昨日の午前中に、米国方面で発生したDDoSのリフレクション(攻撃を受けた先から詐称されたIPアドレスへの戻りパケット)とみられる大量のトラフィックを観測しています。攻撃対象は複数ホストのWeb(HTTP/HTTPS)や不明なポートと見られ、こちらに着信した宛先ポート(攻撃パケットの発信元ポート)は60000番台の複数のポートでした。また、現在観測しているIPアドレス(/29の固定IPセグメント、異なるレンジにある固定IP2個及び、ダイナミック割り当てのIP1個)の全体にわたって着信しているため、広い範囲のIPを詐称した攻撃と考えられます。これがDoS攻撃であれば特定のサイトを狙ったというよりは、ネットワークへの飽和攻撃の可能性も考えられます。近年、多数のIoTボットを利用したDDoS攻撃でISPレベルのバックボーンネットワークを飽和させるような攻撃も発生しています。今のところ、米国方面でそうした攻撃が発生したという情報はありませんが、限定的な攻撃または実験である可能性も否定できません。以下が米国からのトラフィックを抽出したグラフです。
本日も小規模ですが、同様の事象が発生しています。ただ、疑問が残るのは、リフレクションとみられるパケットにACKフラグが含まれていないように見える点です。一般にSYN Floodの場合、リフレクションにはSYN+ACKフラグがセットされてきます。しかし、昨日見た限り(ログを信じるならば)パケットにはSYNフラグしかセットされていないようです。そう言う意味では、このトラフィックがリフレクションであるという確信も持ちきれません。逆にリフレクション攻撃を狙うのであれば、60000台ポート宛てというのも腑に落ちません。ちょっと謎が残る事象です。
【後日追記】----------------------------------
この事象の原因が内部側にあることが判明しました。内部側にある機器がその仕様上米国の複数のサイトにアクセスする際、ルータとの間の問題で、相手側からの戻りパケットが大量に拒否されるという事象の結果のようです。とりあえず、その機器を停止させて様子を見ています。
------------------------------------------------
通常のポートスキャンでは、米国方面で一時的に23/tcpが活発化する時間帯がありました。(下のグラフで突出した部分)
81/tcpでは中国発のパケットが一時的に増加する時間帯がありました。また、8080/tcpでは依然として中国発の活動が活発で全体の大半を占めていますが、時折米国等でも活発化する時間帯があるようです。
22/tcp(SSH)でも中国発がコンスタントに活発ですが、時折、ロシア(薄青)や黒(ルーマニア)、赤茶(インドネシア)などでも活発化します。これらの多くが、SSHへのログインを狙ったブルートフォース攻撃対象を探索するためのスキャンと考えられます。
Windows系サービス探索では、139/tcp(netbios)で、7時台にインドネシア、タイ、ベトナムなど東南アジア方面を発信元とする活動が一時的に活発化しました。445/tcp(SMB)の活動は相変わらず広い地域で活発ですが、さらにすこし活発化する傾向にあるようです。
国別では、中国発のスキャンが午後4時台に一時的に増加しました。23/tcpの増加が大きいようですが、他のポートも軒並み増加しています。
その他、MiraiボットなどIoTボットによると思われる活動もコンスタントに継続しています。開始対象のWebサーバで観測していたSYN Flood系の攻撃は、ここ数日観測されていません。
以上、今日の概況でした。
【22:55追記】
21時台にスウェーデン発の23/tcpパケットが急増しました。
0 件のコメント:
コメントを投稿