おまけ ログの使い方
2002/10/2
せっかく取ったログなので、活用しましょう。
IPFのログは、「時間」「アクセス元アドレス」「アクセス元のポート」「宛先アドレス」「宛先のポート」「プロトコル」「パケットのサイズ」「フラグ(TCPの場合)」がわかります。
1.アクセス元のIPアドレス
IPアドレスをnslookupすることでアクセス元のFQDN(ドメイン名)がわかります。
悪質な場合はそれを元にプロバイダに文句を言ってやりましょう。
よくわからないプロバイダだった場合は、whoisを使います。
そうするとドメイン管理者の名前・住所・電話番号までわかっちゃいます。
メールに応じない人には電話かけちゃいましょう。
nslookupで通じない場合もあります。
IPアドレスに対してDNS解決ができない場合がそうです。
その場合でも、IPアドレスに対してwhoisをかけることができます。
IPアドレスのwhoisはかなり大きいスケールの返事が返ってくるので、相手のしっぽをつかむのは骨が折れるでしょう。
といいつつも、ほとんどの場合がプロクシ経由でのアクセスです。
でも、プロクシサーバの管理者はわかるので、そこから地道にたどって行きましょう。
2.宛先のポート
宛先のポートから何に対してのアクセスなのかを知ることができます。
それにより、不正アクセスに対する傾向を知ることができるでしょう。
/etc/servicesにポート番号とサービスの一覧があります。
ここから検索できるでしょう。
servicesに書いてありませんが8080や10080などはあからさまにプロクシスキャンです。
最近多いのはMS-SQLのスキャンとSun NFSの111番あたりですね。
あと、普通にtelnetやftpのスキャンが多いです。