皆さん、ダークネットはご存知でしょうか?
なんとなく心をくすぐられる響きですよね。
今回は、ダークネットを眺めてみようということで、記事を書いています。
ダークネットとは?
ダークネットとは、未使用の到達可能なグローバルIPで、どこにも割り当てられていないものを指すようです。
どういうこと?という感じですが、自分の理解では以下のようになります。
- 通常、サーバの住所としてグローバルIPが割り当てられており、そこに対してユーザからのリクエストが来ることで、サーバが何かしらの応答を返す
- みんな何かしらの意思を持ってアクセスしにくる
- ダークネットは、未使用なグローバルIPなので、誰も応答しない空き地に対してあえてリクエストを送信する
空き地に攻撃するウイルスのイメージをBingに書いてもらいました。
ダークウェブと何か違うの?
ちなみに、 "ダークウェブ" というものもあるのですが、こちらはダークネットとは別物のようなので、混同しないようにするのが良さそうです。
ただし、似たような言葉なので混同して使われることもあるようで、読む際は文脈を理解する必要がありそうです。
実際に眺めてみる
NICTが以下のようなダークネットを観測するサイトを提供しています。
Atlasは地球儀に上に攻撃パケットをプロットするような形で攻撃パケットを可視化されています。
めちゃくちゃ矢が飛んできていて面白いですね。
また、TCP/UDP/ICMPが色分けられているんですが、いわゆるpingのICMPの白色のパケットはあまり飛んで来ないんだなぁと思いました。
Top10は、なんか見ているとああ…という感じになりますね。
あとは、意外とTCP通信の宛先ポートに偏りがないんだなと思いました。23番が6%なのはやっぱりtelnetは突きやすかったりするんですかね?
3389番はなんだろうと思ったらリモートデスクトップ用のポートでなるほどなと思いました。
感想
空き地をあらかじめ見ておくことにどれだけ意味があるのかわかっていませんが、普段見えないところに攻撃パケットが飛んでいると思うとなかなか恐ろしいですね…
自宅サーバなど始める場合はもちろん、DLNAみたいに、外から家のテレビレコーダーに繋げるような設定をする場合にも、脆弱性には注意しておかないといけませんね。