wclscan_logo
wclscan_logo_j

トップへ

過去のトピックスなど

[2006Jan02] 年をまたがる処理にバグがありました: データベースにデータを登録するための処理プログラムにバグがありました。 そのたため"2006-01-01 00:00:00"から"2006-01-02 22:30:00"までうまく表示 出来ていませんでした。 ふるくから潜在的にバグとしてあったようなのですが、いくつかの条件が重な らなかったために今までこのバグは発現していませんでした。クイックハック をしたので、とりあえず今年に関しては問題ありません。ただし、まだ 潜在的なバグが残っているには残っているので、 時間をみつけて直しておきます。

[2005Dec28] 電解コンデンサー大量死事件: 最近、同時期 に複数のセンサーボックスのハードウェア故障するという事件がありました。 まったく同じ構成で、同時に故障というのは何故??? メーリングリストの中 で話し合った結果、たぶん「電解コンデンサー大量死」あたりだろうというこ とに。使っているマザーボードが2002年製ですから時期もぴったり。ちなみに センサーボックスは2002年当時OpenPKSDクラスタリング化実験研究に使ってい たものを再利用しています。実際にセンサーボックスを回収し、研究に参加し ている大学院生の手をかりて分解してみました。やっぱり...コンデンサーが 煮えていました。15000時間程度稼働していたので、まあ、よく持ったなと褒 めてあげたい気持もあるのですが、故障を起こしていない他のセンサーボック スも同じ問題があるはず。これから何ヶ月かは新しいマシンの手配、現地での 交換、とても大変な日々が続く予感です。

[2005Dec15] 音声による状況報告(説明追加): 読み上げる「現在のレベ ル」と「PC/PDA用表示」のレベルの数が合致しないことについての説明です。 読み上げと顔アイコンは同じレベルに合わせています。b>=0.9 / 0.9 > b >=0.8 / 0.8 > b >= 0.7 / b < 0.7 (b=ベイズ推定値)が各々レベル1/2/3/4に なっています。「PC/PDA用表示」は、もうちょっと下の値でレベルを変えてい ます。なんで、そうなったかというと「むかしのレガシーな部分をひきずって いるから」としかいえません。顔や音声は比較的新しいのに対し、計算を表示 する表の所はかなり古くに作っているので微妙に閾値が違うということです。 とはいえ閾値の決め方にしても経験上の値を使っているにしか過ぎません。レ ベルに関しては見慣れている方で判断してください。

[2005Dec14] 音声による状況報告: Java Applet ( tinyplayer ) を使って現在の状況を音声でも報告するようにしました。小さなウインド ウが開き、サウンド用のJavaがロードされると「音声機能開始」と声が出ます。 30秒ほどそのままにしておくか、気が短い人は音声機能開始のリンクを選択し てください。「ネットワーク状況〜」が読み上げられます。そのままネットワー ク状況のウインドウを開いておくと15分毎に自動的に読み上げます。いくつか の単語をchunked sound fileとして用意しておき、それを連結するという原始 的な方法を取っています。用語やメッセージが適切かどうかなどの検討はまだ していません。ギミック感ありありの機能を入れてみる実験をしばらく続けま す。ちなみに声優さんは「箱森ゆめ」さんです。

[2005Oct09] geomapをさらに改造〜 何日かgeomapを運用してみてさらに変更をしてみました。

  • 過去24時間を一週間前と比較する : 以前は前日と比較していましたが、 曜日による周期性があるので、一週間前と比較するようにしました。
  • 稼働、非稼働のセンサーをより分ける : よりよく比較するため全体のバ ルクではなく、比較期間に正常に稼働していたセンサーのみを抽出し、そこか らのデータのみを比較するようにしました。
  • 増加率の文字表示 : 何%の増加・減少だったのか値を表示するようにし ました。ただし表示されるのはマイナス100%からプラス100%の範囲で す。プラス100%より大きい場合は100%となります。
  • 足切りを二段階にする : 到着パケットが5つ以下のものは対象外です。 また多くの国から来ている時、上位20カ国のみ表示するようにしました。
  • そのうち仕様が落ち着いてきたら、geomapが地図の見方の解説を用意しま す。少々おまちください。

    [2005Oct09] geomapさらにブラッシュアップ〜 頂いたコメントを元にgeomapさらに面白くしました。 検知パケット量の違いによって国名を大きくする、 フォントに色をつける、増量分に関してもうちょっと細かい変化をつける、 文字をきれいに見分けられるようにする、といった改造をしました。 尚、クオリティを上げたため(圧縮率を低くしたため)以前より 画像サイズが大きくなっています。

    [2005Sep29] パケットがどこからやって来たかを表示している 地図 を作りました。 早くも改良して 24時間以内にセンサーに到着したパケットに対して発信元を国別に分類し、 4個以上計測された国ならば地図に表示していました。 さらに、 本日と昨日のパケット量の違いを比べて増えている国には赤くマークを つけています。 増加率が大きいと赤色が強くなります。 新しく現れた国は黄色になっています。 通称geomapと呼んでいますが、正式な名称はまだありません。 一時間毎に更新されます。

    [2005Sep26] WWW.WCLSCAN.ORG を公開しました。今後はこのサイトで情報を公開していきます。

    [2005Jun25] IWR aka. WCLSCAN処理専用マシンをDual Opteron構成のマシン へと強化しました。今 後のさらに多くのサービスを提供していく予定です。

    [2004Aug08] 国別発信元IPアドレス集計表 : 過去30日間にWCLSCANセンサーアレー群がキャッチしたIPアドレスを 国別に集計 してみました。ただし過度に国別の集計を重要視すべきではありません。 本来は近接したIPブロックアドレスへの影響を考えるべきだと考えるからです。 参考としてport 135を走査するワームがどのように広がったかを 示す 時系列アニメーション(約9.3MB) (ダウンロード用ZIP圧縮ファイル 約269KB ) を紹介します。 X/Y/Z軸をIPアドレスの1st/2nd/3rd octet目に割り当て、時間スケールは24時間、 期間は30日間です。 赤い柱のように近接アドレスブロックへ感染させようとするのがわかると思います。

    [2004Jul13] 最優秀発表賞受賞ほか : ソフトウェアシンポジューム2004 ( page ) で発表した「インターネット早期広域攻撃警戒システムWCLSCAN」 が最優秀発表賞を受賞しました。 また、FIRST Conference 2004, 16th Annual Computer Security Incident Handling Conference, Budapest, Hungary. ( page ) での発表を終えてきました。

    [2005Jun20] IWR aka. WCLSCANのデータベース・計算サーバをさらに強力なものにリプレース します。作業には数日かかります。その間、インターネット危険度を表す フェースマークやグラフなどのアップデートは停止します。よろしくお願いします。

    [2005May28] センサーに届くパケットの統計処理に関して、少し変更を加えました。今まで 到着したすべてのパケットに対して処理していましたが、今度からは同じアド レスから繰り返して何度も来るようなパケットは、まとめて1カウントにして しまう方法にしました。これによって同じパケットを大量に吐き出すようなウィ ルスがあっても対応できるようになったはずです。この方式でしばらく様子を 見てみます。

    [2004Dec25] 2004年12月22日深夜に特定のセンサボックスに対してDDoSが行われた形跡を発 見しました。今後の経過観察のためにデータは補正はしていません。そのため 該当時間帯のデータに異常なピークが発生しております。データを参照の際は ご注意ください。

    [2004May06] GNOME 2.6用のアプレットGNOME IWR Applet を作成 : GNOME 2.6用のアプレット GNOME IWR Applet を作成しました。GNOMEのアプレットとして、IWR aka WCLSCAN の結果を一定時間毎にモニターします。各ディストリビューション用 のパッケージなどは、まだ用意されていませんが、ソースコードはダウンロー ドできます。

    [2004Apr07] 直観的な理解を助けるアイコン : 現在のインターネットの状況が一目でわかるように、左上に顔のアイコンを 表示するようにしました。顔の種類と意味は こちらにあります。 これは、1991年前後にNeTSプロジェクトで共同研究していた岡本由佳研究員の 「表情アイコンによるネットワーク状況認知の考察」の研究からヒントを得ています。

    [2004Apr07] ソフトウェアシンポジューム2004 : 2004年6月21日から6月24日まで岡山コンベンションセンターで開催される、 Software Symposium 2004 (主催 ソフトウェア技術者協会) にて研究成果を発表します。

    [2004Mar17] FIRST Conference 2004 : 16th Annual Computer Security Incident Handling Conference ( Budapest, Hungary June 13-18, 2004 ) にて研究成果を発表します。

    [2003Sep27] 8/3 --- 8/31日までの Port 135の グラフ を掲載します。Blasterの立ち上がり、夏季休暇の終了、亜種の発生 などがよくわかります。

    [2004Jan09] JPCERTコーディネーションセンター発表と警察庁@police発表のデータの食い違いとIWR aka WCLSCAN の状況について

    JPCERT/CCと@policeでは前者がPingパケットに反応するタイプ(ICMPのEcho Request 対しReplyを返す)、後者が反応しないタイプです。なぜそうした のかの情報を双方とも出していないのでわかりませんが、とにかくそ うなっています。

    IWR aka WCLSCANは、ネットワーク上でその検知ボックスの存在を知られるこ とはない、つまりネットワーク的に存在していない、という設計思想に基づい ています。完全にインターネット中をランダムに飛び交うパケットの到着を観 測に使っています。具体的にはLinux Boxを用いて下記のような方法ですべて のパケットをリジェクトしています。

      iptables -F INPUT
      iptables -A INPUT  -i eth0 -j LOG
      iptables -A INPUT  -i eth0 -j REJECT
    

    今回の件に関しては本システムは動作的には@policeと同じです。また傾向に 関しても@policeと同じです。当然、Nachiのようなマシンの存在を確認した後 に攻撃するような手法を取っているものに関しては、取れるデータが違ってき ますが、いずれにせよ最初の探知に関しては検知ボックスに届くので、何か通 常ではないパケット到着は発生していることを推定することは可能です(ただ し、現在はICMPを対象にはしていません)。

    [2003Dec16] WCLSCANセンサーがwww.sco.comへの攻撃を確認

    送付元アドレスを偽造しSYN Flood Attackが行われるとbackscatterという現 象が現われるのが知られています。WCLSCANセンサーは2003年12月14日午後6時 23分46秒と51秒にwww.sco.comへ攻撃を行われた際に発生したと思われる backscatter パケットを検知しました。

      wclscan,dec,14,18:23:46,1990/tcp,216.250.128.12,80,220.110.1.197,1990
      wclscan,dec,14,18:23:51,1990/tcp,216.250.128.12,80,220.110.1.197,1990
      $ host 216.250.128.12
      12.128.250.216.in-addr.arpa domain name pointer www.sco.com.
    
    [2003Nov05] 携帯電話からの確認ができるようになる。

    Internet Weather Report aka WCLSCANの検知情報が携帯からも確認できるようになりました。 簡易HTML 版 ( NTT ドコモ iモード / vodafone J-スカイ改めvodafone live!) と HDML 版 ( KDDI au EZWeb ) があります。 Lは危険度レベル、Pはポート番号、Bはベイズ推定値、Cは本日のカウント数で す。危険度レベル1が「緊急性が高い」、レベル2が「注意喚起」、レベル3が 「推移を見守る」ぐらいの意味です。尚、本日のカウント数は、午前0時を起 点にカウントしていますので、危険度のレベルが高いけれども、カウント数が 少ない場合もあります。

    [2003Nov05] 検知したパケットのトップ10

    検知したパケットの トップ10 の棒グラフ (3日以内、7日以内、30日以内) を表示します。

    [2003Oct29] WCLSCAN公開実験開始

    広域アラートシステム WCLSCANを開発していますが、 そのプロトタイピングレベルが終了しました。 現在、検知したパケットから、ベイズ推論を使い攻撃を自動的に発見する実験 を行っています。 ここに 推論結果のデータグラフ を公開しておきます。 IWR aka WCLSCANの詳細はここへ