印刷用表示へ切り替え 通常表示へ切り替え 更新履歴を表示 更新履歴を隠す
Sun December 27, 2015
misc 攻撃ヲウケテイル

自宅の ADSL がつながりにくくなっている。どうやら外部からのアタックにあっている模様。

■ ■ ■

現在,自宅の ADSL 回線は hi-ho 12M で (nlog(n): 自宅 ADSL のプロバイダ乗り換え手続き (Nexyz.BB → hi-ho)),実際の速度は下り 7 Mbps 程度になっている (nlog(n): hi-ho の ADSL 回線を帯域調整)。しばらくは普通に使えていたが,今日はとてもつながりにくい。外部から自宅サーバにアクセスできないし,自宅から外部してもタイムアウトになる。

モデムをリセットしてみても症状は変わらない。しかし,モデムの様子が若干おかしい。というのも,モデムの電源を引き抜いて再び差し込み,PPP 接続が完了すると同時に DATA の LED が「ビビビビ…」と光りだすのである。つまり何らかの通信が始まっているということである。とは言え,このブログがそこまで人気のはずはなく,どうもおかしい。

使っている ADSL モデムは Aterm WD701CV(C)L である (nlog(n): ADSL モデム Aterm WD701CV の DMZ 設定)。モデムの Web インターフェイスにアクセスし,「情報」→「情報通信ログ」を見るとスルドイ勢いでログが記録されていっているのが分かった。

2015/12/27 05:47:01 NAT RX-INFO  TCP Synchronize Flag OFF : TCP 23.34.98.202 : 443 > 61.211.99.177 : 53562 (IP-PORT=6)
2015/12/27 05:47:01 NAT RX-INFO  TCP Synchronize Flag OFF : TCP 23.34.98.202 : 443 > 61.211.99.177 : 53562 (IP-PORT=6)
2015/12/27 05:47:01 NAT RX-INFO  TCP Synchronize Flag OFF : TCP 23.34.98.202 : 443 > 61.211.99.177 : 53561 (IP-PORT=6)
2015/12/27 05:47:01 NAT RX-INFO  TCP Synchronize Flag OFF : TCP 23.34.98.202 : 443 > 61.211.99.177 : 53561 (IP-PORT=6)
2015/12/27 05:47:01 NAT RX-INFO  TCP Synchronize Flag OFF : TCP 23.34.98.202 : 443 > 61.211.99.177 : 53560 (IP-PORT=6)
2015/12/27 05:47:01 NAT RX-INFO  TCP Synchronize Flag OFF : TCP 23.34.98.202 : 443 > 61.211.99.177 : 53560 (IP-PORT=6)
2015/12/27 05:47:01 NAT RX-INFO  TCP Synchronize Flag OFF : TCP 23.34.98.202 : 443 > 61.211.99.177 : 53561 (IP-PORT=6)
2015/12/27 05:47:01 NAT RX-INFO  TCP Synchronize Flag OFF : TCP 23.34.98.202 : 443 > 61.211.99.177 : 53562 (IP-PORT=6)
2015/12/27 05:47:01 NAT RX-INFO  TCP Synchronize Flag OFF : TCP 23.34.98.202 : 443 > 61.211.99.177 : 53560 (IP-PORT=6)
2015/12/27 05:47:01 NAT RX-INFO  TCP Synchronize Flag OFF : TCP 23.34.98.202 : 443 > 61.211.99.177 : 53561 (IP-PORT=6)
2015/12/27 05:47:01 NAT RX-INFO  TCP Synchronize Flag OFF : TCP 23.34.98.202 : 443 > 61.211.99.177 : 53562 (IP-PORT=6)
2015/12/27 05:47:02 NAT RX-INFO  TCP Synchronize Flag OFF : TCP 23.34.98.202 : 443 > 61.211.99.177 : 53560 (IP-PORT=6)

1秒間に10回以上,外部からのアクセスがある。ログのフォーマットは以下のようになっているようだ (前回、ほとんど回答がつかなかったので、再度質問させて頂きます… - 人力検索はてな)。

yyyy/MM/dd hh:mm:ss [event] [protocol] [source IP address:port] > [destination IP address:port]

外部からこのブログサーバの 53560 番ポートに何の用があるのか不明である。外部の何者かがアタックをかけてきている。そのポート経由でサービスにアクセスしようとしているのではなく,DoS 攻撃である。実際,ADSL モデムは多すぎる外から内へのアクセスに対応することができず,内から外への通信も処理できなくなっている。

暫定的な対処法としては,モデムの電源を切って1時間ほど放置すること。相手は特定の IP アドレスを目がけて攻撃をしかけているので,IP アドレスが変われば攻撃はおさまるからである。そう考えると,このダメな IP アドレスを割り振られてしまったお宅が別にあるわけで…災難である。

また攻撃があるようなら何らかの抜本的な対策を考えなければいかんな。

Posted by n at 2015-12-27 22:42 | Edit | Comments (0) | Trackback(0)
Trackbacks

  • 「手違いで複数トラックバックを送ってしまった!」という場合でも気にしないでください (重複分はこちらで勝手に削除させていただきます)
  • タイムアウトエラーは,こちらのサーバの処理能力不足が原因です (詳細は トラックバック送信時のエラー をご覧ください)
  • トラックバックする記事には,この記事へのリンクを含めてください(詳細は 迷惑トラックバック対策 をご覧ください)
Comments
Post a comment
  • 電子メールアドレスは必須ですが,表示されません (気になる場合は「メールアドレスのような」文字列でもOKです)
  • URL を入力した場合はリンクが張られます
  • コメント欄内ではタグは使えません
  • コメント欄内に URL を記入した場合は自動的にリンクに変換されます
  • コメント欄内の改行はそのまま改行となります
  • 「Confirmation Code」に表示されている数字を入力してください (迷惑コメント対策です)


(必須, 表示されます)


(必須, 表示されません)


(任意, リンクされます)


Confirmation Code (必須)


Remember info (R)?