30日23時頃 211.147.17.110(China, Beijing, China Network Information Center, BEIJING JIAN-CHUAN-INSTITUTE, Linux2.6,seldom2.4, 21hop) ポートスキャンの後反応のあった31のアドレスに対してパスワードを破ろうとする. ポートスキャンもかなり大規模. …

MIBのアーカイブ ftp://ftp.cisco.com/pub/mibs/ オブジェクトナビゲータ(検索) http://tools.cisco.com/Support/SNMP/do/SearchOID.do?local=en&step=1

CatOSで各ポートに接続出来るEtherアドレスを制限する. 基本禁止で許可するアドレスを設定する方式なので,禁止するアドレスが1つだけあるという場合には扱いづらい. securityを設定するとshow cam dynamicで表示させたCAMテーブルにXマークがつく MIB portSe…

30日3時頃 59.106.23.199(59-106-23-199.r-bl100.sakura.ne.jp, 千葉県佐倉市?, SAKURA Internet Inc, Linux2.6, 12hop) 3月初頭から攻撃を続けているらしい. ポートスキャンを行わず12のターゲットのtest, admin, user, a, camaron, hitoshi, nancy, ssh, c…

29日06時頃から15時頃 157.158.64.98(pc64-98.ise.polsl.gliwice.pl, Poland, Katowice, Gliwice, CKPOLSL - Silesian University of Technology, Compu, Linux2.6, 14hop) ポートスキャンの後反応のあった3つのアドレスに対してAdministrator等のパスワード…

25日18時頃 61.50.138.0/24の範囲にある9個所(China,北京, CNCGROUP Beijing Province Network, China Netcom Group Beijing Corporation,24-25hop)からほぼ同時にICMPエコー要求,ポート80,81,8080,8081,8090,49400,49401にGETリクエストがある. map:x116.38…

Simple Traversal of User Datagram Protocol (UDP) Through Network Address Translators (NATs)の略.UDPでNAT越えするために変換後のグローバル側ポート番号とアドレスを通知. UDP3478番が用いられることが多い. vovida.orgのSTUNサーバーとの通信パケット…

日時頃 81.234.151.176(81-234-151-176-no94.business.telia.com, Linux2.4-2.6, Sweden, Stockholms Lan, Hoekmossen, TeliaSonera AB, Telia Network Services, 20hop) ポートスキャンの後反応のあった5のアドレスに対してroot等のパスワードを破ろうとす…

skypeがバージョンチェックに行くホスト名. 今までの212.72.49.131と212.72.49.150に加え130.117.72.81が増えたらしい.もっとも古くからある212.72.49.131はネームサーバー登録から外れた? skype起動時に以下のようなHTTPアクセスを行う GET /ui/0/2.5.0.154…

出荷時にユーザー名11111,パスワードx-adminである事が多いらしい.

再起動(省電力復帰?)時にLANのブロードキャストアドレス(255.255.255.255ではない)のUDPポート111(RPC)にブロードキャストを行う. Portmap V3 CALLIT Callの後Portmap V2 CALLIT Call,4秒後にこれらを再送.計4パケットが発信される. RPCブロードキャストによ…

18日19時頃. 71.235.51.227(c-71-235-51-227.hsd1.ct.comcast.net, Solaris10, United States, Connecticut, West Hartford, Comcast Cable, 15hop) map:x-72.7444y41.7580:hybrid 100程のアドレスを攻撃. admユーザーを標的にする.

17日03時頃 63.116.205.62(Linux2.4-2.6, アメリカ,New York, Jamaica, Verizon Business, jamaicab, 14hop) 2月中頃からSSH総当たりを続けているらしい. ポートスキャンを行わず13のアドレスに対してunknown等のパスワードを破ろうとする. 遮断されて10分ほ…

15日16時ごろから 暫く前からネームサーバーにICMPパケットを投げ続けていたmozilla.comドメインの3つの機械が,何故か同じネームサーバーのポート80番を叩いてくるようになる(?) 63.245.213.0/24のアドレス範囲にある. http://isc.sans.org/ipinfo.html?ip=6…

Open Solaris等に最近搭載されるようになったLinux(現在の所?)仮想環境.lxrunがLinuxアプリケーションをOSはSolarisのままで動かすのとは違い,OSごと仮想化する.ログインして使用する分にはLinuxをそのまま使っている感覚に近い. インストール リンク http:/…

skypeの音声通信では1時間に100から150の機械と通信しその数は急激に増減しない. skype起動状態でデフォルトゲートウエイの設定されていない機械が接続されたときのARP発行の様子をgraphvizのdotで視覚化したもの. 赤は本来現れるはずのない外部アドレス.四…

12日05時頃. 211.115.221.153(Solaris10, 韓国, KRNIC, 13hop) map:x127.5000y37.0000:hybrid 150程のアドレスを攻撃. admユーザーを標的にする. 12日11時頃. 85.17.35.185(Solaris10, Netherlands, Noord-Holland, Amsterdam, Ocom B.V. LeaseWeb, 18hop) m…

10日03時頃. 196.43.85.84(Solaris10, TANZANIA-UNITED-REPUBLIC-OF, Dar es Salaam, TANZANIA TELECOMMUNICATIONS CO. LTD, 17hop) map:x39.2833y-6.8000:hybrid 100程のアドレスを攻撃. Solaris10のtelnetサーバーにUSER環境変数'-fユーザー名'を設定して…

9日02時頃 75.4.1.225(adsl-75-4-1-225.dsl.irvnca.sbcglobal.net, linux2.4-2.6, United States,California,Los Angeles, SBC Internet Services, 17hop) 300ほどのターゲットにポートスキャンの約10分後反応のあった6つに対してパスワードを破ろうとする. …

7日04時頃 81.219.123.88(Poland, Warszawa, Pro Futuro S.A., Connected through Futuro Poland, Linux2.6seldom2.4, 19hop) 約600アドレスへのポートスキャンの10分ほど後反応のあった3つのアドレスに対してパスワードを破ろうとする. バナーはSSH-2.0-lib…

日本語版も出来ていたらしい http://www.pandoratv.jp/

http://www.bunny.or.jp/~fulfill/Cyber-barrier/index.html 参照

2つの異るスイッチから出るケーブルが一つのハブに繋がれてループが発生したときの流量の様子をgraphvizのneatoによって視覚化したもの. 約5分程度で3ギガバイトほどの流れが2つのスイッチ(右上および右下)の間で発生している.ループは異常が起きた2つのスイ…

2日06時頃 61.205.115.244(Linux2.4-2.6,host20.k-opti.ad.jp,日本,K-Opticom Corporation,15hop) 03時から04時過ぎまで約30のターゲットに数分に1度程度の緩やかなポートスキャンを行い,4つのアドレスに絞って攻撃する.ポートスキャンの対象は無作為に選ば…

28日11時頃から 1時間に10から15のソースアドレスが同じく10ら15のターゲットをスキャンしていく.長時間型,ソースターゲット両分散型のスキャンを行っている. 韓国,アメリカが多くそれぞれ1/4程度,中国,フランス,ロシア,カナダ,ブラジル,台湾等に分布してい…

28日21時頃から1日04時頃 1時間に5程度のソースアドレスが同じく5,6のターゲットをスキャンしていく.長時間型,ソースターゲット両分散型のスキャンを行っている. アメリカeku.edu(Eastern Kentucky University)ドメイン内に多く分布している. ポート8373はこ…