AtackIPのソーティング
  
 
V020051106
non
 
   
 
最近はアタックが増えて1時間に30件もアタックが来るような状況です
狙われるポートはWin狙いのワームによる135,137,139,445,1433,1434と25,1025・・・が圧倒的に多いのですが
最近増えてきたのが目立たないように時間を分散してアタックするものが増えているので見過ごしそうなため
IPを数値化して順序付けして集めると下記のように繰り返しがわかるのでフィルタを厳しくすることをしています

全世界のIPはAPNIC,LACNIC,ARIN,RIPE の4機関で管理されていますがIP順には見れないのでいちいちwhois検索をすることになり面倒なのでアタックの多いアジア圏でのIP順国別リストリストを作りました--->AsianIpList.html(143KB)

世界のIPの管理4機関のアジア(apnic)ベースでのチェックしていますが、わからないところはarin,ripe,lacnicでグレーにしています 
AtackLog20051023-28からのサンプルでワーム系?を除く
IP
 AtackPort country & netname

並べ替えのやり方:
IPはそのままではIP1.IP2.IP3.IP4の文字列なので、そのままExcellに入れて並べ替えが出来ません
そこで.でセルわけして重み付け集計してから並べると順序整理でき、時間的にばらばらに目立ちにくいアタックもこのようにまとまって見つけやすくなります
IPv4で
((IP1*256+IP2)*256+IP3)*256+IP4*256

AsianIpListについて:
apnicのリストにarinにもあるJPのリストを加えたものをベースにして(1万行以上)隣接した国でグループ化したものです
kのとき、香港マカオはアタックは殆どないのですがCNにまとめています
世界全体のIPを網羅してはいないので
arin,ripe,lacnicが含まれていることがありますのでご理解ください
(元データのDLは「一網打尽」ソフトを使わせていただきましたが200508ごろの情報ですので元が変化もしておりますので念のため)

whois検索サービスについて:
一般のサービスサイトでの検索では
上位どまりの表示しか得られないことが多くなりました特に転売物が多いAUなどの場合は他の国のネット業者に転売して?いるのはAUどまりの表示しか出ないことが多いです
そのような場合はapnic本家のwhois検索を利用する必要があります
http://www.apnic.net/apnic-bin/whois.pl
転売物には
「imported inetnum object for xxx」で転売先のネット名の表示もでます
apnic-whoisで日本の該当Netが出ないことがあるのでその場合は
http://whois.nic.ad.jp/cgi-bin/whois_gw

whoisサービスサイト:英語ですがSpamブラックリスト判定付き
http://www.whois.sc/

lacnic-whois
http://lacnic.net/cgi-bin/lacnic/whois?lg=EN

ほかにwhois-arinやwhois-ripeがありますが他国のIPについてその国のwhoisが出るだけなので二重手間で利用していません



AtackLogについて:
これはルータ BA8000のログを元に整理したものです
やり方としてはスマートではないのでしょうが(詳しくは下の欄に)
1.正規表現で検索置換の出来るテキストエディタ(Oedit)で不要な情報を削除します(ワームのポートについて行単位に削除が簡単に出来ます)
2.Excelにテキストをインポートしますがこのとき「.」でIPを区切ります
3.IPに重み付け集計をして昇順に並べます
この結果で多重アタックもみやすくなります
(尚このページのようにhtmlにするにはExcelから直接出力させるとMSのCodeが大量に付加されるのでcsvファイル出力してからCSV Editorでhtml出力すれば簡素なhtmlが得られます)
12.210.136.32 4899 US /arin
24.255.51.206 4899 US /arin
58.22.130.24 42 CN
59.44.51.121 8000 CN
CHINANET-LN
59.44.51.121 80
59.56.15.133 80

CN
CHINANET-FJ

59.56.15.133 8000
59.56.15.133 8888
59.56.15.133 3128
59.56.15.133 7212
59.56.15.133 6588
59.56.15.133 3382
59.56.15.133 65208
59.56.15.133 32167
59.56.15.133 2301
59.56.15.133 1080
60.12.32.28 4899 CN
60.43.46.224 22 JP
60.191.133.87 6996 CN
60.248.169.66 4899 CN
61.23.160.108 5554 JP
ATHOME-JP
61.23.160.108 9898
61.31.202.81 22 TW
61.73.243.180 4899 KR
61.144.79.228 23 CN
61.152.91.31 4899 CN
61.152.96.37 3389 CN
61.153.201.220 4899 CN
61.155.9.171 22 CN
61.177.184.46 9898 CN
61.197.59.204 20480 JP
61.233.40.39 42 CN
61.233.40.84 1032 CN
CRHbYqS
61.233.40.84 1031
61.233.40.84 4297
61.233.40.84 1032
61.233.40.84 1030
61.233.40.84 1031
61.233.40.84 4297
61.233.40.84 1032
61.233.40.84 1030
61.233.40.84 1031
61.233.40.84 4297
61.233.40.84 1032
61.233.40.84 1031
61.233.40.84 1030
61.233.40.84 1032
61.233.40.84 1030
61.235.154.112 1031 CN
CRTC
61.235.154.112 1030
61.235.154.112 1031
61.236.145.252 4899 CN
CRTC
61.236.145.252 3389
 
