cNotes 検索 一覧 カテゴリ

中国へのDDoS 3

Published: 2008/07/03

create:2008/06/25

ポートとターゲットを変えつつ継続してます。

 User Datagram Protocol, Src Port: 1057 (1057), Dst Port: 3810 (3810)
    Source port: 1057 (1057)
    Destination port: 3810 (3810)
    Length: 22
    Checksum: 0x606f [correct]
        [Good Checksum: True]
        [Bad Checksum: False]
 Data (14 bytes)
    Data: 4646464646464646464650800200
 
 oFFFFFFFFFFP.......

by jyake(update:2008/07/03)


中国へのDDoSのつづき」は1ヶ月以上継続して一旦収束したかのように見えましたが、引き続きボットからのDDoSが行われています。今回もすでに2週間以上1Gbps〜のDDoSが継続しています。オリンピックの準備?

主にUDP Floodでfragment packet Flood、icmp floodが少々混ざる感じなのですが、若干傾向が変わったのは、UDP Floodするポート番号が1日未満毎に変化します。ターゲットのIPアドレスも1日程度で変わる感じです。以前は1回の攻撃で、攻撃先とポート番号が固定されていましたが、今はその組み合わせが変化するようになっています。

攻撃先UDPポート番号の多い順に

 UDP3810
 UDP7300
 UDP5200
 UDP4000
 UDP5806
 UDP1025
 UDP5908
 UDP80
 UDP3010
 ICMP

いまだにこれらのポート番号に意味があるのかないのか不明です。

[カテゴリ:botnet観察日記]

by jyake