サイト内検索
トップページ
情報提供
インターネット定点観測システム
Internet Scan Data Acquisition System (ISDAS)
インターネット定点観測システム(ISDAS)について
JPCERT/CC では 2003年度より定点観測システム ISDAS を立ち上げ運用しています。 本システムではインターネット上にセンサーを分散配置し、ワームの感染活動や弱点探索のためのスキャンなど、セキュリティ上の脅威となるトラフィックの観測を行なっています。 本システムによる観測状況は Web を通じて定期的に公開している他、注意喚起発行などを通じてネットワーク管理者やシステム管理者に向けてセキュリティ予防情報を提供するために役立てられています。
センサーについて
ISDAS で設置しているセンサーは IX の近傍や xDSL のエッジ等様々なアドレスブロックに分散配置され、脅威を全方向から捉えるようになっています。インターネットから到達するパケットのうち TCP、UDP および ICMP パケットを記録しています。
JPCERT/CC が運用しているインターネット定点観測システム (ISDAS) の観測結果のグラフです。個別のPortのグラフは、クリックすると3ヶ月間と1年間のグラフが表示されます。
下のグラフが示す数値は、宛先ポート別にカウントしたスキャンログの総計をセンサー 1台あたりの平均にした数です。
- 3ヶ月グラフ(アクセス先ポート別グラフ)
[クリックすると拡大します]
- 1年間グラフ(アクセス先ポート別グラフ)
[クリックすると拡大します]
ICMP
ICMP(Internet Control Message Protocol:インターネット制御通知プロトコル)は、IP(Internet Protocol) 通信においてエラーメッセージの通知や制御メッセージの送信を行うプロトコルです。ICMPは、RFC792にて規定されています。ISDAS では、全てのタイプの ICMP メッセージを集計して ICMP として表示しています。
FTP (port20/TCP,port21/TCP)
FTP(File Transfer Protocol:ファイル転送プロトコル)は、TCP/IP ネットワークにて主にサーバ・クライアント間のファイルの転送に使用されるプロトコルです。通常、FTP では制御用 (21/tcp) とデータ用 (20/tcp) に二つの TCP コネクションが使用されます。 FTPはRFC 959 にて規定されています。
SSH (port22/TCP)
SSH(Secure Shell:セキュアシェル)は、安全性が確保されていないネットワーク上でのセキュアなリモートログインやその他のセキュアなネットワークサービスを提供するプロトコルです。クライアントとサーバ間の通信には、22/tcp が使用されます。SSH は、RFC4250 ~ 4256 にて規定されています。
TELNET (port23/TCP)
TELNET は、TCP/IP ネットワークにて主に端末間の 8 ビット双方向通信を提供するプロトコルです。通常端末間の通信には 23/tcp が使用されます。TELNET は、RFC854 にて規定されています。TELNET では通信の秘匿性が保証されないため、遠隔のシステムとの通信には SSH などを使用することが推奨されます。
SMTP (port25/TCP)
SMTP(Simple Mail Transfer Protocol:簡易メール転送プロトコル)は、電子メールを転送するプロトコルです。通常、クライアントとサーバ間の通信には 25/tcp が使用されます。SMTP は、RFC2821 にて規定されています。
DNS (port53/TCP,port53/UDP)
DNS(Domain Name System:ドメインネームシステム)は、ドメイン名とIPアドレスの対応付けを行う階層的な分散型データベースシステムです。通常、クライアントとサーバ間の通信には 53/tcp,53/udp が使用されます。DNSは、RFC1034,1035 にて規定されています。
HTTP (port80/TCP)
HTTP(Hypertext Transfer Protocol:ハイパーテキスト・トランスファー・プロトコル)は、クライアント(ブラウザ)とサーバの間で WEB コンテンツを送受信するために用いられる通信プロトコルです。通常、クライアントとサーバ間の通信には 80/tcp が使用されます。HTTP は、RFC 2616 にて規定されています。
POP3 (port110/TCP)
POP(Post Office Protocol:ポストオフィスプロトコル)は、メールサーバから電子メールを受信するためのプロトコルです。現在は、改良された POP3(POP version3) が主に使用されています。通常、クライアントとサーバ間の通信には 110/tcp が使用されます。POP3 は、RFC1939 にて規定されています。
NTP (port123/UDP)
NTP(Network Time Protocol:ネットワークタイムプロトコル)は、ネットワークに接続された機器の時刻を正しい時刻に同期させるためのプロトコルです。通常、クライアントとサーバ間の通信に 123/udp が使用されます。NTP は、RFC1305 にて規定されています。
IMAP4 (port143/TCP)
IMAP(Internet Message Access Protocol:インターネットメッセージアクセスプロトコル)は、メールサーバから電子メールを受信したり、メールサーバ上でメールを操作したりするプロトコルです。主に利用される IMAP4 rev1 では、クライアントとサーバ間の通信に 143/tcp が使用されます。IMAP4 rev1 は、RFC3501 にて規定されています。
HTTPS (port443/TCP)
HTTPS(Hypertext Transfer Protocol Security:ハイパーテキスト・トランスファー・プロトコル・セキュリティ)は、ブラウザ(クライアント)とサーバ間の通信を暗号化する際に使用される URI スキームです。通常、クライアントとサーバ間の通信に 443/tcp が使用されます。
MSSQL (port1433/TCP,port1434/UDP)
MSSQL(Microsoft SQL Server)は、Microsoft SQL Server の略称です。通常、クライアントとサーバの通信や問い合わせに、1433/tcp,1434/udp が使用されます。
RDP (port3389/TCP)
RDP(Remote Desktop Protocol:リモートデスクトッププロトコル)は、Microsoft ターミナルサービスが稼働するシステムに遠隔のコンピュータから接続する際に使用されるプロトコルです。通常、クライアントとサーバ間の通信には 3389/tcp が使用されます。
説明資料
参考資料
- 2009/12/24
- 冬期の長期休暇を控えて Vol.2 -- 年末年始におけるインターネット利用に関する注意事項 --
- 2009/12/17
- 冬期の長期休暇を控えて 2009/12
- 2009/11/24
- 「制御システムセキュリティガイドライン、標準及び認証への取組みに関する分析」「重要社会インフラのためのプロセス制御システム(PCS)のセキュリティ強化ガイド」を公開しました
