
2026/07/14 4:11
TFTPハニーポットの結果
RSS: https://news.ycombinator.com/rss
要約▶
Japanese Translation:
1 ヶ月の期間に、月額 $5 の VPS と Dell R530 ホームサーバーの両方に展開された低コスト TFTP ハニーポットは、Shadow Servers、Censys、Driftnet、Palo Alto Networks (Secretive)、Internet Census、Netscout、および Shodan という主要な 7 つの情報セキュリティ企業が毎日 20〜50 つの TFTP パケットを送信した。大部分のトラフィックは能動的な悪用ではなく、通常的な脆弱性情報収集やソフトウェア特定のためのものである。主な観察パターンとしては、Shadow Servers が約 11 秒ごとに ERROR パケット(コード 4(不良ファイル名)、0(アクセス違反)、5(無効な TID))を送信していること;Censys が netascii で"/a"への RRQ を発行していること;Driftnet が netascii で 8 文字のランダムなファイル名を要求し、時折 IPv6 経由であること;Palo Alto Networks がペアのリクエスト(netascii の"/a"RRQ に続いてオクテットモードのファイルリクエスト)を送信しており、間隔は約 24 時間に集まり、35 日間に 35 組が検出されたこと;Shodan がポート 18020 から 2 分以内に 4〜6 パケットの burst で非準拠の 16 バイト UDP ペイロード(ヘックス:00000417271019800000000000034925)を配信していること;Internet Census も同様の非準拠ペイロードを示していること;Netscout がオクテットモードで"ay9mfwq7xxmd4w6c7\xa0"への RRQ を要求していること;および特定のプロブがディレクトリトラバーサル試行(="../..\boot.ini")や既知のファイル名("pxelinux.0","r7tftp.txt","file_id.diz")などをターゲットにしていることが挙げられる。TFTP サーバーソフトウェア自体に対して確認済みの CVE が非常に少ないことから、スキャナーがサービスを列挙し続けていても悪用までエスカレートしない限り、トラフィック量は安定したまま推移すると予想される。主要な教訓は、UDP ポート 69 が開放されたシステムが公的なスキャナーリストで一貫して目立つという点であり、組織としてはそのサービス全体を除去するのではなく、構成を強化したり、そのポートへのアクセスを制限したりするのが適切である。
本文
私の TFTP ハニーポット運用レポート:1 ヶ月以上の監視データと分析
📊 概要
本プロジェクトは、VPS(月額 $5)と Dell R530 ホームサーバーの両環境で常時稼働し、約 1 ヶ月のデータを収集した TFTP ハニーポットです。
- トラフィック量: 2 環境合わせて 1 日あたり 20〜50 パケットを計測。
- 交通パターン: 両サーバーでほぼ同一のパターンを示す。
- 主要発見: UDP 69 ポートの日常的なスキャンが確認されたが、**期待した悪意のある攻撃ではなく、InfoSec 企業による定期スキャン(7 社)**であることが判明した。
🔍 特定された定期的なスキャナー(7 社)
以下の上記企業は、主に自社 IP を使用して定期的なスキャンを実施しています(概ねほぼ 1 日おきの周期)。
1. Shadow Servers
- 振る舞い: エラーパケットを約 11 秒間に 5 回発生させる。
- エラーパケット内容:
(コード 4)Bad Filename
(コード 0)Access violation- オークション・バグ: コード 4 +
\x05\x00\x044\x00\x00
(コード 5)Illegal TID
(コード 4)Illegal TFTP operation
- 特定ファイルリクエスト:
(タイプ:a.pdf
)を突発的なスケジュールで要求。octet
2. Censys
- 振る舞い: パス
に対する netascii タイプの RRQ リクエストを実行。/a
3. Driftnet
- 振る舞い: 8 つのランダムな文字からなるファイル名(netascii)を要求。
- パターン例:
8 文字連続。[a-zA-Z] - 特徴: IPv6 を介してアクセスされる場合がある。
4. Shodan
- 振る舞い: TFTP に準拠しない 16 バイトの UDP ペイロードを送信。
- ヘックスデータ:
0000041727101800000000000034925 - 特徴:
- 約半分の時間で、UDP ポート 18020 から届く。
- 複数の IP アドレスから 2 分以内で 4〜6 パケットのブレストが発生する。
5. Secretive Palo Alto Networks
- 振る舞い:
(netascii)に対する RRQ の後に、ファイル名(octet)に対する RRQ を送るペアで動作。/a
6. Netscout
- 振る舞い: ファイル名
に対する octet タイプの RRQ リクエスト。ay9mfwq7xxmd4w6c7\xa0
