悪代官の伏魔殿掲示板
インドから異常なアクセスを受けました。
はじめまして,fukushimanです。
このような事態は初めての経験で,どうしたらよいのか調べている最中,こちらにたどり着きました。
まず,この攻撃手法について教えていただけたら幸いです。

状況
FortiGateの使用環境で,Google Chrome にてブラウジング中に4つのIPアドレスから約180,000件のアクセスをブロックしました。
アクセス自体は15分程度の時間で行われており,方向はOutgoingです。

その後
どのウェブサイトへアクセスしても,似たようなIPへアクセスしているログが出てきている現状であり,ネットワークのトラフィックが重くなっています。(youtubeも1秒が5倍くらいです)

恐れ入りますが,よろしくお願いいたします。

  • fukusiman
  • 2018/08/16 (Thu) 20:19:21
返信フォームへ 
PC環境の確認をお願いします
こんばんは。
ここの管理人の悪代官です。

まずは説明をうかがいましたが

>FortiGateの使用環境で

ということは、異常が起きているのは職場のPC環境でしょうか?

職場や公用PCで起きたトラブルでの相談はここのような衆人環視の掲示板上に出すべきではありません。
処置の成否に関係なく重大な責任問題にまで発展します。

普通ならまず解析用のログを見せてもらってから解析にかかるところですが、ログをまだupしてないのは幸いかもしれません。

大至急職場のシステム管理者か、契約しているセキュリティソフトのベンダーサポートに連絡してその指示に沿って対応することをお勧めします。

完全にお仕事とは無縁の個人私用PC環境なら支障ない範囲でその説明をレスください。
説明で協力可能と判断できたら改めてレスしますが、本当にお仕事使用PC環境ならこれ以上のログ提出やレスは止めておくのがいろいろな意味で無難です
  • 悪代官
  • 2018/08/16 (Thu) 20:53:04
返信フォームへ 
Re: これは完全に攻撃では?
FortiGateはファイヤーウォールのようです。
取り急ぎ、ネットワークの切断が安全ではないでしょうか。

マイネットのようにはなりたくないでしょうし。ユーザーも待ちくたびれましたから。
https://mynet.co.jp/news/2018/06/07/info_0607/
  • mike
  • 2018/08/16 (Thu) 21:05:13
返信フォームへ 
Re: PC環境の確認をお願いします
悪代官 様

返信ありがとうございます。
懸念していただいた,環境につきましては私用環境です。
以前にルーターに外国からのポートスキャンらしき通信があり,不審(恐怖観念に迫られて)に思ってUTM(FortiGate)を設置した経緯があります。

devname,device_id,date,time,logid,type,subtype,level,vd,eventtime,srcip,srcport,srcintf,srcintfrole,dstip,dstport,dstintf,dstintfrole,poluuid,sessionid,proto,action,policyid,policytype,service,dstcountry,srccountry,trandisp,appid,app,appcat,apprisk,applist,duration,sentbyte,rcvdbyte,sentpkt,rcvdpkt,wanin,wanout,lanin,lanout,utmaction,countweb,countapp,crscore,craction
UTM01,FG60E4Q17907638,2018/8/14,12:22:40,13,traffic,forward,notice,root,1534216960,192.168.1.13,57369,port1,undefined,54.230.173.74,443,wan1,wan,871f5cd6-16d0-51e8-9fb4-1c046d4a13f2,8738196,6,close,3,policy,HTTPS,Japan,Reserved,noop,40568,HTTPS.BROWSER,Web.Client,medium,default,1,946,6805,12,14,5526,314,1313,1313,block,1,1,30,8
UTM01,FG60E4Q17907638,2018/8/14,12:22:40,13,traffic,forward,notice,root,1534216960,192.168.1.13,57370,port1,undefined,54.230.173.74,443,wan1,wan,871f5cd6-16d0-51e8-9fb4-1c046d4a13f2,8738197,6,close,3,policy,HTTPS,Japan,Reserved,noop,40568,HTTPS.BROWSER,Web.Client,medium,default,1,946,6845,12,15,5526,314,1325,1325,block,1,1,30,8
  • fukusiman
  • 2018/08/17 (Fri) 11:18:13
返信フォームへ 
Re: Re: これは完全に攻撃では?
mike 様

返信ありがとうございます。

攻撃については私もそう思いました。
ですが,ブラウジング中のPCから外部(4つのIPでFortiGateはインド)に異常な数のアクセスしていて,攻撃と断定していいのか分かりませんでした。
ポートスキャンとも思ったのですが,外から内ならわかりますが,逆のパターンもあるのでしょうか。

4つのIP
54.230.173.33
54.230.173.74
54.230.173.80
54.230.173.109

  • fukusiman
  • 2018/08/17 (Fri) 11:25:03
返信フォームへ 
Re: 購入したお店に相談を。
ちょっと専門分野過ぎてしまい、ついて行けない可能性が高いです。FortiGateは直接のサポートはしていないとの事なので、購入したお店かIPAの下記url相談センターに相談を。

お店にネットワークの専門資格をお持ちの方がいれば相談してくれると思われますが、今回の場合IPAが相談場所には適しているような?。

多分、下記が該当してるかと。
https://www.ipa.go.jp/security/tokubetsu/index.html
  • mike
  • 2018/08/17 (Fri) 13:06:23
返信フォームへ 

返信フォーム
プレビュー (投稿前に内容を確認)
  
Template by  マシマロック