不正アクセスの発信地の国別統計をとろう！

What's New
(2006.06.09) リストを更新 & 使用規定の項を追加
(2005.03.01) リストを更新 & リスト作成スクリプト
(2003.05.28) 地域 NICから情報をもらいリストを更新
(2003.05.17) 日記へのリンクを追加。
(2003.02.25) IPアドレス → ccTLD を引けるCGI を設置(ここ)。

はじめに

サーバーを立てていると、 外部からポートスキャンなど、 不正なアクセスを掛けてくる輩がいる。
アクセスログを取っていると、 この不正アクセスがどの IP アドレスから行われたのか履歴が残るので、 この IP アドレスを解析して 攻撃がどこから行われたのか統計を取ってみることにする。

攻撃がどの国から行われたのか調べる簡単な方法は、 IP アドレスの逆引きで得られたドメインから国を推測する方法である。 たとえば、 ***.jp ドメインであれば日本からのアクセス、 ***.cn ドメインであれば中国からのアクセスであることが分かる。 しかし、 この方法では逆引きができないサイトは、 どの国からアクセスされたのかを類推することはできない。 また 得られたドメイン名から 国が推測できない場合も多く不確かだ。
例えば アメリカのサーバのほとんどは .us ドメインではないし、 国内にあるサーバーであっても .net や .com を名乗っているものがいる。

そこで 各国に割り振られた IP アドレスから直接 検索を行う。
IP アドレスはネットワークの経路制御に用いられているので、 IP アドレスはネットワークの地勢学的な座標を おおよそ正しくあらわしていると考えられる。 つまり、 ある国に割り振られた IP アドレスを別の国のホストに勝手につけても、 パケットが正しく配送されないのでネットワーク的には不通の状態となるからだ。
(とはいえ、送ったきりで構わないのであれば送信先 IP アドレスを偽称する方法は存在する。)

現在、 IP アドレスは IANA が管理し、 地域を担当する Network Informantion Center (NIC) に IP アドレスを割り当て、 地域 NIC が各国の NIC に IP アドレスを割り当てている。 現在、このような地域 NIC が アメリカ、ヨーロッパ、アジア、ラテンアメリカの 4 つ存在するので、 この 4 つの組織が公開している IP アドレスの割り当てリストを手に入れ、 結合すればよい。

と、書くのは簡単だが、 各組織の Web ページのどこにどこに一覧があるのか探すのに苦労した。
下記参照の "allocation and assignment reports" にリストが存在する。 現在は、delegated-(地域NIC名)-(日付) という名前のファイルになっている。

リスト

各地域 NIC よりレポートファイルを、 以下の UNIX コマンドとスクリプトを使ってまとめる (ipv4.pl、make_ipaddr_to_cctld.pl)。

> cat (4つの地域NICのリポート) | ipv4.pl | sort -n > sorted_all.list
> make_ipaddr_to_cctld.pl -i2c < sorted_all.list        > i2c.txt
> make_ipaddr_to_cctld.pl -c2i < sorted_all.list | sort > c2i.txt

合成後のデータは リスト [テキスト(678K)]ようになる (圧縮ファイル [ZIPファイル(138K)])。
また、 IP から国別コード(ccTLD) が引けるようにした リスト[テキスト(673K)] も用意した(圧縮ファイル [ZIPファイル(143K)])。

IP アドレスのリストから国別コードを出力する Perl スクリプトも用意した。
アクセスログから IP アドレスが行毎に書かれたリストファイルを用意し、 Perl スクリプトの標準入力に入れれば、 国別コードを出力してくれる。

61.193.xx.xx
207.33.xx.xx
24.202.xx.xx

# アクセス別の集計
> cat access_log | what_country.pl | count_cctld.pl

# ホスト別の集計
> cat access_log | sort -u | what_country.pl | count_cctld.pl

統計

ここ二月分の http サーバと smpt サーバへ対する不正アクセスを集計してみた。 サーバーのアクセスホスト(IP)数別、アクセス数別のランキングである。

アクセスホスト、アクセス数ともに韓国が圧倒的に多い。
意外なのはアクセス数 第2のインド。 ホスト数では 5位の 4.0% に留まるにのに対して、 アクセス数の 11% と大活躍である。
集計したホストは、 jp ドメインを持ち、日本に割りふられた IP 内にあるのにも拘わらず、 日本からの不正アクセスはホスト数順で第9位、 アクセス数順で 8 位と奮わない。 是非とも次回はメダルを狙って欲しいものである。

追記 (2003.02.01)

昨年の11月に 新しい地域 NICができて地域 NIC は全部で 4 つになったようだ。
新規の地域 NIC はラテンアメリカとカリブ海諸島の国々を担当する LAPNIC。

古い IP アドレスリストには、間違いがあったようだ。 今まで 200.0.0.0/8 のクラスA をウルグアイ(UY) としていた。

200.0.0.0       200.255.255.255 UY

これは間違いで、 200.0.0.0/8 はもっと細かく割り振られていたようだ。
この領域に LAPNIC が管理する IP アドレスが多数存在している。 そのため過去の統計でウルグアイと判定していた IP アドレスは、 US だったり南アメリカ諸国の IP だったようだ。

参考となる URL

• IPv4 のアドレススペース ... IPv4 のアドレス空間の使い方が 2^24個づつ記載されている
• 国別トップドメインの一覧 ... JP などの 2 文字の国別トップドメイン(ccTLD) の一覧
• IANA ... ドメインネームと IP アドレスの管理の総本山
• ARIN (allocation and assignment reports) ... アメリカ方面に割り振られた IP アドレスを管理している組織
• APNIC (allocation and assignment reports) ... アジアに割り振られた IP アドレスを管理している組織
• RIPE-NCC (allocation and assignment reports) ... ヨーロッパに割り振られた IP アドレスを管理している組織
• LACNIC (allocation and assignment reports) ... ラテンアメリカとカリブ海諸島に割り振られた IP アドレスを管理している組織
• AfriNIC ... アフリカの RIP になる予定の組織

以降の不正アクセス記録の統計

2002.11.22 ポートスキャンアクセス
2002.12.27 ポートスキャンアクセス + Web + SMTP
2003.01.27 Web (MS SQL Slammer ワーム)
2003.01.31 IP-CCコードのリストにミスが見つかる
2003.02.25 Web (MS SQL Slammer ワーム)
2003.02.28 ポートスキャンアクセス
2003.03.29 Web (Code Red.F)
2003.04.30 ポートスキャンアクセス
2003.05.31 ポートスキャンアクセス
2003.06.30 ポートスキャンアクセス
2003.07.31 ポートスキャンアクセス
2003.08.31 Nachi ワーム
2003.09.30 ポートスキャンアクセス

使用規定

このページで公開されている Perl スクリプトプログラムは、 自由に配布・改変・別プログラムへ取り込むことができます。 その際 著者(中村 実)への連絡も不要です。

ただしこのプログラムを使用した結果発生するいかなる損害についても、 一切の責任は負いません。

このページまたはプログラムを紹介されたい方は、 コメント欄かトラックバックをくださればありがたいです (気が向いたらで構いません)。

コメント