全般的に顕著な変化はありませんが、21時台に米国発で23/tcpの活動が活発化しました。このところ、こうした活発化は数日に一回程度の頻度で発生しており、おそらくボット活動に起因するものと考えられます。
以上、今日の概況でした。
2019年8月31日土曜日
ポートスキャン概況(2019年8月30日)
今日の概況です。
全般的に顕著な変化はありませんが、21時台に米国発で23/tcpの活動が活発化しました。このところ、こうした活発化は数日に一回程度の頻度で発生しており、おそらくボット活動に起因するものと考えられます。
以上、今日の概況でした。
全般的に顕著な変化はありませんが、21時台に米国発で23/tcpの活動が活発化しました。このところ、こうした活発化は数日に一回程度の頻度で発生しており、おそらくボット活動に起因するものと考えられます。
以上、今日の概況でした。
2019年8月29日木曜日
ポートスキャン概況(2019年8月29日)
昨日から本日にかけての概況です。
昨日の午前中に、米国方面で発生したDDoSのリフレクション(攻撃を受けた先から詐称されたIPアドレスへの戻りパケット)とみられる大量のトラフィックを観測しています。攻撃対象は複数ホストのWeb(HTTP/HTTPS)や不明なポートと見られ、こちらに着信した宛先ポート(攻撃パケットの発信元ポート)は60000番台の複数のポートでした。また、現在観測しているIPアドレス(/29の固定IPセグメント、異なるレンジにある固定IP2個及び、ダイナミック割り当てのIP1個)の全体にわたって着信しているため、広い範囲のIPを詐称した攻撃と考えられます。これがDoS攻撃であれば特定のサイトを狙ったというよりは、ネットワークへの飽和攻撃の可能性も考えられます。近年、多数のIoTボットを利用したDDoS攻撃でISPレベルのバックボーンネットワークを飽和させるような攻撃も発生しています。今のところ、米国方面でそうした攻撃が発生したという情報はありませんが、限定的な攻撃または実験である可能性も否定できません。以下が米国からのトラフィックを抽出したグラフです。
本日も小規模ですが、同様の事象が発生しています。ただ、疑問が残るのは、リフレクションとみられるパケットにACKフラグが含まれていないように見える点です。一般にSYN Floodの場合、リフレクションにはSYN+ACKフラグがセットされてきます。しかし、昨日見た限り(ログを信じるならば)パケットにはSYNフラグしかセットされていないようです。そう言う意味では、このトラフィックがリフレクションであるという確信も持ちきれません。逆にリフレクション攻撃を狙うのであれば、60000台ポート宛てというのも腑に落ちません。ちょっと謎が残る事象です。
【後日追記】----------------------------------
この事象の原因が内部側にあることが判明しました。内部側にある機器がその仕様上米国の複数のサイトにアクセスする際、ルータとの間の問題で、相手側からの戻りパケットが大量に拒否されるという事象の結果のようです。とりあえず、その機器を停止させて様子を見ています。
------------------------------------------------
通常のポートスキャンでは、米国方面で一時的に23/tcpが活発化する時間帯がありました。(下のグラフで突出した部分)
81/tcpでは中国発のパケットが一時的に増加する時間帯がありました。また、8080/tcpでは依然として中国発の活動が活発で全体の大半を占めていますが、時折米国等でも活発化する時間帯があるようです。
22/tcp(SSH)でも中国発がコンスタントに活発ですが、時折、ロシア(薄青)や黒(ルーマニア)、赤茶(インドネシア)などでも活発化します。これらの多くが、SSHへのログインを狙ったブルートフォース攻撃対象を探索するためのスキャンと考えられます。
Windows系サービス探索では、139/tcp(netbios)で、7時台にインドネシア、タイ、ベトナムなど東南アジア方面を発信元とする活動が一時的に活発化しました。445/tcp(SMB)の活動は相変わらず広い地域で活発ですが、さらにすこし活発化する傾向にあるようです。
国別では、中国発のスキャンが午後4時台に一時的に増加しました。23/tcpの増加が大きいようですが、他のポートも軒並み増加しています。
その他、MiraiボットなどIoTボットによると思われる活動もコンスタントに継続しています。開始対象のWebサーバで観測していたSYN Flood系の攻撃は、ここ数日観測されていません。
