webserver apache ログの怪しげな跡 (3)

log のいくつかをピックアップしてみると

2016-09-26 20:26:21 NAT 028 Sequence number error: proto=TCP in=192.168.20.242:57474 -> map=192.168.1.100:57474 -> out=31.13.82.1:443 (flag=24 seq=3036588846 ack=2956520698 len=201 ackskew=0 reason=33) on fastEthernet 0

2016-09-26 20:26:21 PDNS 029 Received from lame server ([192.168.1.1].53)

2016-09-26 20:26:21 NAT 028 Sequence number error: proto=TCP in=192.168.20.242:57474 -> map=192.168.1.100:57474 -> out=31.13.82.1:443 (flag=24 seq=3036588846 ack=2956520698 len=201 ackskew=0 reason=33) on fastEthernet 0

2016-09-26 20:26:21 NAT 028 Sequence number error: proto=TCP in=192.168.20.242:57474 -> map=192.168.1.100:57474 -> out=31.13.82.1:443 (flag=24 seq=3036588846 ack=2956520698 len=201 ackskew=0 reason=33) on fastEthernet 0

2016-09-26 20:26:22 NAT 028 Sequence number error: proto=TCP in=192.168.20.242:57474 -> map=192.168.1.100:57474 -> out=31.13.82.1:443 (flag=24 seq=3036588846 ack=2956520698 len=201 ackskew=0 reason=33) on fastEthernet 0

2016-09-26 20:26:23 NAT 028 Sequence number error: proto=TCP in=192.168.20.242:57474 -> map=192.168.1.100:57474 -> out=31.13.82.1:443 (flag=24 seq=3036588846 ack=2956520698 len=201 ackskew=0 reason=33) on fastEthernet 0

2016-09-26 20:26:24 NAT 028 Sequence number error: proto=TCP in=192.168.20.242:57474 -> map=192.168.1.100:57474 -> out=31.13.82.1:443 (flag=24 seq=3036588846 ack=2956520698 len=201 ackskew=0 reason=33) on fastEthernet 0

2016-09-26 20:26:25 NAT 028 Sequence number error: proto=TCP in=192.168.20.242:57474 -> map=192.168.1.100:57474 -> out=31.13.82.1:443 (flag=24 seq=3036588846 ack=2956520698 len=201 ackskew=0 reason=33) on fastEthernet 0

2016-09-26 20:26:26 NAT 028 Sequence number error: proto=TCP in=192.168.20.242:57474 -> map=192.168.1.100:57474 -> out=31.13.82.1:443 (flag=24 seq=3036589047 ack=2956520698 len=46 ackskew=0 reason=33) on fastEthernet 0

2016-09-26 20:26:28 NAT 028 Sequence number error: proto=TCP in=192.168.20.242:57474 -> map=192.168.1.100:57474 -> out=31.13.82.1:443 (flag=24 seq=3036588846 ack=2956520698 len=247 ackskew=0 reason=33) on fastEthernet 0

2016-09-26 20:26:31 NAT 028 Sequence number error: proto=TCP in=192.168.20.242:57474 -> map=192.168.1.100:57474 -> out=31.13.82.1:443 (flag=24 seq=3036589093 ack=2956520698 len=154 ackskew=0 reason=33) on fastEthernet 0

2016-09-26 20:26:31 PDNS 029 Received from lame server ([192.168.1.1].53)

2016-09-26 20:26:33 NAT 028 Sequence number error: proto=TCP in=192.168.20.242:57474 -> map=192.168.1.100:57474 -> out=31.13.82.1:443 (flag=24 seq=3036588846 ack=2956520698 len=401 ackskew=0 reason=33) on fastEthernet 0

2016-09-26 20:26:34 NAT 028 Sequence number error: proto=TCP in=192.168.20.242:57474 -> map=192.168.1.100:57474 -> out=31.13.82.1:443 (flag=24 seq=3036589247 ack=2956520698 len=46 ackskew=0 reason=33) on fastEthernet 0

2016-09-26 20:26:34 NAT 028 Sequence number error: proto=TCP in=192.168.20.242:57474 -> map=192.168.1.100:57474 -> out=31.13.82.1:443 (flag=24 seq=3036589293 ack=2956520698 len=31 ackskew=0 reason=33) on fastEthernet 0

2016-09-26 20:26:34 NAT 028 Sequence number error: proto=TCP in=192.168.20.242:57474 -> map=192.168.1.100:57474 -> out=31.13.82.1:443 (flag=17 seq=3036589324 ack=2956520698 len=0 ackskew=0 reason=33) on fastEthernet 0

のような感じです。

webserver apache の怪しげなアタックですが当該 IP アドレスをルーターでブロックしたところ IP を変更されました。アタック元はやはり

inetnum: 36.250.160.0 - 36.250.191.255

netname: UNICOM-FJ-PUTIAN-MAN

country: CN

descr: Putian city, fujian provincial network of UNICOM

です。 UNICOM-FJ-PUTIAN-MAN で検索すると Black List に載っているのですよね。(笑)

で 36.250.160.0 - 36.250.191.255 の IP 間すべてをブロックすることにします。私の使用しているルーターではネットワークアドレスとサブネットマスクを使用することでブロックする IP の範囲を指定できます。

IP アドレスとサブネットマスクの関係は簡単そうでも実際に計算すると結構面倒ですが、世の中には便利なツールを提供していただける方がおられます。

ジャーン (^0^)/ サブネットマスク計算（IPv4)

cgi で計算されているのですね。非常に助かりました。でリンク先を開き、 36.250.160.0 を入力します。サブネットマスクを適当に選んでブロードキャストアドレス(終了IP) が 36.250.191.255 になるようにします。

今回の場合は /19 (255.255.224.0) で丁度いいのですが、この前後の IP も UNICOM-FJ-PUTIAN-MAN が押さえていましたのでサブネットマスクを /14 (255.252.0.0) で開始 IP が 36.248.0.0 、ブロードキャストアドレス(終了IP) が 36.251.255.255 にしました。日本ではここの IP は使われていませんのでこれで OK とします。