今朝5時台に、米国発でSMTP(S)関連ポート(25,465,587/tcp)を狙ったスキャンが多数発生しました。
23/tcpでは、エストニア発のバーストは終息し、引き続き米国、中国、カナダなどでの活動が活発です。
このうちカナダでは、23/tcpの活動が大半を占めています。
1433/tcpの活動は引き続き中国を中心に高い状態が続いており、ここ数日活発だった9001/tcpの活動は終息に向かいつつあります。
新たに、エストニアとオランダについて国別の集計を作って見ました。エストニア発では幅広いポートへのスキャン活動が見られます。時折集中的なスキャン活動もあるようです。
オランダ発では非常に多数の連続的なポート範囲への着信が観測されていますが、これらはIP詐称によるリフレクションの可能性もありそうです。積み上げグラフの限界を超えるため、下の時系列グラフでは時間当たりのイベント数が10を越えるポートのみ表示しています。特徴的なのは、3306/tcp(MySQLポート)へのスキャンが特に活発なことでしょう。
WebサーバへのDoSライクな着信は引き続き間欠的に続いていて、本日の夕方以降、現在まだ継続中です。このところ使われているのはイタリア割り当てのIPアドレスです。53/tcp(DNS tcpポート)への着信も米国発主体に多い状態が続いています。
以上、本日の概況でした。
0 件のコメント:
コメントを投稿