static-208-80-194-33.as13448.comなどas13448.comからのアクセスがあるのですが、これはどこからのアクセスでしょうか。

回答の条件
  • 1人5回まで
  • 13歳以上
  • 登録:2011/09/06 11:23:55
  • 終了:2011/09/13 11:25:03

回答(5件)

id:mdfmk No.1

mdfmk回答回数981ベストアンサー獲得回数1972011/09/06 11:42:32

ポイント20pt

As13448.com - Web Security, Email Security, Data Security - Websense.com

一応登録はサンディエゴになっていますが、


as13448.comからのアクセスを拒否 - BSDあれこれ

こちらによるとマルウェアに感染したPCからの上記ホスト名経由でのアクセスではないかとのことです。

id:Jupiter2100 No.2

じゅぴたー回答回数444ベストアンサー獲得回数742011/09/06 12:27:13

ポイント20pt

Websense.comという、米San Diegoにあるセキュリティ会社の持つドメインですが、おそらくドメイン偽装です。

IPアドレスは特定できませんか?

id:webster2

誰かが故意に偽装してアクセスしている可能性があるということでしょうか。

2011/09/06 12:38:15
id:Jupiter2100 No.4

じゅぴたー回答回数444ベストアンサー獲得回数742011/09/06 20:08:12

ポイント20pt

>どうすればIPアドレスがわかりますか

Apacheのアクセスログのことを指して仰っていますか?

httpd.confでHostnameLookups offに設定してください。

http://www.atmarkit.co.jp/flinux/rensai/apache16/apache16a.html

id:webster2

具体的な手順を教えて下さい

2011/09/06 21:17:26
id:JULY No.5

JULY回答回数966ベストアンサー獲得回数2472011/09/07 12:06:52

ポイント20pt

状況証拠では、Websense で間違いないと思います。


Web Filter

Web フィルタの製品も持っているので、クロールしているのだと思います。


で、「as13448.com」の「as13448」ですが、BGP というルーティングプロトコルで使われる AS 番号をドメイン名として登録しているのだと思われます。

Border Gateway Protocol - Wikipedia


BGP による経路を図にする robotex の解析結果でも、AS13448 は Websense になっています(2011-9-7 現在)。

AS13448 WEBSENSE , Inc.

id:webster2

InternetではどこでCIDRの情報が得られますか。

2011/09/09 17:24:40
  • id:webster2
    static-208-80-194-33のように毎回変わっています。
  • id:Jupiter2100
    >誰かが故意に偽装してアクセスしている可能性があるということでしょうか。
    そうだと思います。
    IPアドレスがわかれば、相手の国・地域くらいは絞り込めます。
  • id:webster2
    どうすればIPアドレスがわかりますか
  • id:webster2
    .htaccessは
    deny from 208.80.192.0/21
    とだけ書けばいいのでしょうか。
  • id:webster2
    またきています。どうしたらよいですか。
  • id:mdfmk
    Whois して、CIDRのところのIPを.htaccessでdenyすれば良いと思います。
  • id:webster2
    Windowsです。どこでwhoisしてどう検索すれば良いですか。
  • id:webster2
    Internetではどこでwhoisできますか。どこでその情報が得られますか。
  • id:webster2
    Internet上ではどこでCIDRの情報が得られますか。
  • id:JULY
    下記のページで、whois の結果も出てきます。

    http://ip-address-lookup-v4.com/

    最初のは自分が使っている IP アドレスに関する情報が表示されますが、右上の欄に IP アドレスを入力して、「Lookup!」のボタンを押せば、その IP に関する情報が表示されます。で、「Whois* information (click to view) 」のところをクリックすれば、whois に登録されている情報が出てきます。

    試しに 208.80.194.33 でやってみると、真ん中ぐらいに、

    -------------------------------------------------------------------
    NetRange: 208.80.192.0 - 208.80.199.255
    CIDR: 208.80.192.0/21
    OriginAS: AS13448
    NetName: WEBSENSE-NET2
    NetHandle: NET-208-80-192-0-1
    Parent: NET-208-0-0-0-0
    NetType: Direct Assignment
    RegDate: 2007-07-25
    Updated: 2007-07-25
    Ref: http://whois.arin.net/rest/net/NET-208-80-192-0-1

    OrgName: Websense, Inc
    OrgId: WEBSE-6
    Address: 10240 Sorrento Valley Road
    City: San Diego
    StateProv: CA
    PostalCode: 92121
    Country: US
    RegDate: 2005-05-12
    Updated: 2011-03-29
    Ref: http://whois.arin.net/rest/org/WEBSE-6
    -------------------------------------------------------------------

    と出てきます。

    やはり、持ち主は Websense で間違いなさそうです。なので、Google なんかがクロールしてくるのと同じで、Websense が URL フィルタ用のデータを作る上でクロールしているものと考えて間違いないでしょう。

