[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[connect24h:6779] Re: ウイルス感染PC 強制接続停止
- To: connect24h@xxxxxxxxxx
- Subject: [connect24h:6779] Re: ウイルス感染PC 強制接続停止
- From: Yamada <directxx@xxxxxxxxxxxxxxxx>
- Date: Tue, 25 Nov 2003 10:49:55 +0900
山田くん@ISPです。
> ISPバックボーン幹線にてSniffer系のパケットを眺めるツールとか、snortとか
> でワームに感染しているIPを特定。IPと時間とpppoe等の接続ログからユーザが
> 特定できます。
> 後はそのユーザのIDを一時的に無効化すれば、接続拒否できますね。
> ただ、ISPとしてはそんな面倒くさい手間とコストがかかることなんてやりたく
> ないでしょうが。。。
P2P制御装置とか使えば、各IPごとの使用ポートがわかりますので、
ある程度ユーザを特定できます。
が、この時代そんなコストでるわけないので、
管理者宛に送られてくるウィルス検知メールが
唯一のユーザ特定できる情報ですね。
うちでは、あまりにも多くの発信が確認された場合には、
メール送信ログからIP特定、で、ユーザ特定して、ウィルス駆除依頼をエンドユーザにかけてます。
> > そんなものを始めるならそれよりも先に
> > 明らかにウィルス(ワーム)発のパケットと分かるものを
> > ISPがフィルタリングすべきだと個人的には思います。
>
> ISPのトラフィックはそんな単純にフィルタリングできません。
そうですね、できればやりたいですが。
パケットを開いて、シグネチャを見比べて、Gigaのスループット出して、
安定して動いて、安価な装置があれば導入したいのですが。
---
Koji Yamada <yamada@xxxxxxxxx>
http://www.sdlab.org
--[PR]------------------------------------------------------------------
◇◇ 無料登録 ◇◇
━━━あなたはクリスマスを友達と過ごす?好きな人と過ごす?━━━
今年のクリスマスは・・・そんなあなたに自分の恋愛方法が良くわかる
◆無料登録◆で恋愛して、結婚相手を探す!ノッツェが運営のe-お見合い
詳しくはこちら→ http://ad.freeml.com/cgi-bin/ad.cgi?id=csi6U
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online www.gmo.jp