スパム容認ホスティング McColo (AS26780)がインターネットから遮断 2
Published: 2008/11/19
スパム容認ホスティング McColo (AS26780)がインターネットから遮断のその後について。
一部のニュースにもあるとおり週末に一度復活したようです。
11/16 1時ごろから22時過ぎまで経路情報が復活してます。そして朝7時頃から22時頃まで、以前と変わらないぐらいの大量のトラフィックが発生しています。
確かにCnCといわれている208.66.194.22とのTCP80通信が大量に発生していますね。その他のホストともTCP80、UDP53やその他ハイポートを利用した通信が発生しています。そして22時以降またインターネット上から消えてます。経路復活とトラフィックの復活の時差はなんなんだろう?厳密に1:00ごろからの疎通性を見たわけではないので、実は7:00以降になってエンド-エンドの通信が可能になったのかもしれませんが。
ニュースにあるとおりMcColoを利用していたボットネット、スパマたちはロシアの方へ引越ししたんですかね。
[カテゴリ:routing system security]
by jyake