webserver apache ログの怪しげな跡 (3)
log のいくつかをピックアップしてみると
2016-09-26 20:26:21 NAT 028 Sequence number error: proto=TCP in=192.168.20.242:57474 -> map=192.168.1.100:57474 -> out=31.13.82.1:443 (flag=24 seq=3036588846 ack=2956520698 len=201 ackskew=0 reason=33) on fastEthernet 0
2016-09-26 20:26:21 PDNS 029 Received from lame server ([192.168.1.1].53)
2016-09-26 20:26:21 NAT 028 Sequence number error: proto=TCP in=192.168.20.242:57474 -> map=192.168.1.100:57474 -> out=31.13.82.1:443 (flag=24 seq=3036588846 ack=2956520698 len=201 ackskew=0 reason=33) on fastEthernet 0
2016-09-26 20:26:21 NAT 028 Sequence number error: proto=TCP in=192.168.20.242:57474 -> map=192.168.1.100:57474 -> out=31.13.82.1:443 (flag=24 seq=3036588846 ack=2956520698 len=201 ackskew=0 reason=33) on fastEthernet 0
2016-09-26 20:26:22 NAT 028 Sequence number error: proto=TCP in=192.168.20.242:57474 -> map=192.168.1.100:57474 -> out=31.13.82.1:443 (flag=24 seq=3036588846 ack=2956520698 len=201 ackskew=0 reason=33) on fastEthernet 0
2016-09-26 20:26:23 NAT 028 Sequence number error: proto=TCP in=192.168.20.242:57474 -> map=192.168.1.100:57474 -> out=31.13.82.1:443 (flag=24 seq=3036588846 ack=2956520698 len=201 ackskew=0 reason=33) on fastEthernet 0
2016-09-26 20:26:24 NAT 028 Sequence number error: proto=TCP in=192.168.20.242:57474 -> map=192.168.1.100:57474 -> out=31.13.82.1:443 (flag=24 seq=3036588846 ack=2956520698 len=201 ackskew=0 reason=33) on fastEthernet 0
2016-09-26 20:26:25 NAT 028 Sequence number error: proto=TCP in=192.168.20.242:57474 -> map=192.168.1.100:57474 -> out=31.13.82.1:443 (flag=24 seq=3036588846 ack=2956520698 len=201 ackskew=0 reason=33) on fastEthernet 0
2016-09-26 20:26:26 NAT 028 Sequence number error: proto=TCP in=192.168.20.242:57474 -> map=192.168.1.100:57474 -> out=31.13.82.1:443 (flag=24 seq=3036589047 ack=2956520698 len=46 ackskew=0 reason=33) on fastEthernet 0
2016-09-26 20:26:28 NAT 028 Sequence number error: proto=TCP in=192.168.20.242:57474 -> map=192.168.1.100:57474 -> out=31.13.82.1:443 (flag=24 seq=3036588846 ack=2956520698 len=247 ackskew=0 reason=33) on fastEthernet 0
2016-09-26 20:26:31 NAT 028 Sequence number error: proto=TCP in=192.168.20.242:57474 -> map=192.168.1.100:57474 -> out=31.13.82.1:443 (flag=24 seq=3036589093 ack=2956520698 len=154 ackskew=0 reason=33) on fastEthernet 0
2016-09-26 20:26:31 PDNS 029 Received from lame server ([192.168.1.1].53)
2016-09-26 20:26:33 NAT 028 Sequence number error: proto=TCP in=192.168.20.242:57474 -> map=192.168.1.100:57474 -> out=31.13.82.1:443 (flag=24 seq=3036588846 ack=2956520698 len=401 ackskew=0 reason=33) on fastEthernet 0
2016-09-26 20:26:34 NAT 028 Sequence number error: proto=TCP in=192.168.20.242:57474 -> map=192.168.1.100:57474 -> out=31.13.82.1:443 (flag=24 seq=3036589247 ack=2956520698 len=46 ackskew=0 reason=33) on fastEthernet 0
2016-09-26 20:26:34 NAT 028 Sequence number error: proto=TCP in=192.168.20.242:57474 -> map=192.168.1.100:57474 -> out=31.13.82.1:443 (flag=24 seq=3036589293 ack=2956520698 len=31 ackskew=0 reason=33) on fastEthernet 0
2016-09-26 20:26:34 NAT 028 Sequence number error: proto=TCP in=192.168.20.242:57474 -> map=192.168.1.100:57474 -> out=31.13.82.1:443 (flag=17 seq=3036589324 ack=2956520698 len=0 ackskew=0 reason=33) on fastEthernet 0
のような感じです。
webserver apache の怪しげなアタックですが当該 IP アドレスをルーターでブロックしたところ IP を変更されました。アタック元は やはり
inetnum: 36.250.160.0 - 36.250.191.255
netname: UNICOM-FJ-PUTIAN-MAN
country: CN
descr: Putian city, fujian provincial network of UNICOM
です。 UNICOM-FJ-PUTIAN-MAN で検索すると Black List に載っている のですよね。(笑)
で 36.250.160.0 - 36.250.191.255 の IP 間すべてをブロックすることにします。私の使用しているルーターでは ネットワークアドレスとサブネットマスクを使用することでブロックする IP の範囲を指定できます。
IP アドレスとサブネットマスクの関係は簡単そうでも 実際に計算すると結構面倒ですが、世の中には便利なツールを提供していただける方がおられます。
ジャーン (^0^)/ サブネットマスク計算(IPv4)
cgi で計算されているのですね。非常に助かりました。で リンク先を開き、 36.250.160.0 を入力します。 サブネットマスクを適当に選んで ブロードキャストアドレス(終了IP) が 36.250.191.255 になるようにします。
今回の場合は /19 (255.255.224.0) で丁度いいのですが、この前後の IP も UNICOM-FJ-PUTIAN-MAN が押さえていましたので サブネットマスク を /14 (255.252.0.0) で開始 IP が 36.248.0.0 、ブロードキャストアドレス(終了IP) が 36.251.255.255 にしました。 日本では ここの IP は使われていません のでこれで OK とします。
実際にはこれ以外にも UNICOM-FJ-PUTIAN-MAN の使用している IP をネットで検索し、ブロックする範囲を広げています。こいつ とか。(笑)
