発信元IPは、119.220.*に属する複数のIPアドレスで、119/8レンジにあるNTPサービスをスキャンしているように見えます。(着信が観測されたアドレスは119.245.*.*にある/29セグメント全体となっています)挙動から見るとポートスキャンに見えますが、パケット数から言えばDoS攻撃もしくはDoS攻撃の反射とみることもできるレベルかもしれません。ちなみに、このパケットの影響で韓国発のスキャンの状況は以下のように123/udpが大半を占めるようになっています。
大規模なスキャン活動だと考えれば、DDoS攻撃等の準備活動とも考えられますが、いずれにせよ、NTPサーバを運用している組織は注意が必要でしょう。
以前から観測している80/tcp,443/tcp,53/tcpへのSYNパケットは、依然として断続的に一時間2000パケット程度のレートで継続しています。
こちらのほうは、攻撃の波ごとに発信元のIPアドレスが変化しており、詐称するIPが変化しているものと考えられます。
0 件のコメント:
コメントを投稿