以上、今日の概況でした。
【22:55追記】
21時台にスウェーデン発の23/tcpパケットが急増しました。
昨日の午前中に、米国方面で発生したDDoSのリフレクション(攻撃を受けた先から詐称されたIPアドレスへの戻りパケット)とみられる大量のトラフィックを観測しています。攻撃対象は複数ホストのWeb(HTTP/HTTPS)や不明なポートと見られ、こちらに着信した宛先ポート(攻撃パケットの発信元ポート)は60000番台の複数のポートでした。また、現在観測しているIPアドレス(/29の固定IPセグメント、異なるレンジにある固定IP2個及び、ダイナミック割り当てのIP1個)の全体にわたって着信しているため、広い範囲のIPを詐称した攻撃と考えられます。これがDoS攻撃であれば特定のサイトを狙ったというよりは、ネットワークへの飽和攻撃の可能性も考えられます。近年、多数のIoTボットを利用したDDoS攻撃でISPレベルのバックボーンネットワークを飽和させるような攻撃も発生しています。今のところ、米国方面でそうした攻撃が発生したという情報はありませんが、限定的な攻撃または実験である可能性も否定できません。以下が米国からのトラフィックを抽出したグラフです。
本日も小規模ですが、同様の事象が発生しています。ただ、疑問が残るのは、リフレクションとみられるパケットにACKフラグが含まれていないように見える点です。一般にSYN Floodの場合、リフレクションにはSYN+ACKフラグがセットされてきます。しかし、昨日見た限り(ログを信じるならば)パケットにはSYNフラグしかセットされていないようです。そう言う意味では、このトラフィックがリフレクションであるという確信も持ちきれません。逆にリフレクション攻撃を狙うのであれば、60000台ポート宛てというのも腑に落ちません。ちょっと謎が残る事象です。
【後日追記】----------------------------------
この事象の原因が内部側にあることが判明しました。内部側にある機器がその仕様上米国の複数のサイトにアクセスする際、ルータとの間の問題で、相手側からの戻りパケットが大量に拒否されるという事象の結果のようです。とりあえず、その機器を停止させて様子を見ています。
------------------------------------------------
通常のポートスキャンでは、米国方面で一時的に23/tcpが活発化する時間帯がありました。(下のグラフで突出した部分)
81/tcpでは中国発のパケットが一時的に増加する時間帯がありました。また、8080/tcpでは依然として中国発の活動が活発で全体の大半を占めていますが、時折米国等でも活発化する時間帯があるようです。
22/tcp(SSH)でも中国発がコンスタントに活発ですが、時折、ロシア(薄青)や黒(ルーマニア)、赤茶(インドネシア)などでも活発化します。これらの多くが、SSHへのログインを狙ったブルートフォース攻撃対象を探索するためのスキャンと考えられます。
Windows系サービス探索では、139/tcp(netbios)で、7時台にインドネシア、タイ、ベトナムなど東南アジア方面を発信元とする活動が一時的に活発化しました。445/tcp(SMB)の活動は相変わらず広い地域で活発ですが、さらにすこし活発化する傾向にあるようです。
国別では、中国発のスキャンが午後4時台に一時的に増加しました。23/tcpの増加が大きいようですが、他のポートも軒並み増加しています。
その他、MiraiボットなどIoTボットによると思われる活動もコンスタントに継続しています。開始対象のWebサーバで観測していたSYN Flood系の攻撃は、ここ数日観測されていません。
以上、今日の概況でした。
【22:55追記】
21時台にスウェーデン発の23/tcpパケットが急増しました。
2019年8月27日火曜日
ポートスキャン概況(2019年8月27日)
今日の概況です。23/tcpが米国で活発化した時間帯がありましたが、それ以外に大きな変化はみられませんでした。午前0時台にシステム障害のためデータの欠落が発生しています。
23/tcpでは、昼頃に米国で活発化が見られました。また、未明から午前中にかけて中国でも多少活発化の傾向がみられました。
22/tcp(SSH)のスキャンでは、中国発が引き続き半数を占めるほか、ルーマニア、ロシア、米国、インド、イタリア、ブラジルなどで一時的に活動が活発化する時間帯がありました。
