各国VPSからの443番ポート通信の挙動記録
第2波のアクセス(分散型 HTTPS 試行)に続いて、その後更に、海外のVPS・クラウドIPを中心とした 443番ポート通信の急増 が観測された。
Webサーバ層に到達する前段階でルーターにより遮断されており、本記事では、その 通信挙動そのもの を記録として残す。
pdf8621af.tubecm00.ap.so-net.ne.jp:https <= 136-0-105-211.ips.acedatacenter.com:60175 240b 192b 56b
pdf8621af.tubecm00.ap.so-net.ne.jp:https <= 92.113.115.224:51277 240b 144b 42b
pdf8621af.tubecm00.ap.so-net.ne.jp:https <= 173.214.177.113:60915 240b 144b 42b
pdf8621af.tubecm00.ap.so-net.ne.jp:https <= 209.127.143.128:43363 240b 96b 28b
pdf8621af.tubecm00.ap.so-net.ne.jp:https <= ec2-54-185-117-160.us-west-2.compute.amazonaws.com:7105 0b 48b 71b
pdf8621af.tubecm00.ap.so-net.ne.jp:https <= 192-210-191-185-host.colocrossing.com:51365 0b 48b 56b
接続元は以下のように分散している。
・AWS EC2(us-west-2)
・Ace Data Center
・ColocationAmerica
・Spectrum / Cox などの海外ISP
・その他クラウド・VPS系IP
いずれも 送信元ポートがランダム であり、特定のアプリケーション通信ではない ことが分かる。
パケットサイズの特徴
多くの通信で以下の特徴が見られる。
・送信:240b / 0b
・応答:192b / 144b / 96b / 48b
・極端に小さいサイズで完結
これは、
・HTTPSの完全なTLSセッションには至っていない
・TCPレベルでの到達性確認、もしくは初期ハンドシェイク試行
である可能性が高い。
通信の性質について
この挙動から推測できる点は以下。
・無差別スキャンではない
・おそらく正規ドメイン宛に直接通信している
・WebサーバのVirtualHostやハニーポットには到達していない
・ルーター段階で遮断されているため、通信が完結しない
つまり、Webアプリケーションを狙った攻撃というより、ポート到達性や応答挙動の確認に近い通信 と考えられる。
対応と結果
これらの通信はすべて、
・443番ポート
・海外IP
・ルーター段階で DROP / REJECT
という条件で処理されており、Webサーバやアプリケーションへの影響は一切ない。
結果として、
・DROP数のみが増加
・サービス側の負荷は変化なし
・一定時間後に通信は沈静化
という挙動を示した。
まとめ
今回観測されたのは、
・正規ドメイン宛
・各国VPS・クラウドIPから
・小サイズ・短時間で繰り返される
・到達性確認的な443番通信
という、やや珍しいパターンである。
設定変更後の挙動としては興味深く、「防御が有効に機能している状態で、相手側の自動化が適応できなかった例」
として、記録に残しておく価値はあると判断した。
■この経緯での深夜0時以降のDROP数推移(FORWARDチェーン)観測結果
深夜0時以降のiptables統計を確認したところ、443番ポートへのDROP数が LAN内からの正規通信数を大きく上回る 状態になっていた。
Chain FORWARD (policy DROP)
num pkts bytes target
1 100K 62M ACCEPT RELATED,ESTABLISHED
11 2238 1454K ACCEPT br0 -> ppp0 (LAN内通信)
16 2 112 ACCEPT tcp dpt:443 match-set jpnet
17 97 5428 ACCEPT tcp dpt:443 match-set searchengines
22 4194 251K DROP tcp dpt:443
21 138 8192 DROP tcp dpt:80
数字が示していること
注目すべき点は以下。
? LAN内通信(正規)
ACCEPT br0 -> ppp0
2238 packets
? 外部からの443通信(遮断)
DROP tcp dpt:443
4194 packets
正規通信の約2倍近いDROPが、深夜帯だけで発生
しかも、
・国内IP(jpnet)はほぼ通っていない
・Search Engine向け443は正常
・DROPは特定ポート(443)に集中
無差別スキャンではない理由
この数値構成から分かることは、
・22番(SSH)や25番(SMTP)ではなく443番に極端に集中
・ICMPやUDPではない
・RELATED,ESTABLISHED は正常
つまり、生きているHTTPSサービスがある前提での接続試行であり、よくある全ポートスキャンとは性質が異なる。
ルーター段階で止めている意味
これらのパケットはすべて、
・ppp0(WAN)→ br0(LAN)
・Webサーバに届く前でDROPされている。
そのため、
・Webサーバ負荷:なし
・TLS処理:未実行
結果として、
・DROP数だけが増え、実害はゼロ
という、理想的な防御状態になっている。
所感
443のDROP数がLAN内通信より多いのは、さすがに初めて見た(笑)
相変わらずネタが尽きず楽しめます。