GET / HTTP/1.1がやたら来るからヤだな～と思っていたのですが、どうもこれ、ICMPでつついて反応があったらやってくるものだそうです。『反応が無ければ来ないのかな?』ということで、試しに ppp.conf にて nat deny_incoming yes を入れてみました。結果は良好みたいで、2時間くらい経過しても 一度も変なリクエストは来ていません。とりあえず成功ですね。ICMPはMTUの調整に使ってるらしいというのとpingに使っていますから 使えないと少し不便になるのですが、まぁ実害が出なければこのままいきましょう。

ちなみに、記録に残っている全ログのうち、リクエストが'GET / HTTP/1.1' かつ UserAgent が 'Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)' なものは下記のとおり。

    date    | count
------------+-------
 2002-02-20 |    21
 2002-07-23 |     1
 2003-08-18 |    83
 2003-08-19 |   414
 2003-08-20 |   728
 2003-08-21 |   724
 2003-08-22 |   777
 2003-08-23 |   830
 2003-08-24 |   866
 2003-08-25 |   813   (20:30ごろまで)

2002年の2月と7月以外はマッチしていませんから、8月18日以降のリクエストはほぼすべて正規のアクセスではなくワーム等と考えて間違いないでしょう。もちろん、一日800リクエストぐらいですから2分ぐらいに1回と特にうろたえるほどではないのですが、ここ数日のうちのサイトのローカルからを除いた総リクエスト数はだいたい一日8000～9000でして、一割ぐらいがへんてこワームというのもなんかしゃくですし(笑)

ちなみに、はじめに 『ICMPを通さねば良いのじゃろう』ということで、ppp.confのフィルタ

set filter in 4 permit icmp
set filter out 4 permit icmp

をコメントにしてみて、内側からの ping も通らなくなったので ppp 復活の呪文が発動していた!! なんてことは誰にも言えない秘密です。
# たぶん ping に応答しないようにするだけでよいと思うのですが、pingだけ応答しないようにする方法というのがこれまたわからないのです(笑)

□ 関連記事

• 2003/08/20 GET / HTTP/1.1
  • 2003/08/25 へんてこワーム除け ≪