朝の集中アクセス記録

本日早朝、約30分間にわたり集中した通信が観測された。

ファイアウォールのカウンタでは、短時間で DROP 数が2000以上増加している。
主に HTTPS（443/tcp）宛ての接続試行が大半を占め、HTTP（80/tcp）および SSH（22/tcp）への試行も少数確認された。

DROP tcp dpt:22 16
DROP tcp dpt:80 74
DROP tcp dpt:443 2629

すべての通信はファイアウォールにより遮断されており、セッション確立や Web サービスへの到達は確認されていない。

iftop による観測状況

同時間帯に iftop で確認した通信状況を以下に示す。

pdf8621af.tubecm00.ap.so-net.ne.jp:https <= syn-024-167-221-251.res.spectrum.com:58920 256b 307b 102b
pdf8621af.tubecm00.ap.so-net.ne.jp:https <= ip68-228-247-224.ph.ph.cox.net:50471 240b 192b 64b
pdf8621af.tubecm00.ap.so-net.ne.jp:https <= 142.173.12.182:55359 240b 144b 48b
pdf8621af.tubecm00.ap.so-net.ne.jp:https <= 142.173.110.157:47419 240b 144b 48b
pdf8621af.tubecm00.ap.so-net.ne.jp:https <= 172.243.85.162:52556 0b 125b 42b
pdf8621af.tubecm00.ap.so-net.ne.jp:https <= 23-120-60-214.lightspeed.bcvloh.sbcglobal.net:35753 0b 96b 64b
pdf8621af.tubecm00.ap.so-net.ne.jp:https <= dhcp-9-134-100-80.gobrightspeed.net:55148 0b 51b 137b
pdf8621af.tubecm00.ap.so-net.ne.jp:https <= syn-104-231-067-103.res.spectrum.com:39906 240b 48b 48b
（以下略）

接続元は米国 ISP を中心とした多数の異なるホストで構成されており、単一 IP からの継続的な通信は確認されていない。

パケットサイズはいずれも小さく、SYN 送信のみで終了する通信が多く、実際のデータ転送やセッション確立には至っていない。

-----------------------------------
追記：DROP数更新

その後も通信は継続しており、12:00までにHTTPS（443/tcp）宛ての DROP 数は 5347まで増加した。
これまでの観測では 最多記録 となる。

DROP tcp dpt:22 22
DROP tcp dpt:80 131
DROP tcp dpt:443 5347

引き続きすべての通信はファイアウォールにより遮断されており、セッション確立や Web サービスへの影響は確認されていない。

本処理はカーネルレベルで行われており、ルーターへの負荷はほぼ皆無である。