81/tcpでは、このところイタリアとエストニアで活動が活発です。ドイツやオランダでも活発化する時間帯があり、ヨーロッパ方面で活動が高まっているように見えます。IoT機器等のWeb管理画面を探索するマルウエアなどの活動の可能性があります。8080/tcpではコンスタントに中国で活動が続いているのに加え、米国でも活発化が見られます。これらには機器の管理画面探索に加え、オープンプロキシの探索などが含まれると考えられます。
以上、今日の概況でした。
23/tcpでは、昼頃に米国で活発化が見られました。また、未明から午前中にかけて中国でも多少活発化の傾向がみられました。
22/tcp(SSH)のスキャンでは、中国発が引き続き半数を占めるほか、ルーマニア、ロシア、米国、インド、イタリア、ブラジルなどで一時的に活動が活発化する時間帯がありました。
81/tcpでは、このところイタリアとエストニアで活動が活発です。ドイツやオランダでも活発化する時間帯があり、ヨーロッパ方面で活動が高まっているように見えます。IoT機器等のWeb管理画面を探索するマルウエアなどの活動の可能性があります。8080/tcpではコンスタントに中国で活動が続いているのに加え、米国でも活発化が見られます。これらには機器の管理画面探索に加え、オープンプロキシの探索などが含まれると考えられます。
以上、今日の概況でした。
ポートスキャン概況(2019年8月26日)
今日の概況です。イタリア発の5500/tcp活動が終息に向かったため、全体的にイベント数が減少しました。また、午前11時台に韓国IP発の32761/tcpパケットが一時的に急増しました。
ここ数日活発だったイタリア(IP)発の5500/tcp活動は午前9時(日本時間:UTC0時)頃に終息しました。唐突に始まって唐突に終わった印象です。
22/tcp(SSH)活動は引き続き中国中心に毎時40イベント前後、3389/tcp(RDP)はロシア方面(濃い茶色)で若干活発化が見られました。ランサムウエア等マルウエアの活動の可能性が疑われます。また、中国(薄い青)、韓国(薄い茶色)でも活動が見られます。
監視対象のWebサーバへのDoS(SYN Flood)は昨日、今日と発生していません。
以上、今日の概況です。
ここ数日活発だったイタリア(IP)発の5500/tcp活動は午前9時(日本時間:UTC0時)頃に終息しました。唐突に始まって唐突に終わった印象です。
22/tcp(SSH)活動は引き続き中国中心に毎時40イベント前後、3389/tcp(RDP)はロシア方面(濃い茶色)で若干活発化が見られました。ランサムウエア等マルウエアの活動の可能性が疑われます。また、中国(薄い青)、韓国(薄い茶色)でも活動が見られます。
監視対象のWebサーバへのDoS(SYN Flood)は昨日、今日と発生していません。
以上、今日の概況です。
2019年8月25日日曜日
ポートスキャン概況(2019年8月25日)
今日の概況です。全体的に大きな変化は見られませんが、イタリアでの5500/tcp活動の活発化により、同国と5500/tcpがランキングのトップになっています。
イタリアでの5500/tcp活動は少し低下したものの、依然として高いレベルで継続中です。
ちなみに、ポート別のトレンドに過去48時間の移動平均線と±1.645σの線を入れてみました。この線の間に90%のサンプルが含まれることになり、そこからはみ出したサンプルは残りの10%に含まれます。これによって異常値を見つけやすくなります。
81/tcpと8080tcpを監視対象に加えましたが、こちらも毎時平均30イベント前後で推移しています。81/tcpはイタリアとエストニアの2国が半数以上を占めますが、時折米国でも活動が見られます。午前4時台には日本での活動も観測されました。
8080/tcpでは中国発が半数以上を占めますが、90%ラインをはみ出した部分では米国で活動が若干活発化しています。
Windows (netbios: 139/tcp, SMB: 445/tcp)の状況は以下のようなもので、比較的低調だった139/tcpで17時頃に活動が一時的に活発化しました。ベネズエラ、パラグアイ、ブラジルといった南米方面が中心です。
445/tcpは毎時150イベント前後と比較的高い活動が継続していますが、14時頃にベネズエラやパラグアイでの活動が活発化したため90%ラインを越えました。断続的に発生していたWebサーバへのSYN Floodは、今日時点では沈静化しています。
以上、今日の概況です。
イタリアでの5500/tcp活動は少し低下したものの、依然として高いレベルで継続中です。
