過去のトピックスなど

[2005Jun20] IWR aka. WCLSCANのデータベース・計算サーバをさらに強力なものにリプレース します。作業には数日かかります。その間、インターネット危険度を表す フェースマークやグラフなどのアップデートは停止します。よろしくお願いします。

[2005May28] センサーに届くパケットの統計処理に関して、少し変更を加えました。今まで 到着したすべてのパケットに対して処理していましたが、今度からは同じアド レスから繰り返して何度も来るようなパケットは、まとめて1カウントにして しまう方法にしました。これによって同じパケットを大量に吐き出すようなウィ ルスがあっても対応できるようになったはずです。この方式でしばらく様子を 見てみます。

[2004Dec25] 2004年12月22日深夜に特定のセンサボックスに対してDDoSが行われた形跡を発 見しました。今後の経過観察のためにデータは補正はしていません。そのため 該当時間帯のデータに異常なピークが発生しております。データを参照の際は ご注意ください。

[2004May06] GNOME 2.6用のアプレットGNOME IWR Applet を作成 : GNOME 2.6用のアプレット GNOME IWR Applet を作成しました。GNOMEのアプレットとして、IWR aka WCLSCAN の結果を一定時間毎にモニターします。各ディストリビューション用 のパッケージなどは、まだ用意されていませんが、ソースコードはダウンロー ドできます。

[2004Apr07] 直観的な理解を助けるアイコン : 現在のインターネットの状況が一目でわかるように、左上に顔のアイコンを 表示するようにしました。顔の種類と意味は こちらにあります。 これは、1991年前後にNeTSプロジェクトで共同研究していた岡本由佳研究員の 「表情アイコンによるネットワーク状況認知の考察」の研究からヒントを得ています。

[2004Apr07] ソフトウェアシンポジューム2004 : 2004年6月21日から6月24日まで岡山コンベンションセンターで開催される、 Software Symposium 2004 (主催 ソフトウェア技術者協会) にて研究成果を発表します。

[2004Mar17] FIRST Conference 2004 : 16th Annual Computer Security Incident Handling Conference ( Budapest, Hungary June 13-18, 2004 ) にて研究成果を発表します。

[2004Mar09] CLSCAN パッケージバージョン 02-17 公開 : MN8300W をサポートしました。詳しくはリリース情報を参照してください。 (追記) [2004Mar17] マイナーな修正をした02-17-01版を公開しました。

[2003Sep27] 8/3 --- 8/31日までの Port 135の グラフ を掲載します。Blasterの立ち上がり、夏季休暇の終了、亜種の発生 などがよくわかります。

[2004Jan09] JPCERTコーディネーションセンター発表と警察庁@police発表のデータの食い違いとIWR aka WCLSCAN の状況について

JPCERT/CCと@policeでは前者がPingパケットに反応するタイプ(ICMPのEcho Request 対しReplyを返す)、後者が反応しないタイプです。なぜそうした のかの情報を双方とも出していないのでわかりませんが、とにかくそ うなっています。

IWR aka WCLSCANは、ネットワーク上でその検知ボックスの存在を知られるこ とはない、つまりネットワーク的に存在していない、という設計思想に基づい ています。完全にインターネット中をランダムに飛び交うパケットの到着を観 測に使っています。具体的にはLinux Boxを用いて下記のような方法ですべて のパケットをリジェクトしています。 

  iptables -F INPUT
  iptables -A INPUT  -i eth0 -j LOG
  iptables -A INPUT  -i eth0 -j REJECT

今回の件に関しては本システムは動作的には@policeと同じです。また傾向に 関しても@policeと同じです。当然、Nachiのようなマシンの存在を確認した後 に攻撃するような手法を取っているものに関しては、取れるデータが違ってき ますが、いずれにせよ最初の探知に関しては検知ボックスに届くので、何か通 常ではないパケット到着は発生していることを推定することは可能です(ただ し、現在はICMPを対象にはしていません)。

[2003Dec16] WCLSCANセンサーがwww.sco.comへの攻撃を確認

送付元アドレスを偽造しSYN Flood Attackが行われるとbackscatterという現 象が現われるのが知られています。WCLSCANセンサーは2003年12月14日午後6時 23分46秒と51秒にwww.sco.comへ攻撃を行われた際に発生したと思われる backscatter パケットを検知しました。 


  wclscan,dec,14,18:23:46,1990/tcp,216.250.128.12,80,220.110.1.197,1990
  wclscan,dec,14,18:23:51,1990/tcp,216.250.128.12,80,220.110.1.197,1990

  $ host 216.250.128.12
  12.128.250.216.in-addr.arpa domain name pointer www.sco.com.
[2003Nov05] 携帯電話からの確認ができるようになる。

Internet Weather Report aka WCLSCANの検知情報が携帯からも確認できるようになりました。 簡易HTML 版 ( NTT ドコモ iモード / vodafone J-スカイ改めvodafone live!) と HDML 版 ( KDDI au EZWeb ) があります。 Lは危険度レベル、Pはポート番号、Bはベイズ推定値、Cは本日のカウント数で す。危険度レベル1が「緊急性が高い」、レベル2が「注意喚起」、レベル3が 「推移を見守る」ぐらいの意味です。尚、本日のカウント数は、午前0時を起 点にカウントしていますので、危険度のレベルが高いけれども、カウント数が 少ない場合もあります。

[2003Nov05] 検知したパケットのトップ10

検知したパケットの トップ10 の棒グラフ (3日以内、7日以内、30日以内) を表示します。

[2003Oct29] WCLSCAN公開実験開始

広域アラートシステム WCLSCANを開発していますが、 そのプロトタイピングレベルが終了しました。 現在、検知したパケットから、ベイズ推論を使い攻撃を自動的に発見する実験 を行っています。 ここに 推論結果のデータグラフ を公開しておきます。 IWR aka WCLSCANの詳細はここへ

[2002Dec24] 一年分の処理結果公開

h2np.netサイトにおける約1年分のルータのログ(2002年1月 1日〜12月24日)をclscanで処理した統計 を公開します。

!!注意: アラートクラスは設定していません : 注意!!

そもそも「記録されたもの=不正アクセス」というわけではありません。 よく「パケット到着=不正アクセス」と誤解している人(たとえば警察の発表 など )を見かけますが、それは正しい解釈ではありません。 くわしくは本ページの「セキュリティアラートって何?」の節を参照してください。

CLSCANのトップページへ
$Id: oldissue.html,v 1.4 2005/06/25 10:01:32 hironobu Exp hironobu $