-天気予報コム-

Flag counter

« アルジェリアでここ1~2週間前から不定期にYahoo!メールが開けない | トップページ | Untangleを導入してみたその5(autoshunのIPアドレスリストを利用してBotnetを遮断) »

Untangleを導入してみたその4(Protcol FilterでIRCをブロック、FirewallでBotnetを遮断)

 前回ネタはこちら。
http://platon.cocolog-nifty.com/lovelovejank/2010/04/untangle3-629e.html

 あと関連ネタはこちら。
http://platon.cocolog-nifty.com/lovelovejank/2010/04/12yahoo-a9a5.html


 以前から気にはなっていましたが、事務所のネットワーク内にウイルスに感染してSPAMを大量に発信しているボット化しているパソコンが存在しています。どのアドレスかは内緒ですが、ここのブラックリストにしっかりと載ってしまっています。
http://projecthoneypot.org/list_of_ips.php?ctry=DZ&by=15&t=s

 この大量SPAM送信はWiresharkでパケットキャプチャしたら一目瞭然です。通常のSMTPだと1秒間に何セッションも同時に別々のサーバ、別々のFROMアドレスを騙って接続を試みるなってあり得ませんから。こういう挙動をするPCをMACアドレスレベルでネットワークから切断を行い、「ネットワークに繋がらなくなった」と申し出てくる人をあぶり出して対応する作戦をとっています。
 パソコンが数十台という単位の事務所なら1台ずつウイルススキャンをしてもいいのでしょうが、あいにく400台以上は接続している巨大LANなので、こういう苦肉の策を取るしかなかったりします。

 実際この手で3つのパソコンの感染を確認し、本日1台の利用者は申し出てくれたので、このパソコンからウイルス駆除も上手くできました。あと2台の利用者も向こうから言ってきてくれるとありがたいんですけど。ただ、SPAM送信元はこの3台だけですまないと思います。毎日少しずつ、パケットキャプチャをしてチェックが必要かと思われます。

 ここで、パケットキャプチャをした際にSMTP以外にもちょっと目を向けてみました。一部のウイルスに感染すると外部から遠隔操作を受けることになる場合がありますが、この際、IRCプロトコルで通信を行う場合があるという情報を見ました。ということで、早速Wiresharkで確認すると……しっかりログに出てました。さらにIRCの通信元のIPアドレスを確認すると、ボットネットのIPアドレスに含まれてました。こりゃほぼ間違いなく、IRCでこのIPアドレスから何か送られていたでしょう。ということで、早速UntangleのProtocol FilterにてIRCの通信を遮断しました。LAN内でIP Messengerを使っている方もいますが、Untangleを跨いだ通信はしないので問題ありません。

 さらにボットネットのIPアドレスはここから仕入れました。
http://www.emergingthreats.net/rules/emerging-botcc.rules

 これらのIPアドレスが発信元のパケットをすべてdropするようにFirewallに登録すればさらにセキュリティ向上と思い、1つずつIPアドレスを登録し始めました。……が、あまりに多すぎてまともに登録したら1日で終わらないと気づき、カンマ区切りでのIPアドレスの複数登録が可能か試したら無事OKでした。UntangleのWikiの記述を確認したらしっかり書いてましたね。
http://wiki.untangle.com/index.php/Firewall
http://wiki.untangle.com/index.php/IP_Matcher

 この書き方で登録すると、もののの15分ほどで設定終了。あとは、これだけの多量のIPアドレスの指定となると処理が重たくなってシステムがフリーズしないかが心配なところです。今のところ(って言ってもセッションの少なくなる夜間ですが)通信速度の低下は特に見られません。

« アルジェリアでここ1~2週間前から不定期にYahoo!メールが開けない | トップページ | Untangleを導入してみたその5(autoshunのIPアドレスリストを利用してBotnetを遮断) »

アルジェリア」カテゴリの記事

「パソコン・インターネット」カテゴリの記事

コメント

コメントを書く

コメントは記事投稿者が公開するまで表示されません。

(ウェブ上には掲載しません)

« アルジェリアでここ1~2週間前から不定期にYahoo!メールが開けない | トップページ | Untangleを導入してみたその5(autoshunのIPアドレスリストを利用してBotnetを遮断) »

無料ブログはココログ
2016年11月
    1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30