- 締切済み
ルータのログに不可解なものが…
私の自宅では数年来YAMAHA RTA54iというルータを使っております。 このルータにはログ機能があるのですが、購入以来あまりチェックしていませんでした。 先ほど見てみたら、なにやら不審なログが記録されておりました。ログの読み方はなんとかわかるのですが、それが何を意味するのかが分かりません。 ログの該当箇所を貼り付けます。 2005/01/15 09:53:43: LAN1 Rejected at IN(100002) filter: UDP 192.168.0.2:137 > 211.196.154.169:137 2005/01/15 09:57:55: same message repeated 2 times 192.168.0.2は私のPCのアドレスで、私のPCの137番ポートから身に覚えの無い宛先211.196.154.169の137番ポートへパケットが流れようとしたのを遮断したという記述です。 これと同じ記述が何分かおきにログに記録されていました。ただ、毎回宛先IPは変化しています。 試しに↑の宛先アドレスをIPドメインSEARCH(http://www.mse.co.jp/ip_domain/)で検索してみたのですが、さっぱり見方がわかりませんでした。 リジェクトされているのだから大丈夫かなとは思いましたが、 考えれば考えるほど不安になってきました。 どなたかこのログの意味を教えてください。 よろしくお願いします。
- kililikanrai
- お礼率91% (263/289)
- ネットワーク
- 回答数10
- ありがとう数12
- みんなの回答 (10)
- 専門家の回答
みんなの回答
- raze
- ベストアンサー率15% (74/486)
前回の私の説明に誤りがありました。と言うより、必要のない回答でした。お詫びします。改めて回答します。「コンパネ」→「ネットワーク接続」→「ネットワーク接続に使ってるアイコン」を右クリック→「プロパティー」→「インターネットプロトコル(TCP/IP)」を選択して「プロパティー」をクリック→「詳細設定」→「WINS」タブで「Netbios over TCP/IP」を選択すると、ポート137,138,139が無効になります。前回説明したやつはポート445を無効にするものでした。改めてお詫びします。 OKWEBさんもし可能なら、質問者の方にもう一回このページを参照してもらえるように連絡願いたいのですが。
- raze
- ベストアンサー率15% (74/486)
自宅でLANを組んでなかったらNBT切っちゃえば。 デバイスマネージャを起動 「表示」→「非表示のデバイスの表示」ってたどると「プラグアンドプレイではないデバイス」という項目があると思うけど。それの下のほうに「Netbios over Tcpip」ってやつがあるだろ。それを無効にすれば NetbiosがTCP/IPにバインドされなくなるよ。
お礼
何度もありがとうございますm__m 一応3台ほどでLANを組んでいて、必要な際はファイル共有なども行っているのですが、もうしばらくいろいろやってみて原因が特定できなかった場合は、切ってしまおうと思います。 わざわざ切り方までご教授いただき、ありがとうございます。 またなにかお気づきの点などありましたら、ぜひとも教えて下さい。 どうも、ありがとうございました。
- net_lander
- ベストアンサー率49% (40/81)
以下のサイトで、 ”Windowsにおける名前解決の手順” を参考にして、該当ファイルを探ってみてください。 NetBIOSは、TCP/IPと絡むとかなり複雑です。 Windowsのネットワーク関連をシンプルに設定し直して みてください。 WindowsやLinuxでは、ある程度いい加減に設定しても ネットワーク関係が動作してしまうところに最大の原因 があります。
お礼
回答ありがとうございます。 参考URL読ませていただきましたが、これをどう参考にしてよいものやら途方に暮れております。一応自分の環境に照らしてフローチャートをたどっていったのですが、参考URLの中段、 [Microsoft TCP/IPのプロパティ] ダイアログボックスの 「LMHOSTS参照を行う」 チェックボックスが オンにされているか というところで詰まってしまいました。 デスクトップ→マイネットワークプロパティ→ローカルエリア接続プロパティ→インターネットプロトコル(TCP/IP)プロパティとたどったのですが、LMHOSTS参照を行うというチェックボックスが見当たらないのです。 それと、申し訳ないのですが、 >該当ファイルを探ってみてください とはどういうことなのでしょうか? それと >Windowsのネットワーク関連をシンプルに設定し直して見てください ということですが、具体的にどうやればよいのでしょうか? 質問ばかりで申し訳ないのですが、もう少しお付き合い願えないでしょうか? よろしければ、お願いいたします。
- raze
- ベストアンサー率15% (74/486)
質問なんだけど、15日の日って海外のサイトにアクセスしてない ? というのは 211.196.154.169ってあったでしょ。ここはAPNICだよ。日本で言うJPNICだね。IPアドレスを管理してる組織だよ。DNSが階層管理になってるのは知ってるよね。名前解決はDNS経由で行われていて、NetBiosの名前解決はブロックされているということでいいんじゃない。(そもそもNetBiosはLAN内の共有とかで使われるものだから。)
お礼
回答ありがとうございます。 海外のサイトですが、他の方に紹介いただいたツールをダウンロードする際に海外サイトへアクセスしましたがそれ以前には海外サイトへアクセスした記憶はありません。 >名前解決はDNS経由で行われていて、NetBiosの名前解決はブロックされているということ すいません。ちょっとわからないのですが、NetBiosの名前解決というのはどういうことなのでしょうか?通常のwebサイトへのアクセスの際にDNSでの名前解決と同時にNetBiosでもそれが行われているのですか?
