2010年7月18日日曜日

不正アクセス

この手の話題がとても好きなので恐縮なんですが、うちの学校のサーバのSSHポートに対する不正アクセスを試みた記録を取ってみることにしました。ここなんですけどね。
これって、ほぼリアルタイム(1時間ごとに更新)に、不正アクセスを仕掛けてきた記録が表示されるようにしています。
7月からアクセス回数がかなり減っているのは、iptables でSSHポートに対するアクセス制限をかけるようにしたせいで、攻撃側から見ると、パケットを投げてもレスポンスがないため、Filtered もしくは、closed に見えていると思います。ですが、背後ではきっちりログを取っています。
これでわかるのは、プロっぽいアクセスと、スクリプト・キッズ的なアクセスの2種類があるってことです。プロは執念深いというか、アタックするにしても時間をかけてスロースキャンしてきます。それに対してスクリプト・キッズ的なアクセスは、短い間隔でどどーって感じでアクセスをしてくるので、すぐにアタックされていることに気づくわけです。
まあ、どちらも、普通に対策を取っていれば防ぐことが出来ます。ですが、世界中にたくさんあるIPアドレスの中から、ただ1個のうちのサーバーに対する、不正アクセスがこれだけあるってことは、世界全体でみるとどれだけの不正アクセスがあるのかとても興味のあるところです。
これ、国別で見ると、中国、アメリカが2大不正アクセスの温床で、日本の政治で言うと民主党、自民党に相当するわけですが(民主党・自民党が不正を行っているわけではないです。あくまでも例え)、このところ中国が赤丸急上昇中です。これまでは対中国での外交でなにかあると、中国からの不正アクセスが急上昇したのですが、特に最近は何もないのに7月から急上昇していて、それまで米国が1位だったのを、ぶっちぎってしまっています。
まあ、不正アクセスをしてきているIPアドレスを調査すると、セキュリティ上大甘な場所が多く、そのことを考えると、多くはこのサイトのオーナーが不正アクセスをしているわけではなく、乗っ取られた結果、不正アクセスをしているのだと思いますので、逆に中国は被害者になっているって言い方も出来ます。
いずれにしろ、遊び半分でなく職業的な不正行為はやめてもらいたいというか、職業として成り立っちゃう構造、スキームが問題なんでしょうね