|
サーバーを設置してからこのSYSLOG(UNIX システム・メッセージのログをログ・ファイルに記録するプログラムのこと)を
どう活用しようかずーと考えていました。
WindowsでもつかえるTOOLがあるということで試したけどいまいち・・・
Linuxで管理できるといっても、本格的に運用すると大掛かりな仕事になる。
ということで、やはり一番身近なエクセルを使用してまとめることしました。
どのようなTOOLを使用して行ったかは下の(Syslog活用方法)を参照にしてください。
さて、まったく興味の無い方は読んでも何のことだかさっぱり解らないだろう。
と、いうことでなるべく文字を少なくして解りやすく簡潔に書いていきます。
SYSLOGの結果と最近のウィルスの傾向がわかるように
ノートン先生のサイトから常時表示できるようにしました。
※ノートン先生とは、シマンテックといったらノートンアンチウィルスが有名ですよね。だからですw
|
|
|
グラフを見る前に言葉の説明。(下に移動しました)
※一応下の先月分のログとそのまとめを読んでいただくだけで結構です。
いってみれば他はあまり必要ないデータなんでw
| 2004年9月のポートへの攻撃の割合 |
| 順位 |
プロトコル |
ポート番号 |
割合 |
攻撃回数 |
| 1 |
TCP |
445 |
50% |
62822 |
| 2 |
TCP |
135 |
34% |
42677 |
| 3 |
UDP |
137 |
7% |
8644 |
| 4 |
TCP |
5000 |
3% |
3984 |
| 5 |
- |
その他 |
6% |
7206 |
|
 |
上位3つを見ていきます。
9月のログの結果ですが、
先月と同様半分が「TCP:445」に攻撃を受けている。
次に「TCP:135」、「UDP:137」と大幅にアタックの回数が多い。
割合では解らないので前後の月のアタック回数で見比べてみることにしよう。
表 8月、9月に一番攻撃されている上位3位の回数
| |
445 |
135 |
137 |
| 9月 |
62822 |
42677 |
8644 |
| 8月 |
47904 |
34102 |
9340 |
表を見る限りだと、9月の攻撃回数は約3割増えている。
では、一番攻撃回数が多い先を調べてみました。(上から順に攻撃回数が多い。)
------------------------------------------------------------------------
a. [IPネットワークアドレス] 219.167.0.0-219.167.112.0
f. [組織名] 株式会社 ぷららネットワークス
------------------------------------------------------------------------
a. [IPネットワークアドレス] 219.160.0.0-219.160.255.0
f. [組織名] オープンコンピュータネットワーク(OCN)
------------------------------------------------------------------------
a. [IPネットワークアドレス] 220.108.0.0-220.108.255.0
f. [組織名] 株式会社 ぷららネットワークス
------------------------------------------------------------------------
inetnum: 220.186.0.0 - 220.186.255.255(飛び飛びだがかなり多い)
country: CN
------------------------------------------------------------------------
NetRange: 222.0.0.0 - 222.255.255.255
Country: AU
------------------------------------------------------------------------
NetRange: 60.0.0.0 - 60.255.255.255
Country: AU
------------------------------------------------------------------------
まとめ、
全体の3割強はぷららユーザーからのアタックでした。その他見ての通り。
因みにそのポートにアタックをするウイルスを調べたところ、
今年の4月ごろはやり始めた「Sasser」wormと呼ばれるワームが原因ではないかと考えられます。
このウイルスはどんなウイルスかというと、
マイクロソフト社が4月14日に発表したMS04-011により措置される脆弱性の一つ
(LSASS:Local Securit Authority SubsystemServiceに関するもの)を悪用するもので、
Windows2000、Windows XP及びサーバ用製品が導入されているパソコンを
(要するにWindowsを) ネットワークに接続しているだけで感染する種別のものです。
・ このワームからの感染を防止するには
各パソコンに「セキュリティパッチを当てる」又は
「ウイルス対策ソフト(Norton AntiVirus , ウイルスバスター など)を導入し、パターンファイルを最新化にする」
これらが最も確実な手段となります。
または現在市販に売られているルータを設置するのも有効でしょう。
まったく予断だが、
OCNはIPからどこの地域かわかりますから、
調べるとどこの地域の人たちが一番感染しているかわかりますねw
|
この下の円グラフはあまり使えないかも、古いデータとまとめちゃいけなかった気がする・・・
| 2003年のサーバー設置から2004年8月までのポートへの攻撃の割合 |
| 順位 |
プロトコル |
ポート番号 |
割合 |
攻撃回数 |
| 1 |
TCP |
135 |
34% |
|
| 2 |
TCP |
445 |
20% |
|
| 3 |
UDP |
137 |
15% |
|
| 4 |
TCP |
139 |
8% |
|
| 5 |
TCP |
80 |
8% |
|
| 6 |
TCP |
111 |
5% |
|
| 7 |
TCP |
1025 |
2% |
|
| 8 |
TCP |
2745 |
2% |
|
| 9 |
TCP |
3127 |
2% |
|
| 10 |
TCP |
6129 |
1% |
|
| 11 |
- |
その他 |
2% |
|
|
 |
ここから下は参考程度に。
具体的な数値をグラフにまとめました。
※先月までグラフを対数表示していたが、やはりこれだけ攻撃回数が多いということを
重く受け止めてもらうためにも正規グラフにしました。
| 2004年9月までのログ |
順位
- TCP:445(50%)
- TCP:135(34%)