やり方はBA8000でのAtackLogを整理する例です

Fri, 2005-10-28 17:02:57 - TCP connection dropped - Source:218.219.144.126,1466,WAN - Destination:218.219.149.45,445,LAN
Fri, 2005-10-28 17:03:36 - TCP connection dropped - Source:218.219.131.203,3513,WAN - Destination:218.219.149.45,139,LAN
Fri, 2005-10-28 17:03:59 - TCP connection dropped - Source:218.16.66.31,4888,WAN - Destination:218.219.149.45,135,LAN
Fri, 2005-10-28 17:10:17 - TCP connection dropped - Source:218.216.69.189,4473,WAN - Destination:218.219.149.45,135,LAN
Fri, 2005-10-28 17:11:49 - TCP connection dropped - Source:218.219.26.198,3682,WAN - Destination:218.219.149.45,135,LAN
Fri, 2005-10-28 17:13:45 - UDP packet dropped - Source:61.235.154.112,60520,WAN - Destination:218.219.149.45,1028,LAN
Fri, 2005-10-28 17:13:45 - UDP packet dropped - Source:61.235.154.112,60520,WAN - Destination:218.219.149.45,1031,LAN

これをOeditで検索置換----------------

---------WormAtackPortを含む行の検索---------
検索の入力に正規表現として次を入力して「空」に置き換えます
(正規表現の正規なことは本などをご覧いただくとして、簡単な例での荒っぽい説明
^.*.jpg\n$|^.*gif\n$を「(空)」と置き換えると .jpgのある行および.gifの行 を「改行」ごと削除します
^「頭」から.*「任意の文字列」の後に.jpg「のある行」と\n$「改行で終端」を対象とし |は「or」で
次の検索対象のgifの行を加えた検索をして削除することが出来ます)

同じやり方で
wormからのポート135や137,139,445・・・のある行を次の検索語を「空」と置き換えて削除します

^.*,135,.*\n$|^.*,137,.*\n$|^.*,139,.*\n$|^.*,445,.*\n$|^.*,1433,.*\n$|^.*,1434,.*\n$

さらに削除対象として次も削除できますがこの例ではやめています

^.*,25,.*\n$|^.*,1025,.*\n$|^.*,1026,.*\n$|^.*,1027,.*\n$|^.*,1028,.*\n$|^.*,1029,.*\n$

この25はSPAMの場合なので削除しています

結果次のように簡素化-------------------------------
Fri, 2005-10-28 17:13:45 - UDP packet dropped - Source:61.235.154.112,60520,WAN - Destination:218.219.149.45,1028,LAN
Fri, 2005-10-28 17:13:45 - UDP packet dropped - Source:61.235.154.112,60520,WAN - Destination:218.219.149.45,1031,LAN

次に
^.*Source:
で先頭からSource:まで「空」に置き換えて削除し次に
,WAN - Destination:|,LAN
で削除して次のようになります
更に簡素化して----------------------------------------------
61.235.154.112,60520218.219.149.45,1028
61.235.154.112,60520218.219.149.45,1031

と整理出来ます(IPの後のポートがサーバのIPにつながってますが後でExcelで削除します)

このテキストをExcelにインポートします------------------------------------
このときの区切り指定は「.」と「,」としてインポートします
(結果はテキストでは表示が出来ないので変わりにタブ区切りで次のようになります)

61 235 154 112 60520218 219 149 45 1028
61 235 154 112 60520218 219 149 45 1031
これをExcel上で不要な列を削除し、前の4列について加重計算をして並べ替えが出来ます

=((C2*256+C3)*256+C4)*256+C5

セルの1列目に計算結果を置いてシート全体の昇順並べ替えをすればまとまった形で見やすくなります
下はサンプルですがLOGの日付の列を追加して当面の経過がわかるようにしています
3361644549 200 94 160 5 !1023-28 4899
3366456964 200 168 14 132 !1023-28 4899
3395587182 202 100 140 110 *1029 4899
3395746119 202 102 249 71 !1023-28 47178
3395746119 202 102 249 71 !1023-28 54078
3395746119 202 102 249 71 !1023-28 60784
3395746119 202 102 249 71 *1029 28607
3395746119 202 102 249 71 *1030 40874
3395769922 202 103 86 66 !1023-28 1032

IPの形にしたテキストを作るにはタブ区切りで出力して「.」に置き換えるかポートの前の列を2列
挿入しておけばテキストではダブルタブになるので「-」に置き換えも簡単です
 
counter
mailCopyright dim all rights reserve
logo