by Anonymous Coward on 2003年12月11日 9時29分 (#452347)
    
    >いずれにしても、重要な社会インフラなのに、
    >ほとんどをごみが占有していると考えると泣きたくなりますな。
    
    路上駐車捕まえるなら、
    無駄なパケット流してる奴もしょっぴいてくれ。
    
    #そもそも会社から書き込んだこのパケットも無駄なパケットだな。
    
    シェア
    
    親コメント
    - Re:トラフィックに比例？ (スコア:0)
      
      by Anonymous Coward
      
      > 路上駐車捕まえるなら、
      
      …だから路上駐車も捕まえていないのです。
周期性 (スコア:1, 参考になる)

by Anonymous Coward on 2003年12月10日 17時43分 (#452038)

見事に1日毎の周期をもっているようですが、
毎日律義に電源を落とすマシンに大量にワーム類が感染している
という事なのか、深夜ごろにひま人の攻撃がきつくなるという事か。

あと、IDS建ててたりしてる人はすでに知っているとは思うけど、
スキャン元の統計も公開してくれたりするといいですね。
どこの国がとかだけじゃなくて、どこのプロバイダが出て行く
netbios-*止めてないとか。
- Re:周期性 (スコア:2, 興味深い)
  
  by kmt (7370) on 2003年12月10日 18時55分 (#452073)
  
  暇人だったら寝てる間も動かしているでしょうから
  前者では？と思いますが実際はどうでしょうね。
  
  土日は昼から夜と代わらないですね。
  会社の感染は意外と少なく、家での感染が多いのでしょうか。
  
  へなちょこ管理者も多いのに、と思うと少し意外
  
  シェア
  
  親コメント
  - Re:周期性 (スコア:1, すばらしい洞察)
    
    by Anonymous Coward on 2003年12月10日 23時17分 (#452203)
    
    このグラフって、時刻は日本時間なのかな？
    
    スキャン元の時間帯別に集計しないと、人間の活動との相関関係
    はわかりませんね。
    
    もっとも、原因がわかっても、解決はモラルに任せるしかない
    という結果なのはわかってはいるのですが。
    
    シェア
    
    親コメント
- Re:周期性 (スコア:0)
  
  by Anonymous Coward
  
  netbios止める必要なんてあるの？
  かってにフィルタすれば、IP接続サービスではなくなるんでは？
  - Re:周期性 (スコア:0)
    
    by Anonymous Coward
    
    同感。
    optionで止めてもらうことも出来るってのならありがたい
    場合もあるかもしれないけど。
  - Re:周期性 (スコア:0)
    
    by Anonymous Coward
    
    netbiosタレ流す必要あるの？
    
    >かってにフィルタすれば、IP接続サービスではなくなるんでは？
    
    なくなりませんよ。
どう読み取っていいのか、教えて偉い人 (スコア:0)

by Anonymous Coward on 2003年12月10日 17時53分 (#452043)

上位５位のポート番号が分かったというのだけでも、をぉぉと言う声を出してしまいましたが、80よりも、あっちやあっちの方が多いんですか？ショックを受けました。そんな私は素朴すぎますか。そうですか。すみません。

さて、こういう情報は対策に利用できると考えるが当然でしょうが、逆に、「これが多いんだったらフラッドさせてやるぅ」なんていたずらをする人が増えてしまうんではないでしょうか？公表は、登録IDだけに限定とか方法はないのでしょうか？それともそんなことは意味なし？
- ICMPが多いのはそんなもん (スコア:1, 参考になる)
  
  by Anonymous Coward on 2003年12月10日 18時52分 (#452070)
  
  先日学術系のネットワークでパケット統計取ったのですが
  これと同じようにICMPがトップで次にNetBIOS関連でした
  いまだ対策されていないところが多いようです
  
  シェア
  
  親コメント
- Re:どう読み取っていいのか、教えて偉い人 (スコア:0)
  
  by Anonymous Coward
  
  Nachi [trendmicro.co.jp]の影響が大きいのでしょうね。2004年1月1日に無効化される [zdnet.co.jp]そうなので、それ以降の動向が楽しみですね。
  
  今頃NachiやBlasterにやられているのは、日頃から放置プレー
アイデアはいいと思うのですが… (スコア:0)

by Anonymous Coward on 2003年12月10日 18時39分 (#452063)

Microsoft製OSへの攻撃と思われるアクセスをsnipして、統計を取って欲しいと心から思いました。

※じゃないと役に立ちそうにもない。
- Re:アイデアはいいと思うのですが… (スコア:0)
  
  by Anonymous Coward
  
  これって確かゼロディアタックの検知を目的にしてたんですよね？
  MSとかそういうのでなく、日頃、どのポートにどれだけアクセスが
  あるか見ていて、なんか変な増減(減は無いか？)があったら、と
  りあえず気を付ける。

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

JPCERT/CC インターネット定点観測システム 22

JPCERT/CC インターネット定点観測システム More ログイン

トラフィックに比例？ (スコア:3, 参考になる)

tcp135に対してpingが2倍 (スコア:2)

Re:tcp135に対してpingが2倍 (スコア:2, 参考になる)

Re:トラフィックに比例？ (スコア:2, 参考になる)

Re:トラフィックに比例？ (スコア:1)

Re:トラフィックに比例？ (スコア:2)

Re:トラフィックに比例？ (スコア:0)

Re:トラフィックに比例？ (スコア:0)

Re:トラフィックに比例？ (スコア:0)

Re:トラフィックに比例？ (スコア:1, おもしろおかしい)

Re:トラフィックに比例？ (スコア:0)

周期性 (スコア:1, 参考になる)

Re:周期性 (スコア:2, 興味深い)

Re:周期性 (スコア:1, すばらしい洞察)

Re:周期性 (スコア:0)

Re:周期性 (スコア:0)

Re:周期性 (スコア:0)

どう読み取っていいのか、教えて偉い人 (スコア:0)

ICMPが多いのはそんなもん (スコア:1, 参考になる)

Re:どう読み取っていいのか、教えて偉い人 (スコア:0)

アイデアはいいと思うのですが… (スコア:0)

Re:アイデアはいいと思うのですが… (スコア:0)

スラド