ちなみに、ポート別のトレンドに過去48時間の移動平均線と±1.645σの線を入れてみました。この線の間に90%のサンプルが含まれることになり、そこからはみ出したサンプルは残りの10%に含まれます。これによって異常値を見つけやすくなります。
81/tcpと8080tcpを監視対象に加えましたが、こちらも毎時平均30イベント前後で推移しています。81/tcpはイタリアとエストニアの2国が半数以上を占めますが、時折米国でも活動が見られます。午前4時台には日本での活動も観測されました。
8080/tcpでは中国発が半数以上を占めますが、90%ラインをはみ出した部分では米国で活動が若干活発化しています。
Windows (netbios: 139/tcp, SMB: 445/tcp)の状況は以下のようなもので、比較的低調だった139/tcpで17時頃に活動が一時的に活発化しました。ベネズエラ、パラグアイ、ブラジルといった南米方面が中心です。
445/tcpは毎時150イベント前後と比較的高い活動が継続していますが、14時頃にベネズエラやパラグアイでの活動が活発化したため90%ラインを越えました。断続的に発生していたWebサーバへのSYN Floodは、今日時点では沈静化しています。
以上、今日の概況です。
2019年8月23日金曜日
ポートスキャン概況(2019年8月23日)
本日の概況です。観測用のダッシュボードをちょっと作り替えたので、また時系列の向きが逆になっています。(左から右へ時間が流れます)
今日は、また米国で23/tcpの活動が一時的に高まりました。20時頃にかなり大きなピークがあります。
IoTマルウエア関連のポートでは、5500/tcpで、イタリア発のパケットが急増しました。Mirai系ボットに関連した活動と見られます。
Windows系のポートでは、139/tcpにエジプト発の比較的大きなピークがみられます。445/tcpの活動も引き続き活発です。
パスワードクラックの対象となる22/tcp(SSH)や3389/tcp(RDP)へのスキャンも活発です。特に、RDPでは、先日発表された脆弱性への攻撃が始まっている可能性もあり、注意が必要です。
監視しているWebサーバへのSYN Flood的な攻撃は断続的に続いています。この攻撃は、80/tcp (http)、443/tcp (https)、53/tcp (DNS)の3ポートをセットで行われており、下のように各ポートのトラフィックが同じパターンで変化しています。
以上、今日の概況でした。
今日は、また米国で23/tcpの活動が一時的に高まりました。20時頃にかなり大きなピークがあります。
IoTマルウエア関連のポートでは、5500/tcpで、イタリア発のパケットが急増しました。Mirai系ボットに関連した活動と見られます。
Windows系のポートでは、139/tcpにエジプト発の比較的大きなピークがみられます。445/tcpの活動も引き続き活発です。
パスワードクラックの対象となる22/tcp(SSH)や3389/tcp(RDP)へのスキャンも活発です。特に、RDPでは、先日発表された脆弱性への攻撃が始まっている可能性もあり、注意が必要です。
監視しているWebサーバへのSYN Flood的な攻撃は断続的に続いています。この攻撃は、80/tcp (http)、443/tcp (https)、53/tcp (DNS)の3ポートをセットで行われており、下のように各ポートのトラフィックが同じパターンで変化しています。
以上、今日の概況でした。
2019年8月21日水曜日
ポートスキャン概況(2019年8月21日)
今日の概況です。
午前0時台と14時台に米国発の23/tcp活動が活発化しました。
観測対象のWebサーバに対するSYNパケットは引き続き断続的に毎時2000パケット前後で着信しています。(これは80/tcpのみの数で、443/tcp, 53/tcpを加えるとさらに多くなります)実害が出るほどのトラフィックではありませんが、DDoS(ライクな)攻撃とみられます。
昨日15時頃、韓国発で32761/udpパケットが一時的に増加しました。このポートを使用しているアプリケーションは検索にかからず、原因は不明です。
3389/tcp(RDP)へのスキャンに大きな変動は見られませんが、今月公開されたWindows リモートデスクトップ脆弱性への攻撃も懸念される上、従前から比較的スキャン活動が活発なため、注意が必要です。
午前0時台と14時台に米国発の23/tcp活動が活発化しました。
観測対象のWebサーバに対するSYNパケットは引き続き断続的に毎時2000パケット前後で着信しています。(これは80/tcpのみの数で、443/tcp, 53/tcpを加えるとさらに多くなります)実害が出るほどのトラフィックではありませんが、DDoS(ライクな)攻撃とみられます。
