cNotes 検索 一覧 カテゴリ

DDoS to Slovenia

Published: 2008/01/25

スロベニアの複数のサイトのFTPポートむけにsyn floodが行われています。パケットサイズが60byteになるようにデータが付加されているためpacket dumpの自動解析の結果は以下のように解釈されますがsyn floodです。

 *.*.*.195 -> 193.*.*.148 FTP Request: \000\000\000\000P\002\002\000\000\000\000\000\000\000\000\000\000\000\000\000
 *.*.*.177 -> 193.*.*.148 FTP Request: \000\000\000\000P\002\002\000\000\000\000\000\000\000\000\000\000\000\000\000
 *.*.*.143 -> 193.*.*.148 FTP Request: \000\000\000\000P\002\002\000\000\000\000\000\000\000\000\000\000\000\000\000
 *.*.*.247 -> 193.*.*.148 FTP Request: \000\000\000\000P\002\002\000\000\000\000\000\000\000\000\000\000\000\000\000
 *.*.*.124 -> 193.*.*.148 FTP Request: \000\000\000\000P\002\002\000\000\000\000\000\000\000\000\000\000\000\000\000
 *.*.*.185 -> 193.*.*.148 FTP Request: \000\000\000\000P\002\002\000\000\000\000\000\000\000\000\000\000\000\000\000
 *.*.*.158 -> 193.*.*.148 FTP Request: \000\000\000\000P\002\002\000\000\000\000\000\000\000\000\000\000\000\000\000
 *.*.*.215 -> 193.*.*.148 FTP Request: \000\000\000\000P\002\002\000\000\000\000\000\000\000\000\000\000\000\000\000
 *.*.*.252 -> 193.*.*.148 FTP Request: \000\000\000\000P\002\002\000\000\000\000\000\000\000\000\000\000\000\000\000

日本のISPのアドレスを持つHoneyPotで観測されていますが、ハンガリーのC&Cサーバーから以下のような命令で実行されています。

 .ddos.syn 193.*.*.148 21 900 -s

ソースIPをランダムに変えつつDDoSを行うという古典的な手法ですが、このbotnetは数ヶ月前からヨーロッパ向けのDDoSに使われているようです。

実際のコマンドはどこの国から打たれているかはわかりませんが、とりあえずハンガリーとスロベニアはお隣同士です。ただ実際のDDoSのパケットは日本からも飛んでいるという、DDoSの典型的なパターンといえるのかも知れません。

最近botnetでもspamや感染誘導WebサーバーでもハンガリーのISPのアドレスが多く観測されるようになって来ています。ハンガリー国内のインターネットサービスの状況が攻撃者のニーズに合って来たのか、それとも国内に攻撃者が育つ要因があるのか、何らかの要因があるのかもしれません。

[カテゴリ:botnet観察日記]

by jyake