- 2011/11/1403:22
辞書を用いた攻撃は、いざその爆撃を喰らってみると、実際にどんなユーザIDがよく使われているのか、どういうIDだと攻撃が成功しやすいのか、ってのが現場の経験則的な感じで読み取ることができて、ログを眺めるのは意外と面白い、といいいますか、興味深いものがあるのですが、いっぽう、力づくの攻撃(総当たり攻撃)を受けた時のログは、なんかこう、無味乾燥していてつまらないものです。
じつは最近、自宅のネットワークの非武装地帯(DMZ)内に置いている外向け公開サーバへの攻撃が激しくなってきました。
SSHもFTPSも、ちゃんと辞書を用いた爆撃や無差別爆撃への対策をしていたのに、なぜ爆撃を受けた!?、と思っていたら、pop3-loginプロセスが次々に生まれては戦死していっているのです。あっ、そういやdovecotへの爆撃の対策を完全に失念していました。。。
先週までは、大量に生成されたログを見返す限り、POP3への辞書攻撃をおよそ15万回くらい喰らったようですが、どうやらそれでも攻撃元さんはIDとPASSWDを割ることが出来なかったようで、ついに今週に入ってからこれでもかとブルートフォース攻撃を仕掛けられるようになってきました。そこまでして割りたいのか、と。自宅サーバからの定刻のセキュリティメールと日報メールの内容にびっくりして起こされてしまった深夜3時…。びっくりするくらいの量の爆撃を受けたので、取り敢えず一旦は、加入者網終端装置側のファイアウォールで拒否(Deny)することに。発信元がダイナミックになっても耐えうるよう、近日中には、外向けサーバ内のpf(packet filter)を使った自動的なアクセス拒否の対策を講じたいところ。
- 2011/11/14 03:22
- Permalink
- nmio
- Comment(0)
- TB(0)
comment