| 解析例 |
概要
| 世界を大騒ぎさせたワームSQLSlammer感染してしまいました。幸い20分後に対策しましたので大きな問題にはなりませんでした。ご参考までに状況を記述いたします。 発端:弊社でアプリケーション試験用に運用しているSQLサーバーをテストのため外部からアクセスできるようにファイアーウォールのポートを開けました 現象:約10分後LAN内のPCからインターネットにまったくアクセスできなくなった。原因はまったくわからなかったがLAN用HUBのランプが異常に激しく点滅していた。 発見:LANポートを1本ずつ抜いてトラフィックを異常発生させているPCを確認。SQLサーバーであることがわかった。Stonylake Firewall Reporterでログ分析したところSQLサーバーからUDP1434トラフィックが大量に発信されていた。 報道されている情報よりSQLSlammerの感染によるものであることが明確になった。 対策:マイクロソフト社のセキュリティパッチで対策完了 |
| Stonylake Firewall Reporterによる分析結果です | ||
| SQLサーバーからのトラフィック以外はほとんど見えません | 短時間に集中しています | トラフィックはUDP1434が100%です |
 |
 |
 |
| 日常業務解析 | |
| 環境:インターネット常時接続によりインターネットサーバーを(Mail, Web等)公開しております。ファイアーウォールとしてNetScreenを設置しStonylake Firewall Reporterでトラフィック分析を行っています | |
 |
ファイアーウォールを"通過"したトラフィック量の時間分析です。トラフィックのほとんどが業務時間帯に集中しています。夜間はほとんどアクセスがありません。 |
 |
トラフィックの宛先分析です。内部へ向かうトラフィックはオレンジ、外部へ向かうトラフィックはライトブルーで表示されております。社内ユーザーが外部のどこにアクセスしているかわかります。 |
 |
インターネット公開サーバーに対する外部のアクセス元を分析しました。どこからのアクセスが多いかがわかります。 |
 |
ファイアーウォールで"ブロック"されたトラフィックの時間分析です。 |
 |
ファイアーウォールで"ブロック"されたトラフィックの送信元分析です。上位からxxx.yahoo.co.jp, xxx.67.231.204, xxx.215.170.28, xxx.digitalriver.co.jpとなっております。 |
 |
ファイアーウォールで"ブロック"されたトラフィックのアプリケーション分析です。全部で41種類ですが、全体の57.7%がUDP1110でした。必要に応じさらに詳しく分析することが可能です。 |
| 危険なトラフィックの検出と対応 | |
| 通常ファイアーウォールのデフォルト設定はインターネットからLANへのトラフィックはブロックし、LANからインターネットへは通します。ブロックポリシーを設定しない限り、フリーウェアなどを使用したり、危険なサイトを閲覧したり、ウィルスに感染した場合は無意識の内に危険なトラフィックがLANからインターネットへ出ています。インターネットによる加害者にならないためにもLANからインターネットへ出るパケットには十分な注意を払わなければなりません。これはドリルダウン機能を使った危険なトラフィックの検出例です。 | |
 |
LANからインターネットへファイアーウォールを"通過"したトラフィックです。 |
 |
全トラフィックの分析です。上位からhttp, https, icmp, その他となっています。 |
 |
ドリルダウンでその他のトラフィックを詳細に調べます。バッファオーバーフローを引き起こす可能性のあるTCP5190とUDP4000が見つかりました。 |
 |
さらにドリルダウンでTCP5190を選択します。 |
 |
TCP5190の送信先です。全て某(海外)大手プロバイダ向けです。不要で危険なトラフィックですからファイアーウォールポリシーの変更で遮断します。 |