2020年1月13日月曜日
ポートスキャン概況(2020年1月13日)
本日の概況です。夜になってから、中国、韓国IPを発信元とする123/udpのパケット増加を観測しています。
中国発では20時台に1時間あたり200から300パケット程度を観測しています。
韓国発では、昨日の増加が一段落した後も、相対的に活発な状態が続いています。
ここ数日、オランダ(NL)を発信元とする広範囲のポートへのスキャン活動が活発化しています。11日の早朝から昼過ぎにかけてピークが有り、12日も昼頃に大きなピークがありました。
なんらかの意図的なスキャン活動とみられます。
中国発では20時台に1時間あたり200から300パケット程度を観測しています。
韓国発では、昨日の増加が一段落した後も、相対的に活発な状態が続いています。
ここ数日、オランダ(NL)を発信元とする広範囲のポートへのスキャン活動が活発化しています。11日の早朝から昼過ぎにかけてピークが有り、12日も昼頃に大きなピークがありました。
なんらかの意図的なスキャン活動とみられます。
2020年1月12日日曜日
ポートスキャン概況(2020年1月12日)PM
年末年始から今日まで、あれこれ多忙でレポートをサボってしまいました。極端な変化は観測されていませんが、23/tcpなどでは引き続き、一時的な活性化が米国を中心に発生しています。(レポート間隔が長くなっているので、ポート別スキャン傾向の表示範囲を過去3日間から5日間に広げました)
1433/tcp(MS-SQL-Server)ポートのスキャンは引き続き中国を中心に活発です。
中国発では、10日に短時間で広範囲のポートのスキャンを観測しています。意識的なスキャン活動の可能性があります。
台湾発では10日頃に23/tcpの活性化が見られました。
韓国IP発では123/udp(NTP)の活動が活発化しています。(UDPであるため、DoS等で発信元が詐称されている可能性や、リフレクションの可能性がありますが、確認できていません)
ブラジル発では10日に445/tcp、引き続き139/tcpのスキャンが活性化しています。マルウエア関連の活動の可能性があります。
今年は大きなイベントがある年でもあり、引き続きこうした観測は続けていくつもりですが、本業(笑)多忙の折は間隔が空くこともありますのでご容赦ください。
1433/tcp(MS-SQL-Server)ポートのスキャンは引き続き中国を中心に活発です。
中国発では、10日に短時間で広範囲のポートのスキャンを観測しています。意識的なスキャン活動の可能性があります。
台湾発では10日頃に23/tcpの活性化が見られました。
韓国IP発では123/udp(NTP)の活動が活発化しています。(UDPであるため、DoS等で発信元が詐称されている可能性や、リフレクションの可能性がありますが、確認できていません)
ブラジル発では10日に445/tcp、引き続き139/tcpのスキャンが活性化しています。マルウエア関連の活動の可能性があります。
今年は大きなイベントがある年でもあり、引き続きこうした観測は続けていくつもりですが、本業(笑)多忙の折は間隔が空くこともありますのでご容赦ください。
2019年12月27日金曜日
ポートスキャン概況(2019年12月27日)
年末のドタバタやあれこれでレポートをサボってしまいました。昨日から韓国割り当てのIPを発信元とした123/udp(NTP)の大量着信を観測しています。また、1433/tcp(MS SQL Server)の活動は中国を中心に活発な状態が続いています。また、エジプト発の80/tcpの活動が増加しています。
韓国IP発の123/udpは韓国を対象としたDDoS攻撃のリフレクションである可能性も考えられます。
1433/tcpについては、中国に加えインド発でも活発化がみられます。
米国発では、このところ広範囲のポートへのスキャンが活発化しています。
以上、概況でした。
韓国IP発の123/udpは韓国を対象としたDDoS攻撃のリフレクションである可能性も考えられます。
1433/tcpについては、中国に加えインド発でも活発化がみられます。
米国発では、このところ広範囲のポートへのスキャンが活発化しています。
以上、概況でした。
2019年12月19日木曜日
