オレンジのトップページ

2016年10月25日火曜日

YAMAHAルータでtftpアタックを確認しました

ルータのコンソールにtftpアタックを受けているというメッセージが出ていました。

tftpd: Access violation, aborted
show cotftpd: Access violation, aborted

リモートメンテナンス用に残していた tftp hostとnat設定が良くなかったようですね。filterしているので不正アクセスされることはありませんが、いちいち応答してルータのリソースが削られているので設定は消します。

1.ログ確認。どこからか、アタックしてるしてる。
#show log rev
2016/10/25 16:01:43: [TFTPD] Rejected access from 62.210.101.115
2016/10/25 16:01:43: [TFTPD] Access violation
2016/10/25 16:01:40: [TFTPD] Rejected access from 62.210.101.115
2016/10/25 16:01:40: [TFTPD] Access violation

2.設定消します。
no tftp host xxx.xxx.xxx.xxx
no nat descriptor masquerade static xxxx xxx 192.168.xxx.xxx udp tftp

せっかくですのでヤマハルータの挙動を確認しておきます。
(コマンド)nmap -sU 192.168.xxx.xxx(ルータのIP)

*tftp host xxx.xxx.xxx.xxx 行がある場合
PORT STATE SERVICE
53/udp open|filtered domain
67/udp open|filtered dhcps
69/udp open|filtered tftp



*tftp host xxx.xxx.xxx.xxx 行が無い場合
PORT STATE SERVICE
53/udp open|filtered domain
67/udp open|filtered dhcps



このように、YAMAHAルータは tftp hostの設定がある時はtftpポートをlistenしていて、tftp hostの設定がないときはlistenしていないようです。

3.対策が終わったので最後に攻撃してきていたIPを確認しておきます
えーっと、、、、パリ?フランスかぁ。

myhost:~$ whois 62.210.101.115

inetnum:        62.210.0.0 - 62.210.127.255
org:            ORG-ONLI1-RIPE
netname:        IE-POOL-BUSINESS-HOSTING
descr:          IP Pool for Iliad-Entreprises Business Hosting Customers
country:        FR
admin-c:        IENT-RIPE
tech-c:         IENT-RIPE
status:         LIR-PARTITIONED PA
mnt-by:         MNT-TISCALIFR-B2B
created:        2012-11-02T11:39:45Z
last-modified:  2016-02-22T16:25:18Z
source:         RIPE

organisation:   ORG-ONLI1-RIPE
abuse-mailbox:  abuse@online.net
mnt-ref:        MNT-TISCALIFR-B2B
org-name:       ONLINE SAS
org-type:       OTHER
address:        8 rue de la ville l'eveque 75008 PARIS
abuse-c:        AR32851-RIPE
mnt-ref:        ONLINESAS-MNT
mnt-by:         ONLINESAS-MNT
created:        2015-07-10T15:20:41Z
last-modified:  2016-02-23T16:20:42Z
source:         RIPE # Filtered

role:           Iliad Entreprises Admin and Tech Contact
remarks:        Iliad Entreprises is an hosting and services provider
address:        8, rue de la ville l'eveque
address:        75008 Paris
address:        France
phone:          +33 1 73 50 20 00
fax-no:         +33 1 73 50 29 01
abuse-mailbox:  abuse@online.net
tech-c:         NLI-RIPE
nic-hdl:        IENT-RIPE
mnt-by:         ONLINE-NET-MNT
created:        2012-10-25T13:21:59Z
last-modified:  2016-02-23T11:42:21Z
source:         RIPE # Filtered

% Information related to '62.210.0.0/16AS12876'

route:          62.210.0.0/16
descr:          Online SAS
descr:          Paris, France
origin:         AS12876
mnt-by:         MNT-TISCALIFR
created:        2013-08-02T09:07:46Z
last-modified:  2013-08-02T09:07:46Z
source:         RIPE

% This query was served by the RIPE Database Query Service version 1.87.4 (ANGUS)