昨日15時頃、韓国発で32761/udpパケットが一時的に増加しました。このポートを使用しているアプリケーションは検索にかからず、原因は不明です。
3389/tcp(RDP)へのスキャンに大きな変動は見られませんが、今月公開されたWindows リモートデスクトップ脆弱性への攻撃も懸念される上、従前から比較的スキャン活動が活発なため、注意が必要です。
2019年8月18日日曜日
ポートスキャン概況(2019年8月18日)
今日の概況です。未明から午後4時頃にかけて、123/udp(NTP)宛てのパケットが大量に着信しています。発信元はほぼすべて韓国割り当てのIPアドレスの123番ポートとなっています。
発信元IPは、119.220.*に属する複数のIPアドレスで、119/8レンジにあるNTPサービスをスキャンしているように見えます。(着信が観測されたアドレスは119.245.*.*にある/29セグメント全体となっています)挙動から見るとポートスキャンに見えますが、パケット数から言えばDoS攻撃もしくはDoS攻撃の反射とみることもできるレベルかもしれません。ちなみに、このパケットの影響で韓国発のスキャンの状況は以下のように123/udpが大半を占めるようになっています。
大規模なスキャン活動だと考えれば、DDoS攻撃等の準備活動とも考えられますが、いずれにせよ、NTPサーバを運用している組織は注意が必要でしょう。
以前から観測している80/tcp,443/tcp,53/tcpへのSYNパケットは、依然として断続的に一時間2000パケット程度のレートで継続しています。
こちらのほうは、攻撃の波ごとに発信元のIPアドレスが変化しており、詐称するIPが変化しているものと考えられます。
発信元IPは、119.220.*に属する複数のIPアドレスで、119/8レンジにあるNTPサービスをスキャンしているように見えます。(着信が観測されたアドレスは119.245.*.*にある/29セグメント全体となっています)挙動から見るとポートスキャンに見えますが、パケット数から言えばDoS攻撃もしくはDoS攻撃の反射とみることもできるレベルかもしれません。ちなみに、このパケットの影響で韓国発のスキャンの状況は以下のように123/udpが大半を占めるようになっています。
大規模なスキャン活動だと考えれば、DDoS攻撃等の準備活動とも考えられますが、いずれにせよ、NTPサーバを運用している組織は注意が必要でしょう。
以前から観測している80/tcp,443/tcp,53/tcpへのSYNパケットは、依然として断続的に一時間2000パケット程度のレートで継続しています。
こちらのほうは、攻撃の波ごとに発信元のIPアドレスが変化しており、詐称するIPが変化しているものと考えられます。
ポートスキャン概況(2019年8月17日)
本日のスキャン概況です。
午後2時頃に米国で23/tcpの活動が一時的に活発化しました。
また、昨日夕方頃から123/udp(NTP)ポートへの着信が急増しています。
主な発信元は韓国(KR)と中国(CN)ですが詐称の可能性もあります。NTPサーバは近年、amp攻撃(オープンなNTPサーバを踏み台にしてパケット数やサイズを「増幅」するタイプのDoS攻撃)に利用され、巨大なトラフィックを生み出します。123/udpに対するスキャンは、こうした踏み台を探索する活動の可能性もあり、大規模なDoS攻撃の準備と考えることもできるので、注意が必要でしょう。
先日書いたWebサイトへのSYNスキャン(SYN Flood DoS)も引き続き断続的に発生しています。
発信元のIPは毎回変化居ますが、同じくらいのレートでパケットが飛んで来るので、おそらくは同一の攻撃者(グループ)によるものではないかと推測されます。
午後2時頃に米国で23/tcpの活動が一時的に活発化しました。
また、昨日夕方頃から123/udp(NTP)ポートへの着信が急増しています。
主な発信元は韓国(KR)と中国(CN)ですが詐称の可能性もあります。NTPサーバは近年、amp攻撃(オープンなNTPサーバを踏み台にしてパケット数やサイズを「増幅」するタイプのDoS攻撃)に利用され、巨大なトラフィックを生み出します。123/udpに対するスキャンは、こうした踏み台を探索する活動の可能性もあり、大規模なDoS攻撃の準備と考えることもできるので、注意が必要でしょう。
先日書いたWebサイトへのSYNスキャン(SYN Flood DoS)も引き続き断続的に発生しています。
