午後2時頃に米国で23/tcpの活動が一時的に活発化しました。
また、昨日夕方頃から123/udp(NTP)ポートへの着信が急増しています。
主な発信元は韓国(KR)と中国(CN)ですが詐称の可能性もあります。NTPサーバは近年、amp攻撃(オープンなNTPサーバを踏み台にしてパケット数やサイズを「増幅」するタイプのDoS攻撃)に利用され、巨大なトラフィックを生み出します。123/udpに対するスキャンは、こうした踏み台を探索する活動の可能性もあり、大規模なDoS攻撃の準備と考えることもできるので、注意が必要でしょう。
先日書いたWebサイトへのSYNスキャン(SYN Flood DoS)も引き続き断続的に発生しています。
発信元のIPは毎回変化居ますが、同じくらいのレートでパケットが飛んで来るので、おそらくは同一の攻撃者(グループ)によるものではないかと推測されます。
0 件のコメント:
コメントを投稿