    それでも拒否したければ、「CIDR: 208.80.192.0/21」という結果が出ていますので、それを使ってください。
  • id:Jupiter2100
    Websenseに濡れ衣がかかっているようなので補足します。

    whoisで引いたアドレスが相手だとは限りません。
    IPアドレス偽装をしている場合、Websenseに逆引きできるように設定は可能です。
    http://yamavar.wordpress.com/2010/02/25/ip%E3%82%A2%E3%83%89%E3%83%AC%E3%82%B9%E3%82%92%E5%81%BD%E8%A3%85%E3%81%99%E3%82%8B/

    私が回答に書いた手順で、ApacheのログにIPアドレスを記録できるようにしてから調査をお願いします。
  • id:JULY
    > IPアドレス偽装をしている場合、Websenseに逆引きできるように設定は可能です。

    まぁ、原理的には可能だけど、可能性としては薄いでしょう。

    少なくとも今のところ、逆引きから得られた static-208-80-194-33.as13448.com という名前から、

    ・おそらく、元の IP アドレスは 208.80.194.33 だろう。
    ・as13448 というのは、おそらく、BGP の AS 番号だろう。
    ・as13448.com を登録しているのは Websense で間違いなさそう。
     ・as13448.com の持ち主は、Whois 上では Websense
     ・as13448.com の NS や SOA を見ても websense.com が管理している事になっている。
    ・208.80.194.33 という IP アドレスも、Websense のもので間違いなさそう。
     ・BGP の AS 13448 を advertise しているのは Websense
     ・Whois 上でも Websense

    と推定されます。

    で、じゅびたーさんは「元の IP アドレスは 208.80.194.33 だろう。」が、そもそも疑わしい、という話をされていると思いますが、確かに、ログに IP を出力して確認するのが、間違いない方法です。

    で、紹介されている記事ですが、「逆引きって、信用できるかどうか分からないよね。」という話で、具体的などうすればそうなるかは書かれていません。

    記事に書かれているような現象を起こす事は比較的簡単です。UNIX 系 OS であれば、サーバの /etc/hosts に書けば、このようになりますし、サーバが参照している DNS サーバに、そのようなゾーンを作れば可能です。

    ただ、/etc/hosts にそのような記述があるとは考えづらい(もし、意図せずにそんなエントリが書き加えられていたら、既に乗っ取られている状態)し、参照している DNS サーバがそんな答えを返すようになっているとしたら、

    ・参照している DNS サーバが乗っ取られている。
    ・参照している DNS サーバが DNS Cache Poisoning を受けている。
    ・実際の IP アドレスに対して、正規に逆引きゾーンを設定できる。
     つまり、上位側の DNS サーバから委任されたゾーンを持っている者が、
     意図的に犯行に及んでいる。

    という事になります。

    何れにしても、「実は別の IP アドレスからの接続で、逆引きの結果が ~.as13448.com となるように細工されていた」という事態を否定できる訳ではありませんので、ログに IP アドレスを記録して確認するのが確実です。

    ただ、逆引きの結果を信用しても、不審な点は特に見当たりません。強いて言うと、「逆引きの結果が正引きできない」というのはあるのですが、ただ、そのことは、「~.as13448.com の逆引き結果は詐称されたも」という事には、直接は結びつきません(正しいと思われる IP アドレスでも、正引きが無いことには変わりがない)。また、Websense が URL フィルタの商品を持っている(企業向け URL フィルタとしては、Websense はかなり有名)ことから、Web サイトをクロールしてまわっている事は、検索サイトががクロールしているのと同様に、普通のことでしょう。

    なので、「状況証拠的には、Websense がクロールにしてきているものだろうから、Google からのクロールと同様、気にする必要ないと思うよ。IP アドレスを確認出来れば、もっと確実な事が言えるけどね」といった感じだと思います。

    もし、逆引き結果から想定されるのと、全く違う IP アドレスだったら、その IP アドレスの管轄しているところや、場合によっては CERT/CC とかに報告しなきゃいけないレベルだよなぁ。
  • id:webster2
    でも

    order allow,deny
    deny from ....
    deny from 208.80.192.0/21
    allow from all

    弾けないんですよ。
  • id:mdfmk
    あれ、宣言している順番と記述が違っていませんか。

    order allow,deny
    allow from all
    deny from ....
    deny from 208.80.192.0/21

    としてもダメですか?
  • id:JULY
    ん? そこじゃなくて、 order の指定が間違っているのでは、

    http://httpd.apache.org/docs/2.2/mod/mod_authz_host.html#order

    allow,deny だと

    ------------------------------------------------------------------
    Allow ディレクティブに合わないか、Deny ディレクティブに合う
    クライアントはアクセスを拒否されます。
    ------------------------------------------------------------------

    ということなので、「allow from all」の時点で、全ての IP が「Allow ディレクティブに合う」事になり、許可される事になると思います。

    # しつこいようですが、もし、208.80.192.0/21 の IP アドレスからの接続なら、
    # 相手は怪しいやつではないと思いますが...
  • id:webster2
    ためしてみます
  • id:mdfmk
    特定のアドレスにアクセス制限をかける設定例:

    http://www.adminweb.jp/apache/allow/index1.html
    http://mikeneko.creator.club.ne.jp/~lab/web/htaccess/access.html
    http://www.shtml.jp/htaccess/host.html
  • id:webster2
    まだ来ています。だから偽装ということでしょうか。

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません