ブログ - 存在が確認できない その2
約1年前に書いた記事の続きなんだけど.
この時は,ネットワークが繋がらなくて困っていると言うのでオンコールを受けて出動. その会社は従業員700名くらいの会社なんだけど,システム担当はPOS担当が1名,パソコンセットアップ担当が1名.ネットワーク&セキュリティに関する知識は皆無.
まず,ネットワーク図を出させたら,トップルータが1つあるだけのシンプルさん.動作状況は,アクセスできなくなったらルータの電源をOFF/ONすると,使える様になる.しかし,30分もしないうちに使えなくなるという現象.
偶然,良く知っているヤマハのRTX1500だったのでログインするとCPUがほぼ100%になっている異常通信.
利用実態を見ようと,NATテーブルを確認するとあふれていました.RTX1500のスペック上のNATセッション数は4,096.
まさに「RTX1100で高負荷トラフィッククライアントを捜す」のドキュメント通りに実行すると,高負荷アクセスが確認できてNATテーブルが食いつぶされていました.
NATアドレステーブルをリセットすると通信が回復します.が,直ぐに埋まります.試しにTTLをデフォルトの15分から30秒に変更するとネットワーク疎通に問題が出なくなった.
とりあえずの暫定作業は終わったけれど,これからが大変だった.
この時は,ネットワークが繋がらなくて困っていると言うのでオンコールを受けて出動. その会社は従業員700名くらいの会社なんだけど,システム担当はPOS担当が1名,パソコンセットアップ担当が1名.ネットワーク&セキュリティに関する知識は皆無.
まず,ネットワーク図を出させたら,トップルータが1つあるだけのシンプルさん.動作状況は,アクセスできなくなったらルータの電源をOFF/ONすると,使える様になる.しかし,30分もしないうちに使えなくなるという現象.
偶然,良く知っているヤマハのRTX1500だったのでログインするとCPUがほぼ100%になっている異常通信.
利用実態を見ようと,NATテーブルを確認するとあふれていました.RTX1500のスペック上のNATセッション数は4,096.
まさに「RTX1100で高負荷トラフィッククライアントを捜す」のドキュメント通りに実行すると,高負荷アクセスが確認できてNATテーブルが食いつぶされていました.
NATアドレステーブルをリセットすると通信が回復します.が,直ぐに埋まります.試しにTTLをデフォルトの15分から30秒に変更するとネットワーク疎通に問題が出なくなった.
とりあえずの暫定作業は終わったけれど,これからが大変だった.
先に種明かしをすると,ネットワークカード上に存在するコンピュータウイルスがいました. これがロシアのライブチャットサイトの2つを大量接続してDoS攻撃を掛けているのがそもそもの原因.
このコンピュータウイルスは,次の様な振る舞いをするものでした.
1)アンチウイルスソフトで検出できない.
約1年前に書いた記事のとおり,検出できません.なんせ,パソコンの主記憶メモリやハードディスク上にコンピュータウイルスソフトが存在しないので.
2)MACアドレスを偽装する.
よって,リアルマシンの特定が困難になりました.
3)複数の仮想インタフェイスを作り,MACアドレスを偽装する.
よって,MACアドレス毎に集計しても,一見,大量接続しているパソコンの存在がわかりません.
4)ネットワークケーブルを抜くと,コンピュータがブルースクリーンになる.
よって,この原因パソコンの所有者は,会議にノートパソコンを持って行かないのでずっと机の上で繋ぎっぱなしにされているので,攻撃をし続けます.
5)そのパソコン所有者が出社してこないと発見できない.
その所有者,1日中,外出している日があって,その日はどんなに監視していても問題が発生しない.
● ● ● ● ●
結局は,机が島状態になっていたので,その島毎LANを切り離して原因箇所の特定としぼり込んで行き,見つけたのでした. 意外と原始的な方法って事で.
このコンピュータウイルスは,次の様な振る舞いをするものでした.
1)アンチウイルスソフトで検出できない.
約1年前に書いた記事のとおり,検出できません.なんせ,パソコンの主記憶メモリやハードディスク上にコンピュータウイルスソフトが存在しないので.
2)MACアドレスを偽装する.
よって,リアルマシンの特定が困難になりました.
3)複数の仮想インタフェイスを作り,MACアドレスを偽装する.
よって,MACアドレス毎に集計しても,一見,大量接続しているパソコンの存在がわかりません.
4)ネットワークケーブルを抜くと,コンピュータがブルースクリーンになる.
よって,この原因パソコンの所有者は,会議にノートパソコンを持って行かないのでずっと机の上で繋ぎっぱなしにされているので,攻撃をし続けます.
5)そのパソコン所有者が出社してこないと発見できない.
その所有者,1日中,外出している日があって,その日はどんなに監視していても問題が発生しない.
結局は,机が島状態になっていたので,その島毎LANを切り離して原因箇所の特定としぼり込んで行き,見つけたのでした. 意外と原始的な方法って事で.
