ああ、もうきりがない。
最近ほんとに増えたよ。昨日はIDSがやけに静かだな、と思ったらIDSのproccessであるsnortが検知したsingatureにひっかかったpacketの情報をforwardするbarnyardというproccessがhangしていた。それに気がついてkill -9してrestartすると、mountainのようにalertが。ああもう、とにかくTogetherしようぜ。
そしてその中に3つあったP2Pのalertを調べては対処した。居室まで乗り込んだのは1回だけで、残り1つは誤検知、もう1つは昨日のロシア人のPCだった。ネットワークから切り離してくださいって言ったのに!ぷんぷん。
通信ログを確認したり、昨日の情報なのでIPアドレスからMACアドレスを知るのにDHCPのログを見たり、そのMACアドレスからスイッチのarp情報と突き合わせて通信経路を追っていき、居室まで特定する。はあ、めんどうだわ。SEさんはなにがしスカヤが持ってきた怪しさ満載のPCの解析で忙しい。かなりいろんなものが入り込んでいたようだ。MACアドレスまで偽装されていたらしい。
そんなこんなで、他のタスクやユーザからの依頼も処理して、ようやく帰ろうとしたところで、またalertが…。見なかったことにしたい。いや、でも見てしまったものはしかたがない。とりあえずそのIPの通信履歴を見たら…、
なんだこれは?
う〜ん、最近P2Pというと、いわゆる「ファイル共有ソフト」のことを指し、ランダムなポートを使っていろんなIPアドレスと短時間の間にものすごい量の通信をする。しかし、このケースは、本当の意味でのPeerToPeerな通信ぽい。相手のアドレスは固定で、DNSでちゃんと名前が引ける。しかも某有名国立大学。うちは研究所なので、メッセンジャーか何かのファイル送信機能で、研究データか何かの大きなファイルを送ったのだろうか。しかし、有名どころのメッセンジャーでは別にalertは出ないのだが。何を使ったのかなあ。
まあいいや、今日はこれくらいにしてやろう。明日居室を特定して、何のソフトを使っていたか確認してみよう。というわけで、今日は2時間の残業だった也。明日は女バレなので早く帰るぞ!