7. Internet Census
- 振る舞い: パス
(netascii)への RRQ と、TFTP に準拠しない 16 バイト UDP ペイロードを送信。/a - ヘックスデータ:
000004172710198000000000xxyyzzww - 特徴: Shodan の非標準ペイロードと表面構造が酷似している。
注記: これら 7 社は主に「TFTP サーバーが存在するか」を同定することを目的としています。特定のサービス内容以上の情報は得られないようです。
📅 プロブ(スキャン)の周期分析
35 日間の常時稼働データより、主要 3 社のプロブ間隔が分析されました。
| 企業 | 最小値 (時間) | 中央値 (時間) | 最大値 (時間) |
|---|---|---|---|
| Palo Alto Networks | 14 | 24.2 | 33.7 |
| Netscout | 31.9 | 72.7 | 260 |
| Censys | 0 (即座) | 24 | 60 |
- Palo Alto Networks: リクエストペアは約 45 秒間隔。初回の周期は平均 24.09 時間(変動あり)。
- 注意点: Censys の場合、最小値が 0 であるため、「中央値が 24 時間」という特徴は信頼性が低いと判断されます。
🕵️♂️ 不明解明のプロブ:不規則または希少なケース
以下のファイル名やヘックスデータによる RRQ は、特定のスケジュールを持たないか極めて稀なものです。
計測された特殊なリクエスト一覧
| 回数 | 名称 / 内容 | タイプ | 備考 |
|---|---|---|---|
| 5 | OACK ペア | - | - |
| 1 | | octet | - |
| 1 | | netascii | Robert Graham の開発した 関連の隠れたプロブの可能性 |
| 2 | | octet | - |
| 2 | | octet | - |
| 7 | | octet | - |
| 11 | 非準拠 (バイナリ) | ヘックス: | バイナリ 12 バイト |
| 1 | | octet | Windows TFTP サーバーのディレクトリトランジション確認用? |
| 6 | | octet | PXE ブート相关文件 |
| 9 | | octet, blksize:1428 | オプション設定を含む |
| 6 | | octet | Alpha Strike Labs によるものか? |
| 1 | | octet | nmap の TFTP サーバー ID モジュールで要求されるファイル名と一致 |
| 1 | 非準拠 (help) | ヘックス: | 文字列 + 2 つの CRLF エンドオブライン |
| 3 | 非準拠 (Shodan-like) | ヘックス: | バイナリ 16 バイト(Shodan と類似) |
その他の奇数なファイル名ブレスト (5 回発生)
- ファイル名:
,y000000000028.cfg
,000000000000.cfg
,y000000000000.boot
,ata192.cfg
,spa504g.cfgspa112.cfg - 特徴: 全て octet タイプ。発信元 IP は199.115.115.137。
🎯 スキャンの目的とは?
収集データから読み取れるスキャンの意図は以下の通りです。
1. TFTP サーバーの存在確認(ポート 69 の監聴)
- 目的: UDP ポート 69 を開いているホストを特定すること。
- 手法:
やランダムな文字列など、無意味な RRQ を送ることで「応答があるかないか」のみを確認する。/a - 該当者: Netscout, Internet Census, Censys など。
2. サーバーソフトウェアの特定
- 手法: パロアルトネットワークス(Palo Alto Networks)のリクエストペアなど、異なるファイルタイプやパスで応答を引き出す。
- 目的: どのサーバーソフトウェアが稼働しているかを識別したい。
- 仮説: エラーパケットの返し方やオークション・バグの反応の違いから、サーバーの型を推測している可能性が高い。
3. 設定不備(脆弱性)の確認
- Windows TFTP サーバー:
のディレクトリトランジション確認。boot.ini - PXE ブート環境:
などの特定ファイルへのアクセス試み。pxelinux.0 - 一般設定:
,config
など、標準的な設定ファイルへのアクセス。startup-config
4. 特殊なツールによる検知
- nmap:
の要求は、nmap の TFTP サーバー ID モジュールの特徴的行為。r7tftp.txt
💡 考察と結論
最大の皮肉:悪意あるハッカーではなく「安全業界」
- 事実: 大半の TFTP トラフィックは、ニッチな監視ソフトウェアを標的とした InfoSec 企業 から来ている。
- 発見: 期待したような CVE 悪用や高度な攻撃は見られなかった。TFTP 向けの脆弱性(CVE)自体が非常に少ないため、直接的な悪用ではなく「存在確認」や「ソフトウェア特定」がメインの目的である。
Shodan の非標準パケット
- TFTP に準拠しない 16 バイトのパケットを送り続ける意味は不明瞭。TFTP サーバー向けの脆弱性は少ないため、特定の CVE 悪用の試みではないと判断される。