[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[connect24h:5507] Re: 初歩的な攻撃

To: connect24h@xxxxxxxxxx
Subject: [connect24h:5507] Re: 初歩的な攻撃
From: Yasuhiro Toi <y_toy@xxxxxxxxxxxxxxxxx>
Date: Sun, 16 Feb 2003 19:21:58 +0900

戸井@ifnetです。

tldでブロックというのにネガティブな反応があってちょっと戸惑ってます。

ブロックし始めたのはCodeRedの騒ぎの時ですね。
当時はIPアドレスが61.xxx.xxx.xxxと203.xxx.xxx.xxxのNT4 + IISサーバーの
面倒を見ていたのですが、セキュリティパッチをあてているとはいえ大量の
エラーログを見るのがいやになり、IP Address Index(http://www.ipindex.net)
(今はサービスが止まってます)を参照に、JPに割り当てられたアドレスでないことを
確認して塞いできました。
当然、不特定多数を相手にしたサービスを行っていなかったのでできたことですが。
また当時はwhoisで調べたtechnical contactに全く連絡が取れなかったことも
ブロックを始める一因となりました。

>どうやって、CN/HK/TW/KRを発信元とするパケットを判断しているか、
>この文章では判断つきませんが、もしもDNSの逆引きによるドメイン名での
>フィルタだとすると、あまりに乱暴かつ穴の多いフィルタで、
>このようなポリシーを採用するサイトの事情というのが想像できません。

ブロックするアドレスは、APNIC allocation and assignment reports
(http://ftp.apnic.net/stats/apnic/)を見て設定しています。
snort/ip filter/ルータのログを調べ、不正アクセスらしいと判断したところで、
APNIC allocation and assignment reportsを見てフィルタルールの追加・修正を
行ってます。


Yasuhiro Toi(戸井康弘)
E-Mail   y_toy@xxxxxxxxxxxxxxxxx
Homepage http://www.ifnet.or.jp/~y_toy/
         http://www2t.biglobe.ne.jp/~y_toy/ (i-Mode)


--[PR]------------------------------------------------------------------
【 FreeML ユーザー登録してますか？】
　　・メールアドレスとパスワードのカンタン登録！
　　・ニックネームもつけられるし、WEBメールも使える！
　　・MLだってカンタンに作れちゃう！
▼ いますぐ登録！ => http://click.freeml.com/ad.php?id=121394
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online  www.gmo.jp

Follow-Ups:
- [connect24h:5508] Re: 初歩的な攻撃
  - From: SAKIYAMA Nobuo

References:
- [connect24h:5501] Re: 初歩的な攻撃
  - From: Hiroshi Tsukamoto

Prev by Date: [connect24h:5506] Re: 初歩的な攻撃
Next by Date: [connect24h:5508] Re: 初歩的な攻撃
Previous by thread: [connect24h:5501] Re: 初歩的な攻撃
Next by thread: [connect24h:5508] Re: 初歩的な攻撃
Index(es):
- Date
- Thread