不審なアクセスの観測状況(説明)
警察庁では、全国の警察施設のインターネット接続点にセンサーを設置し、その観測結果から、「解析・観測結果に関するレポート(技術者向け)」を公表しています。「不審なアクセスの観測状況」では、 観測した検知情報を迅速に提供するため、 平成15年10月より公開しています。
グラフは毎時20分頃に更新されるので、 インターネットにおける各種攻撃状況の変化、ワーム発生等を把握する基礎資料としてご活用下さい。 特異状況を認知した場合は、トップページにてお知らせいたします。
グラフの説明
横軸の単位は時間で、縦軸は1時間毎に集計された1IPアドレス当たりの件数です。
■シグネチャを用いた不正侵入等の検知
検知された各シグネチャは、次に示す分類に従って集計されます。グラフには、分類の上位5つとそれ以外(Others)の件数がプロットされます。
グラフに表示される分類
| 分類 | 説明 |
|---|---|
| Worm | インターネットを通じて拡散するワーム |
| Scan | インターネット上の各種サービスに対するスキャン活動 |
| Scan(Password) | スキャン活動の内、各種サービスのID・パスワード等に対する活動 |
| Scan(P2P) | スキャン活動の内、P2Pに対する活動 |
| VoIP | VoIPに対するスキャン活動等 |
| UDP_spam | UDPを使用したポップアップメッセージ等 |
| DoS | DoS攻撃の可能性があるパケット |
| DNS | DNSに対するスキャン活動や不正なクエリ等 |
| ICMP | ICMPパケット |
| Others | 上記の分類にふくまれないもの |
シグネチャは随時追加しています。
■センサーに対するアクセス
センサーは、全てのIncomingのパケットを破棄する設定となっています。 集計は、Incomingのトラフィックのみ対象とし、Outgoingのトラフィックはカウントされません。 グラフでは、ファイアウォールに到着したパケット数の集計結果がプロットされます。
グラフには以下の種類があります。
- 宛先ポート別
- 発信元国別
- 宛先ポート別(発信元:日本)
- 発信元TCPポート別
各グラフは、最新の動向を把握しやすくするため、 過去24時間における上位7つの項目とそれ以外(Others)の件数がプロットされます。
発信元TCPポート別推移は、TCPのフラグ種別に関係なく、発信元のポート番号毎に件数を集計したものです。 このグラフに限り、Othersの件数はプロットされません。
各ポート別のグラフにおいて、TCPとUDPはポート番号が表示されますが、 ICMPについてはTypeフィールドが表示されます。 (例:8/icmp → Echo Request)
ICMPで表示される主な数値(Typeフィールド)とその意味(RFC792,RFC1812より抜粋)
| 数値 | 意味 |
|---|---|
| 0 | Echo Reply |
| 3 | Destination Unreachable |
| 4 | Source Quench |
| 5 | Redirect |
| 8 | Echo Request |
| 11 | Time Exceeded |
| 12 | Paramter Problem |
| 13 | Timestamp Request |
| 14 | Timestamp Reply |