夜9時台に韓国発で80/tcpの活動が急増しました。発信元は単一のIPです。
Webサーバのログには何も残っておらず、サブネットの範囲全体をスキャンしているようなので、単純なポートスキャンのように見えます。ただ、それにしては頻度が高いので、中途半端なDoSの可能性も考えられますが、意図は不明です。
他に大きな変化は見られません。先般、日本発で広い範囲のスキャンがあると書きましたが、その後の調査で、内部側からのアクセス(NASがメーカーサイトからアップデートなどの情報を頻繁にUDPで取りに行き、その戻りパケットが拒否される)によるノイズと判明しました。この宛先を除外したところ、一気に静かになっています。
以上、本日の概況でした。
0 件のコメント:
コメントを投稿