UTM、週報 05/12

Ｄａｔｅ: 2018/05/12 Type: weekly

Network Protection Packet Filter / Firewall TOP10 dropped source hosts Total dropped packets: 21 476 Top Source IP User / Host Packets % 1 191.101.167.30 191.101.167.30 1 987 9.25% 2 145.239.134.1 ns3084567.ip-145-239-134.eu 528 2.46% 3 A2 470 2.19% 4 A3 419 1.95% 5 C1 410 1.91% 6 8.8.8.8 DNS Forwarder 380 1.77% 7 77.72.82.101 hostby.ups-gb.co.uk 301 1.40% 8 185.222.211.45 185.222.211.45 195 0.91% 9 54.251.46.50 ec2-54-251-46-50.ap-southeast-1.compute.amazonaws.com 174 0.81% 10 65.49.77.117 65.49.77.117 166 0.77% AWSを、探索に使うケースも有る？ようだ。 手元のクラウド環境で、同じクラウドのプロバイダーの他のホストのパケットはキャプチャできないので、今はL3スイッチ下と想像するが、ルータのMACチェックくらいは、しといた方が良さそう。 TOP10 dropped destination hosts Total dropped packets: 21 476 Top Destination IP User / Host Packets % 1 External (WAN) (Address) 19 006 88.50% 2 A2 794 3.70% 3 A3 511 2.38% 4 8.8.8.8 DNS Forwarder 251 1.17% 5 8.8.4.4 google-public-dns-b.google.com 188 0.88% 6 64.233.189.188 tl-in-f188.1e100.net 51 0.24% 7 108.177.97.188 tm-in-f188.1e100.net 40 0.19% 8 172.217.161.74 nrt20s09-in-f10.1e100.net 36 0.17% 9 64.233.186.188 cb-in-f188.1e100.net 30 0.14% 10 118.20.x.x xxx.ap.plala.or.jp 25 0.12% Destination hosts は、No.4,5,9以外は、access point らしきもののみ。 No.4,5やAP行きをdropしているのは、こちらのtuningが足りないせいか。調べたいけど、個々につぶしていくのも手間で、思案中。 TOP10 dropped services Total dropped packets: 21 476 Top Service Name Protocol Service Packets % 1 TELNET TCP 23 2 827 13.16 % 2 MICROSOFT-DS TCP 445 2 204 10.26 % 3 HTTP TCP 80 585 2.72 % 4 MS-SQL-S TCP 1433 540 2.51 % 5 DOMAIN UDP 53 485 2.26 % 6 HTTP-ALT TCP 8080 452 2.10 % 7 SSH TCP 22 253 1.18 % 8 TCP 5228 223 1.04 % 9 3D-NFSD TCP 2323 216 1.01 % 10 HTTPS TCP 443 213 0.99 % 5228/tcpはGoogle Playや Google Cloud Messaging で使うポートとの事。 Dropped Destination Hostsに登場するのは、それと関連あるのか? 個々のdrop内容は、自分でログを調べるなり、キャプチャして検証したり、が必要そうです。 。