ファイヤーウォールの NetScreen から、Event Alarms と題されたメールが来ます。
その中で気になる報告が以下の内容。
[00001] 2010-09-03 18:22:11 [Root]system-alert-00011: ICMP flood! From ccc.cc.cc.cc to XXX.XXX.XXX.XXX, proto 1 (zone Untrust, int ethernet1). Occurred 1 times.
XXX.XXX.XXX.XXXはうちのDNS兼メールサーバーのグローバルアドレス。
ICMP Floodをググッてみると、
「ICMP Flood 大量のICMP Echo要求パケットを送ることで、ICMP Echo応答パケットを返すホストの資源が枯渇し、サービス要求に対応できなくなる。(例)png -f -s 65536 example.com」
とあるので、「すわっ、これが俗に言う「攻撃」か!?」と少し慌ててしまいます。
送信元をみると、30秒ほどの間に、5箇所ぐらいから数回づつ送られてきていました。そのアドレスを Who Is で検索すると、殆どが中国の様子(一つだけトルコ)。うーん、怪しい、と固定概念丸出しの考えが浮かんできました。
しかし、多数のアドレスから送られてくることを考えると、攻撃者が別にいて、それらのサーバーは利用されているだけとも考えらるのかも・・・
幸いな事に、該当のサーバーは今は普通に動いているようだけど、どう対処すべきか今の私の知識ではわかりません。
なので、しばらくは様子をみて、ICMP Flood と対策をすべき状況、対策方法、を調べないといけません、ということで。
0 件のコメント:
コメントを投稿