-
- いいね!0
Yukihiro Kikuchi
@yukihirokikuchi
松崎さん: 皆様とお話しておきたいが、日本でもスキャンがはじまった。NICTがIoT機器について調査が始まった。機種種別など調べる。今月末までやってる。せっかくなのでキャプチャしてみた 調査パケットの調査 11/15 14:59から受信 送信元ポートは41626固定 全体で10pks/sec #janog #janog43_hall
2019-01-24 16:29:08
Yukihiro Kikuchi
@yukihirokikuchi
松崎さん: 11/16 送信元ポートが少し増える 検出したTCPポート 22,23,80,81, 2323,5555,8000など #janog #janog43_hall
2019-01-24 16:29:45
Yukihiro Kikuchi
@yukihirokikuchi
松崎さん: 会場ネットワーク 全探査されたらやだなとか おそらくインターネットをよくする目的で、この後連絡くる。この後ISPはどうすればいいのか悩んでいるところ #janog #janog43_hall
2019-01-24 16:30:36
Yukihiro Kikuchi
@yukihirokikuchi
松崎さん: ARPとか吹き荒れる 会場の無線LAN スマホが休めないのでバッテリーがちゅるちゅる減る。 #janog #janog43_hall
2019-01-24 16:32:54
Yukihiro Kikuchi
@yukihirokikuchi
松崎さん: ポート22とか返答すると、もっと違う挙動が見えてくる。 おまけ、6to4のパケットの反射も見える。#janog #janog43_hall
2019-01-24 16:34:08
Yukihiro Kikuchi
@yukihirokikuchi
松崎さん: Googleっぽい反射が見える。 誰かが6to4でパケット投げてぐるっと回ってくる。 #janog #janog43_hall
2019-01-24 16:34:56
Yukihiro Kikuchi
@yukihirokikuchi
松崎さん: 間違って設定して、パケットが流れてきたり、6to4 早く運用が終わってほしいところ。すでに廃止になってる。リレールータの運用が終われば見なくなるはず #janog #janog43_hall
2019-01-24 16:36:10
Yukihiro Kikuchi
@yukihirokikuchi
松崎さん: 突発トラフィック>300Mbps 多数の国外IPアドレスから、P2Pかなーと思ってパケット見てみると 意図が見えない。数えてみた。UDPのペイロード分を見る ファイル形式ごとに推測できる。 きれいに分散なくまっすぐ つまりランダムなデータを当てている。 #janog #janog43_hall
2019-01-24 16:38:08
Yukihiro Kikuchi
@yukihirokikuchi
松崎さん: 通信の意図はDDoS攻撃、特段に理由なく、ふとDDoS攻撃されることもある。 #janog #janog43_hall
2019-01-24 16:38:44
Yukihiro Kikuchi
@yukihirokikuchi
松崎さん: 偉い人たちになんでうちなんだといわれたときに事例としてなんもなく攻撃されたという例になる #janog #janog43_hall
2019-01-24 16:39:12
Yukihiro Kikuchi
@yukihirokikuchi
松崎さん: なんかhigh portにすごくshellっぽい文字列 なんか脆弱性があるっぽい。 なんかプラットフォーム用のバイナリがあって、どれか動けばいい、なんでこのスクリプトChmodするんだろう、、 丁寧になんでChmodするんだろうか、 仕掛けてる人のバッググラウンドが?#janog #janog43_hall
2019-01-24 16:41:09
Yukihiro Kikuchi
@yukihirokikuchi
松崎さん: 脆弱性をもっている箱があるのでみなさまご注意を 他にもよく見る現象>SIPのパケットが吹き荒れてる。SIP脆弱性を狙う模様。 イランのIPアドレスからUDP/3395にランダムなデータが。 こんなのが来たと イラン 3395とか10年間ぐらい続いている。意図とか教えて #janog #janog43_hall
2019-01-24 16:42:46
Yukihiro Kikuchi
@yukihirokikuchi
松崎さん: CH TCT version.bind. な問い合わせ。 DNSを443で上げる人がいる? over TLSでもない。理由知っている人がいれば教えて。 UDP 28746->443 特定の形式のパターンを投げる人が プロトコルがわからない。意図があるのか不明 世界中のホストが投げてくる #janog #janog43_hall
2019-01-24 16:44:00
Yukihiro Kikuchi
@yukihirokikuchi
松崎さん: おそらく誰かがスキャンツール使ったっぽい。誰か提供できる情報があるぜという人は? #janog #janog43_hall
2019-01-24 16:44:35
Yukihiro Kikuchi
@yukihirokikuchi
まほろば工房 近藤さん: 提供できる情報ではないが、SIPの話で、Asteriskのデフォルトパスワードとか流れていて、だいたいアフリカっぽいところから海外からアフリカに電話を掛けるパケットが来ている 認証ありのときはデフォルトで、1時間で10万円かかる。注意を #janog #janog43_hall
2019-01-24 16:45:50
Yukihiro Kikuchi
@yukihirokikuchi
近藤さん: いまだにパケット飛んできているので注意、松崎さん: 差額を払うみたいなシステムがあり、発展途上国には多めに払うスキームでお金儲けをするスキームが #janog #janog43_hall
2019-01-24 16:46:31
Yukihiro Kikuchi
@yukihirokikuchi
近藤さん: セッションチャージというものがあるらしく、つながった瞬間にいくらって契約した人にもらえる。 個別の番号かなんかを持っていて、その代理店契約で国際料金のキックバックを狙う攻撃 通話時間は1秒 セッションチャージなので #janog #janog43_hall
2019-01-24 16:47:28
Yukihiro Kikuchi
@yukihirokikuchi
松崎さん: 電話業界は歴史が長いので知らないアグリーメントがある。#janog #janog43_hall
2019-01-24 16:47:50
Yukihiro Kikuchi
@yukihirokikuchi
木村さん: UDP 443はPlain 松崎さん: 暗号化されてない。木村さん: 最近IETFでDNS over QUICが2017ごろ提案された、どういうのが動いているのか調査している人がいるかも、 でもそうではなさそう #janog #janog43_hall
2019-01-24 16:48:58
Yukihiro Kikuchi
@yukihirokikuchi
とうみねさん: 研究室では、ダークネットにパケットを投げる挙動が普通ではないのでアラートを投げるようにしていた。Teredoのパケットがダークネット向けに出ているというアラートが観測された。設定ミスの可能性もあるが、早くなくなってほしい。あとは跳ね返り #janog #janog43_hall
2019-01-24 16:50:24
Yukihiro Kikuchi
@yukihirokikuchi
とうみねさん: 突然のDDoS ダークネット観測すると跳ね返りでわかったりしてる。IP spoofing許しているネットワークが数多くある。uRPFしてますか?やろうよ。使われえるとレピュテーションよくないですし #janog #janog43_hall
2019-01-24 16:51:24
Yukihiro Kikuchi
@yukihirokikuchi
松崎さん: 社内利用のネットワークで誰かspoofable projectがあったので、絶賛直し中 #janog #janog43_hall
2019-01-24 16:51:58
Yukihiro Kikuchi
@yukihirokikuchi
まほろば工房近藤さん:先ほど300Mちょろっと出た。意図なくIPアドレス間違って攻撃、経路がわからないが間がやられてるとか傾向はないか。 松崎さん: IIJ直下で20Gぐらいだから誤差では #janog #janog43_hall
2019-01-24 16:52:44
Yukihiro Kikuchi
@yukihirokikuchi
松崎さん: データを共有したいという人は後で私のところへ、どうもありがとうございました #janog #janog43_hall
2019-01-24 16:53:27