DDoS to Slovenia
Published: 2008/01/25
スロベニアの複数のサイトのFTPポートむけにsyn floodが行われています。パケットサイズが60byteになるようにデータが付加されているためpacket dumpの自動解析の結果は以下のように解釈されますがsyn floodです。
*.*.*.195 -> 193.*.*.148 FTP Request: \000\000\000\000P\002\002\000\000\000\000\000\000\000\000\000\000\000\000\000 *.*.*.177 -> 193.*.*.148 FTP Request: \000\000\000\000P\002\002\000\000\000\000\000\000\000\000\000\000\000\000\000 *.*.*.143 -> 193.*.*.148 FTP Request: \000\000\000\000P\002\002\000\000\000\000\000\000\000\000\000\000\000\000\000 *.*.*.247 -> 193.*.*.148 FTP Request: \000\000\000\000P\002\002\000\000\000\000\000\000\000\000\000\000\000\000\000 *.*.*.124 -> 193.*.*.148 FTP Request: \000\000\000\000P\002\002\000\000\000\000\000\000\000\000\000\000\000\000\000 *.*.*.185 -> 193.*.*.148 FTP Request: \000\000\000\000P\002\002\000\000\000\000\000\000\000\000\000\000\000\000\000 *.*.*.158 -> 193.*.*.148 FTP Request: \000\000\000\000P\002\002\000\000\000\000\000\000\000\000\000\000\000\000\000 *.*.*.215 -> 193.*.*.148 FTP Request: \000\000\000\000P\002\002\000\000\000\000\000\000\000\000\000\000\000\000\000 *.*.*.252 -> 193.*.*.148 FTP Request: \000\000\000\000P\002\002\000\000\000\000\000\000\000\000\000\000\000\000\000
日本のISPのアドレスを持つHoneyPotで観測されていますが、ハンガリーのC&Cサーバーから以下のような命令で実行されています。
.ddos.syn 193.*.*.148 21 900 -s
ソースIPをランダムに変えつつDDoSを行うという古典的な手法ですが、このbotnetは数ヶ月前からヨーロッパ向けのDDoSに使われているようです。
実際のコマンドはどこの国から打たれているかはわかりませんが、とりあえずハンガリーとスロベニアはお隣同士です。ただ実際のDDoSのパケットは日本からも飛んでいるという、DDoSの典型的なパターンといえるのかも知れません。
最近botnetでもspamや感染誘導WebサーバーでもハンガリーのISPのアドレスが多く観測されるようになって来ています。ハンガリー国内のインターネットサービスの状況が攻撃者のニーズに合って来たのか、それとも国内に攻撃者が育つ要因があるのか、何らかの要因があるのかもしれません。
by jyake