人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

サーバセキュリティについて質問です。

クライアントから以下の相談を受けています。
さくらインターネットの専用サーバ(FreeBSD)で運用していますが、
下記の不正パケットが頻発している為、
サーバ(さくらインターネット)からの退去を勧告されています。
(IP番号は ○:自サーバのIP、△:宛先不明な他サーバ で伏せています。)

19:02:30.000000 IP ○.○.○.○.35457 > △.△.△.△.13324: UDP,length 1

尚、以前にも同様の症状があった為、一度OSの再起動をしています。

処々対応しなければいけないとは思いますが、
.35457 等のIP番号の後ろに付く数字の意味が不明です。
これはログによって番号が変わっています。

ポート番号ではなさそうなので。。。お分かりの方ご教授下さい。
またトラブルTipsも受付します。

●質問者: kou32rr
●カテゴリ:コンピュータ インターネット
✍キーワード:FreeBSD IP OS TIPS UDP
○ 状態 :終了
└ 回答数 : 3/3件

▽最新の回答へ

1 ● zzz_1980
●27ポイント

その数字はポート番号ですよ。

○.○.○.○.35457 > △.△.△.△.13324

のうち、35457 はサーバーから発信されているUDPパケットのポート番号、

13324は宛先のポート番号で、△.△.△.△の UDP PORT 13324番宛にサイズ1のUDPパケットが

飛んでいることを示しています。35457は発信側なのでその時点で使われていない任意のポート番号が

使われますので番号はかわります。

udp port 13324番はnetaudio(RTP)などで使われているようです。

△.△.△.△へのDOS(Denial of Service)攻撃をやっているから、退去勧告を受けたのでは。

不正アクセスされてDOS攻撃の踏み台になっている可能性が大きいですね。

ネットはすぐ切られても文句は言えません。そのサーバー上で運用しているアプリの総点検が必要です。

FreeBSDでも穴はありますので…

http://q.hatena.ne.jp

url はダミーです。

◎質問者からの返答

ありがとうございます。


2 ● b-wind
●27ポイント

ポート番号ではなさそうなので。。。お分かりの方ご教授下さい。

出力は tcpdump のものでしょうか?

でしたら、その項目はポート番号です。

ログによって番号が変わるのは実際に変えているからでしょう。


これだけでは特定できかねますが、最近の攻撃方法として以下のようなものがあります。

JVNTA08-190B: 複数の DNS 実装にキャッシュポイズニングの脆弱性


またトラブルTipsも受付します

自サーバーから覚えのないパケットが出力されているようなので、侵入されたと思ってよいかと。

セキュリティ設定等いろいろなところは確認しないとだめですね。


3 ● pahoo
●26ポイント

ポート番号だと思います。

35457は一般的なポート番号ではないので、特殊なアプリが通信に使っているのではないでしょうか。


クライアントはファイアウォールまたはログ取得可能なルータを設置していますか? であれば、そのログを調査してください。

通信しているPCが特定できるなら、フローソフトの「ポートモニター」をインストールすれば、通信しているアプリを特定することができるでしょう。

関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