13日20時頃から14日00時 200パケット,60アドレス/時程度 ターゲット末尾は88(1アドレス,外部と通信しない) ほぼスペインから,ポーランド,日本,フランス,プエルトリコもわずかにある. ISC

14日02時頃 (122.208.101.163, 122x208x101x163.ap122.ftth.ucom.ne.jp, 日本,U's Communications Corp,13hop) ポートスキャンを行わず4アドレスに対してrootのパスワードを破ろうとする. バナーはSSH-2.0-libssh-0.1 遮断後も20分程度アクセスを繰り返して…

1パスワードが解析.再度修正. 一応発見期ではあるらしいが,前回から3日間8文字パスワードの1文字目固定という状態から変化していない.8文字のパスワード解析には時間がかかるのでまた沈黙期に入ると思われる. http://d.hatena.ne.jp/naablaa/20061223#p1

7000パケット,1700アドレス/時程度,11万3000パケット,9000アドレス/日程度 ターゲット末尾は87(1アドレス) イタリアほぼ半数,スペイン,フランス,スウェーデン,イスラエル等が多い 7日から始まったスキャンがターゲット,分布などほぼ一定のまま1週間ほど続い…

12日21時頃から13日02時頃まで 170パケット,20アドレス/時程度 ターゲット末尾は0(1アドレス,ネットワークアドレスではない) 主に中国から ISC

10日07時頃から時頃 10ソースアドレス,40パケット,20ターゲットアドレス/時程度 約20弱のソースが300ターゲットを分散してスキャンしていく 上のポート80番を攻撃して来たものと一致するものがかなり見受けられるが,完全に一致するわけではないらしい. アメ…

10日07時頃から23時頃まで,ポート80のスキャンは多いので分散スキャンのみを切り分けるのは難しい. 20パケット,5ターゲットアドレス/時程度,合計して20弱のアタッカーが60ほどのターゲットを非常に緩やかにスキャンしている.ターゲットは特に絞り込んではい…

日時頃から時頃まで 100パケット,25アドレス/時程度 ターゲット末尾は218(1アドレス) ポルトガル,中国が1/4程度,アメリカ,ドイツ,イタリア,カナダ,イスラエル等に広く分布. ポルトガルが多いのは珍しい ISC

10日にも1パスワードが解析された.12月中は沈黙期だったが再度発見期に入ったらしい. 参照 http://d.hatena.ne.jp/naablaa/20061223#p1

9日2時頃から3時頃まで 150パケット,40アドレス/時程度 ターゲット末尾は87(1アドレス,外部と通信しない) ほぼイタリアから,スペイン,スウェーデン,フランス,イランもわずかにある. ISC

1月8,9日と連続して2パスワードが解析されたため修正. 参照 http://d.hatena.ne.jp/naablaa/20061223#p1

7日10時頃から23時頃まで,8日10時から11時. 160パケット,20アドレス/時程度,1時間数パケットづつながら継続して続いている. ターゲット末尾は0(1アドレス,ネットワークアドレスではない) ほぼ中国から. ISC

6日13時頃から 300パケット,80アドレス/時程度 ターゲット末尾は218(1アドレス) 中国半数,台湾1/5が多く,イスラエル,スペイン,フランス,ドイツ,韓国等に分布 6日18時頃から 100パケット,30アドレス/時程度 ターゲット末尾は87(1アドレス) ほぼイタリアから,…

6日01時頃から20時頃まで 200パケット,50アドレス/時程度 ターゲット末尾は87(1アドレス) イタリア,スペイン,フランス,ドイツ,アメリカ,ブラジル,イスラエル等に広く分布 ISC

6日6時頃 63.214.236.159(Linux2.4-2.6, UNITED-STATES,Florida,Miami, Level 3 Communications, 15hop) ポートスキャンの後反応のあった6のアドレスに対しパスワードを破ろうとする. バナーはSSH-2.0-dropbear_0.47 map:x-80.2939y25.7615:hybrid

5日15時頃から19時頃まで 90パケット,35アドレス/時程度 ターゲット末尾は218(1アドレス) ほぼ中国から,台湾,日本,香港,カナダ,シンガポールもわずかにある. ISC

1日分のARP発行数を集計し,発行数を擬似的にフローとみなして上記のmclによりマルコフクラスタリングを行ったもの. エッジを1日に50回以上ARPを発行しているものに限ってgraphvizのdotによりグラフ化.LAN内の機械同士の関係性を調べる. クラスタリング後 ク…

クラスタに所属するエッジをsubgraph cluster_ナントカ { ... }に記述する. クラスタとして認識させるにはcluster_という接頭子が必要.これがないとクラスタの枠線などが描かれない. グラフ全体のパラメータとしてclusterrank="global"を指定するとクラスタ…

マルコフ過程が定義されているグラフをクラスタリングする.マルコフ過程にそってランダムウォークしたときに良くとらわれている場所をクラスタとして抽出. 少数の大きなクラスタが出来やすい傾向がある. リンク http://micans.org/mcl/index.html http://mic…

5日00時頃から02時頃まで 130パケット,40アドレス/時程度 ターゲット末尾は87(1アドレス,上に同じ) ほぼイタリアのみ ISC

日時頃から時頃まで 130パケット,40アドレス/時程度 ターゲット末尾は87(1アドレス,外部と通信しない) イタリア半数,フランス,スペイン,ベルギーなどに分布 ISC

runitに含まれるロギングプログラム,daemontoolsのmultilogに相当し,multilogに代替して使用することも出来る. ログファイルのローテーション,世代数管理,別ホストへの転送,ローテート時の処理プログラム呼び出し,複数のディレクトリへのログ分類などが可能.…

4日02時頃から04時頃 470パケット,80アドレス/時程度 約の200ソースが400ターゲットを分散してスキャンしていく アメリカが約2/3,台湾,カナダ,ロシア,プエルトリコ,イタリア,フランス,チリ,イギリス等に広く分布. 2日より継続してアメリカからのスキャンが20…

graphviz-2.12のクリッカブルマップ出力 -T cmapは2.8系に比べてrect以外の形を取り扱えるよう改良されたらしい. area shape="circle"の場合,coordsの3つのパラメータの最後で指定される円の半径部分にx座標の値が加えられているのか非常に大きな半径になっ…

3日00時頃から 800パケット,200アドレス/時程度 ターゲット末尾は87(1アドレス) イタリア2/3,スウェーデン,スペイン,イスラエルなどに分布 ISC

2日16時頃から20時頃まで 660パケット,180アドレス/時程度 ターゲット末尾は90(1アドレス,未使用) 主にフランスから,ベルギー,スイス等もわずかにある ISC

エッジのstyle="setlinewidth(数値)"数値が大きいほど太くなるが,3に比べて4はかなり太くなるように見える. リンク http://www.graphviz.org/doc/info/attrs.html#d:style

通信量を統計するipauditについてくるおまけツール(?).パケットからASCII文字列を抽出する. ngrepとは違ってマッチング機能はない.連続するASCII文字列の長さによる出力制御が出来る. パケットダンプ全てを保存する場合に比べ,ASCII文字列のみを残しバイナリ…

2日12時頃から 200パケット,100アドレス/時程度 約300のソースが550ターゲットを分散してスキャンしていく アメリカが約1/3,中国,オーストラリア,台湾など,中国は17時頃,オーストラリアは15時頃にはかなり沈静化した. ISC

2日00時頃から02時頃まで 40パケット,10アドレス/時程度 ターゲット末尾は0(1アドレスネットワークアドレスではない) 全て中国から ISC