ポートスキャン概況(2019年12月18日)
今日は午後4時から5時台にかけて、123/udpの大量着信を観測しました。
ソースIPは韓国割り当てのもので、韓国経由のAmp攻撃もしくは、韓国のIPをターゲットにした攻撃の可能性があります。
国別では、エストニア(EE)発で広範囲のポートスキャンの一時的な活発化を観測しました。
インドネシア発では、445/tcpの活動が昼の時間帯に活性化しているように見えます。昼間に稼働しているPC等のマルウエア感染によるものの可能性が考えられます。
ロシア発では、広範囲のポートへのスキャンが恒常的に発生していますが、本日未明から朝にかけて活発化が見られました。
以上、本日の概況でした。
ソースIPは韓国割り当てのもので、韓国経由のAmp攻撃もしくは、韓国のIPをターゲットにした攻撃の可能性があります。
国別では、エストニア(EE)発で広範囲のポートスキャンの一時的な活発化を観測しました。
インドネシア発では、445/tcpの活動が昼の時間帯に活性化しているように見えます。昼間に稼働しているPC等のマルウエア感染によるものの可能性が考えられます。
ロシア発では、広範囲のポートへのスキャンが恒常的に発生していますが、本日未明から朝にかけて活発化が見られました。
以上、本日の概況でした。
2019年12月17日火曜日
ポートスキャン概況(2019年12月17日)
本日も引き続き、23/tcp、1433/tcp、445/tcpの活動が活発でした。
23/tcpでは、オランダ、台湾、中国、カナダなどで一時的な活発化が見られました。
日本発のスキャンでは、65229/tcpと3389/tcpの一時的な増加を観測しています。いずれもマルウエア感染等による活動が疑われます。
以上、本日の概況でした。
23/tcpでは、オランダ、台湾、中国、カナダなどで一時的な活発化が見られました。
日本発のスキャンでは、65229/tcpと3389/tcpの一時的な増加を観測しています。いずれもマルウエア感染等による活動が疑われます。
以上、本日の概況でした。
2019年12月16日月曜日
ポートスキャン概況(2019年12月16日)
年末の多忙にかまけてレポートをしばらくサボってしまいました。このところの状況としては、23/tcp, 1433/tcp, 445/tcpが相対的に活発です。
23/tcpでは、従来から活発な米国、中国などに加えて、ブラジルでも数は相対的に少ないですが、コンスタントな活動が観測されています。また、オランダで昨日、一時的に活発化したのに加え、今日は早朝から午前中にかけて、タンザニア(TZ)発のスキャンの活発化を観測しました。
国別では、インドで23/tcp、139/tcp、445/tcp、1433/tcpなどが散発的に活発化しています。
日本発の活動は相対的に少ないですが、23/tcpの活動が僅かながら継続しているほか、22/tcp、445/tcp、1433/tcpなどの活動も時折活発化します。
とりわけ1433/tcpのスキャンは以前より頻繁に観測されるようになっており、世界的な活性化とも関連してちょっと気になります。
今月は本業?でバタバタしているため、レポートの頻度が下がってしまいますが、特筆すべき状況についてはできるだけレポートしたいと考えています。
23/tcpでは、従来から活発な米国、中国などに加えて、ブラジルでも数は相対的に少ないですが、コンスタントな活動が観測されています。また、オランダで昨日、一時的に活発化したのに加え、今日は早朝から午前中にかけて、タンザニア(TZ)発のスキャンの活発化を観測しました。
国別では、インドで23/tcp、139/tcp、445/tcp、1433/tcpなどが散発的に活発化しています。
日本発の活動は相対的に少ないですが、23/tcpの活動が僅かながら継続しているほか、22/tcp、445/tcp、1433/tcpなどの活動も時折活発化します。
とりわけ1433/tcpのスキャンは以前より頻繁に観測されるようになっており、世界的な活性化とも関連してちょっと気になります。
今月は本業?でバタバタしているため、レポートの頻度が下がってしまいますが、特筆すべき状況についてはできるだけレポートしたいと考えています。
登録:
投稿 (Atom)