発信元のIPは毎回変化居ますが、同じくらいのレートでパケットが飛んで来るので、おそらくは同一の攻撃者(グループ)によるものではないかと推測されます。
2019年8月15日木曜日
2019年8月12日月曜日
ポートスキャン概況(2019年8月12日)
今日の概況です。
通常のポートスキャン活動に大きな変化はありませんでしたが、朝5時50分頃にUDP/6585番ポート宛てに大量のパケットが着信しています。当該ポートを使用しているアプリケーションは検索にかからず、目的は不明ですが、2秒ほどの間に5000パケットを越える着信があり、なんらかのDoS攻撃が疑われます。発信元のIPはロシアに割り当てられた単一のアドレスで、発信元ポート番号は順次、インクリメントされていました。発信元は詐称の可能性もあり、攻撃者の国籍も不明です。2秒というごく短時間で終了していることから、本格的な攻撃前のテストという可能性も捨てられないため、しばらく注意が必要かもしれません。
80/tcpや443/tcpへのSYNパケット送りつけ(DoSというには貧弱)も間欠的に続いています。
昨夜から今夕にかけて、そこそこの頻度で着信があります。昨今の政治情勢に関連して、時節柄、今週末にかけて攻撃の頻発も懸念されるため、注意が必要です。
通常のポートスキャン活動に大きな変化はありませんでしたが、朝5時50分頃にUDP/6585番ポート宛てに大量のパケットが着信しています。当該ポートを使用しているアプリケーションは検索にかからず、目的は不明ですが、2秒ほどの間に5000パケットを越える着信があり、なんらかのDoS攻撃が疑われます。発信元のIPはロシアに割り当てられた単一のアドレスで、発信元ポート番号は順次、インクリメントされていました。発信元は詐称の可能性もあり、攻撃者の国籍も不明です。2秒というごく短時間で終了していることから、本格的な攻撃前のテストという可能性も捨てられないため、しばらく注意が必要かもしれません。
80/tcpや443/tcpへのSYNパケット送りつけ(DoSというには貧弱)も間欠的に続いています。
昨夜から今夕にかけて、そこそこの頻度で着信があります。昨今の政治情勢に関連して、時節柄、今週末にかけて攻撃の頻発も懸念されるため、注意が必要です。
2019年8月8日木曜日
ポートスキャン概況(2019年8月8日)
本日の概況です。23/tcp及び445/tcpの活動が依然として高止まりしています。
23/tcpは、中国に加え、18時頃と20時頃に米国で活発化しました。また、一時期低下していた台湾での37215/tcp(HUAWEIルータの脆弱性スキャン活動)が昨日から今日にかけて活発化しました。
NETBIOS/SMBのスキャンは、139/tcpが早朝に中国で活発化し午後2時頃にフランス、午後6時から7時にかけてメキシコで活発化しました。445/tcpは16時台にメキシコを中心に活発化しました。
最近観測している80/tcpへのSYN Floodは、依然として散発的に発生しています。昨日22時頃から今朝5時頃にかけては、80/tcpだけでなく、443/tcpや53/tcpに対するSYNスキャン(Floodと言うには少ないパケット数)が同時に発生しています。
昨今の政治情勢がらみの攻撃も警戒されるところですが、対象国からの直接的なスキャン傾向と世界的な傾向との間に大きな乖離は今のところ見られていません。但し、SYN Floodについては、IP詐称が可能なため、その疑いは捨て切れず、引き続き注意が必要です。
23/tcpは、中国に加え、18時頃と20時頃に米国で活発化しました。また、一時期低下していた台湾での37215/tcp(HUAWEIルータの脆弱性スキャン活動)が昨日から今日にかけて活発化しました。
NETBIOS/SMBのスキャンは、139/tcpが早朝に中国で活発化し午後2時頃にフランス、午後6時から7時にかけてメキシコで活発化しました。445/tcpは16時台にメキシコを中心に活発化しました。
最近観測している80/tcpへのSYN Floodは、依然として散発的に発生しています。昨日22時頃から今朝5時頃にかけては、80/tcpだけでなく、443/tcpや53/tcpに対するSYNスキャン(Floodと言うには少ないパケット数)が同時に発生しています。
昨今の政治情勢がらみの攻撃も警戒されるところですが、対象国からの直接的なスキャン傾向と世界的な傾向との間に大きな乖離は今のところ見られていません。但し、SYN Floodについては、IP詐称が可能なため、その疑いは捨て切れず、引き続き注意が必要です。
2019年8月6日火曜日
登録:
投稿 (Atom)