- UDP:137( 7%)
|
 |
ここから下は、
(※グラフの表記は対数で表しました。 あまりよくないのだがw)
まあ理由としては、グラフの線(1000の値)のところより下は、
正規で表記するとあるかないか程度(100%のうち数%)しか満たないため
見落とされてしまうと思ったためあえてたくさんあるように見せるために対数を使用しました。 |
順位
- TCP:445(57%)
- TCP:135(27%)
- UDP:137( 8%)
8月のアタックに関するまとめ |
 |
順位
- TCP:445(47%)
- TCP:135(33%)
- UDP:137( 9%)
|
 |
順位
- TCP:445(49%)
- TCP:135(24%)
- UDP:137(14%)
|
 |
順位
- TCP:135(34%)
- TCP:445(24%)
- UDP:137(17%)
|
 |
順位
- TCP:135(32%)
- TCP:445(14%)
- UDP:137(13%)
|
 |
順位
- TCP:135(30%)
- UDP:137(26%)
- TCP:445(22%)
|
 |
順位
- UDP:137(39%)
- TCP:135(24%)
- TCP:445(11%)
|
 |
順位
- UDP:137(53%)
- TCP:135(23%)
- TCP: 80(12%)
|
 |
| 2003年 |
順位
- TCP:135(59%)
- TCP: 80(19%)
- UDP:137(18%)
|
 |
順位
- TCP:135(93%)
- TCP:445( 2%)
- UDP:137( 1%)
|
 |
サーバーを設置し、
ログをとり始めた時期です。
丸一ヶ月ログをとっていませんが、
それでもずば抜けて
「TCP : 135」
に攻撃が多いことが分かります。 |
 |
簡単な説明
プロトコル(TCP、UDP)、ポート番号ってなに? 順に答えていきます。
詳しく知りたい方はこちらがよいかも⇒(IT用語辞典)
| TCP+ポート番号とは(2つの仕事がある。) |
一つ目
TCPには、
送信したデータを
ちゃんと送信できたか
確認をする機能がある。
出来なかった場合
再度送信してもらう。 |
 |
二つ目
インターネットを使用するソフトウェアにはポート(ドアのようものがある。)
そのようなソフトウェアは、
すでに決められたポートを使用する。
それにより正確に送信することが出来る。
ココでポイント
よくルータ(ファイアウォール)があるとよい。
という話を聞くだろう。
それらはこの空いているポート(ドア)を勝手に侵入してこれないように鍵を閉めるのである。
|
 |
UDPとは、TCPと似ている。
しかし、データーを確実に送るといったことが目的ではない場合につかわれる。(ストリーミング再生。ネットの動画ね。)
速度を優先されるためTCPの一つ目である機能がないのである。
Syslog 活用方法!
BA8000Proというルータがあるのですが、それから出力されるログがあります。
そのログの使い方はいろいろありましてサーバーに直接送る方法とメールで送る方法があります。
詳しくはNTT-MEのホームページの方で見ることができます。
んでまあ、参考程度に以下のように出力されるのですが・・・
Sun, 2004-09-19 19:14:00 - TCP connection dropped - Source:60.33.192.*,4407,WAN
- Destination:60.33.*,135,LAN
Sun, 2004-09-19 19:14:39 - TCP connection dropped - Source:60.33.93.*,3466,WAN
- Destination:60.33.*,135,LAN
Sun, 2004-09-19 19:14:47 - TCP connection dropped - Source:60.33.118.*,2631,WAN
- Destination:60.33.*,135,LAN
Sun, 2004-09-19 19:14:48 - TCP connection dropped - Source:219.167.109.*,2814,WAN
- Destination:219.167.*,445,LAN
Sun, 2004-09-19 19:14:48 - TCP connection dropped - Source:60.33.118.*,2631,WAN
- Destination:60.33.*,135,LAN
Sun, 2004-09-19 19:15:01 - TCP connection dropped - Source:219.167.212.*,2901,WAN
- Destination:219.167.*,445,LAN
・
・
・
|
これをどのようにまとめようかずーと迷ってました。
プログラムを自分で組んでもいいが少々面倒だし、今現在このログからほしい情報だけうまくとりだして、
グラフ化できるソフトが無いか探していましたが、無料のTOOLはありませんでした。
ということで、最終的にはちょいと面倒だけどしばらくの間はエクセルで管理するようにしました。
そうすると、いくつか問題が出てきます。
- 処理するにはデータ量が多すぎる。
- 出力されるデータすべて記録しておくととんでもないことになる。
- 日付、時間で処理するには少々面倒。
- 必要なデータを取り出すにしてもどう取り出すか?
- 複数のテキストデータを一つにして処理するにしても一つずつやると膨大な時間がかかる。
- 現在メールでデータを保存しているので、拡張子をすべてTXTに変える必要がある。
とにかく面倒です。
まず、拡張子を変換することにしたのですが、一気に簡単に名前をつかられて変えることが出来るTOOLがないか探しました。
エクセルとマクロを使ったすばらしいものを作ってくれたものがあるのですね。
(番号順に名前をつけたかったのですごく役立ちました。)
次に余計なデータを削除する必要があります。
(例えば、曜日と時間、その他の文字)
しかし特定以外の文字もあるため置換で消すには難しい・・・どうすればよいかということで、
「ワイルドカード」(*)というキーワードに気づきましたw
それでそのキーワードに合うTOOLを探したところ、
一度に複数のファイルを処理してくれるすばらしいソフトがありました。(BackUPもしてくれるし)
必要なデータだけを取り出した複数のデータをエクセルで活用するため一つにする必要があります。
しかし、ひとつづつ手作業では疲れるので一気にまとめてくれるTOOLを使用しました。
あとは拡張子を「csv」にして開くだけ。
エクセルでの処理はちょちょっといじるだけなのであとは簡単です。
まあ、面倒であることは間違いなのであまりお勧めできない。(汗
そういうプログラムを作ればいいんだよね(CGIとかで)
めちゃおもいっつーの。
のちのち詳しい情報をのせようと思ったりします。
|