自分のWin2000(NortonInternetSecurity+リンクシスのルータ)では、 IEでGoogel検索でUDP137へのアクセスは記録されませんねぇ、 もしかしたらGoogelツールバーの拡張機能とかインストールしてるんなら、 それが関連してるのかも、 Netscapeみたいな別ブラウザでGoogel検索して確認してみては? 別ブラウザで137使わなければIEに入れてるプラグインとかが関係してそうだし、 セーフモードとネットワーク接続で137使われなければ常駐アプリが関係してそう。
お礼
回答ありがとうございます。 そちらの環境ではそのようなことはないとのことですので、やはり何かトラブルが起きているのでしょうか。 Googleツールバー等の拡張機能はインストールしていません。 FireFoxで先ほどしばらくブラウジングしてみましたが、やはり同じように外部アドレスの137番ポートへ向かって私のPCの137番ポートからパケットが放出されているようです。いくつかのIPを再度who is検索してみましたが何故かGoogleです。 常駐アプリはパーソナルファイアウォールソフトだけです。
- raze
- ベストアンサー率15% (74/486)
まあ、TCP137,UDP137はNETBIOSの名前解決につかわれるので外部からは当然ブロック、というか、市販されてるいわゆるブロードバンドルーターはデフォルトで ちゃんと設定されてるはずだよ。 参考URLもね。
お礼
回答ありがとうございます。 先ほどログを確認してみましたら、また新たなアドレス宛に発信されていました。 しかし、その宛先IP(216.239.57.99)を下で紹介いただいた http://www.arearesearch.co.jp/ip-kensaku.html で検索してみますと、… あれ?Googleのアドレスが結果として表示されました。 そういえばちょうどログが記録された時刻私はGoogleへWebアクセスをしましたが、他にも違うIPがいくつも記録されていたのでそれぞれ調べてみると、全部Googleでした… 一体これはどういうことなんでしょうか? ひょっとしてWebアクセスと同時にNetBIOSパケットを飛ばすような仕組みがWindows2000proにはあるのでしょうか?(聞いたことがないですが) なんだかますます混乱してきました。
FPORTというツールでポートの使用状況を調べてみては? 137は通常だとSYSTEMになると思うけど。
お礼
Fportで調べてみました。おっしゃる通り137はSYSTEMになりました。 先ほどoutpost(パーソナルファイアウォール)の設定でNetBIOS自体を禁止したのですが、にもかかわらずログが記録されています。このPCからはもうNetBIOSパケットはでないはずなのに…もうわけがわからなくなりました
補足
回答ありがとうございます。これから試してみます。
- raze
- ベストアンサー率15% (74/486)
まあ、ルーターに関してはステートフルインスペクション対応のやつとか、IDS対応のやつとかにするとか。 もちろん最新の状態で使わないとだめだけど。
お礼
回答ありがとうございます。 ええ、もう買い換えようと思ってたんですが… 最近はずいぶんルータも安くなりましたし。 ただ、ルータを換える前に、今回の韓国?への不審なアクセスの原因と対策をなんとかしないともう気が気じゃありません… 助言、お待ちしております。
211.196.154.169を「IPアドレス検索/サイバーエリアリサーチ」で調べると http://www.arearesearch.co.jp/ip-kensaku.html 韓国みたいですね、 ウィルスのほかに、 なにかスパイウェアとか仕込まれてないか確認されては?
お礼
そ、そうですか。やはり何らかのトラブルが起きているのですね。 ウイルスバスターオンラインスキャンでウイルスチェックしてみましたが何も発見されませんでした。 Adaware,spybotで検索してみましたがこれも何も発見されませんでした。 そして私のPCではoutpostというフリーのファイアウォールソフトが稼動しておりまして、何らかのアプリケーションが外部へアクセスしようとしたらブロックするかどうか聞いてくるはずなのですが、そのようなこともありません。 一体どうすればよいでしょうか?
- radio98
- ベストアンサー率18% (16/88)
137はMicrosoft NetBIOS Name Serviceの使用するポートです。LAN内では良く流れているパケットです。 RT54iの設定でNetBIOSを遮断するようになっていれば、外部に出ることはありません。ただ、このポートを悪用して、アクセス可能なPCを探すウイルスもあるようですから、一度ウイルスチェックした方が良いでしょう。
お礼
早速の回答ありがとうございます。 >LAN内では良く流れるパケットです。 すいません。質問文を推敲しているうちに大事な箇所が抜けてしまっていました。137番ポートがNetBIOSだというのはわかりますが、しかしなぜ宛先がLAN内ではなく、外部のアドレスなのでしょうか? 私はNetBIOSの仕組みはわからないのですが、一体この外部アドレスはどこから発生したものなのでしょうか?
関連するQ&A
- ルータが外部に通信しようとします
次のような環境で、ADSLでインターネットに接続しています。 【ルータ兼ADSLモデム】 NEC Aterm DR202C 【ルータのLAN側IPアドレス】 192.168.0.1 【PCのLAN側IPアドレス】 192.168.0.2 ※PC1台でネットに接続しています ルータのパケットフィルタリングの設定において、localhost/255.255.255.0から任意の宛先IPアドレスに対して、宛先ポートが次に該当しない場合は、通信を拒否するように設定しています。 【通信可能な宛先ポート】 20,21,53,80,110,123,443,587 ルータのログを確認したところ、次の内容がありました。 2008/01/06 10:27:50 IP_Filter REJECT TCP 192.168.0.1:22 > 190.24.145.50:44792 (IP-PORT=6) ログの内容としては、ルータ(192.168.0.1)が(190.24.145.50)のTCP44792番ポートにアクセスしようとして、パケットフィルタリングの設定により、パケットが廃棄されたものだと思います。 なぜ、ルータがこのような通信をしようとしたのか、分かりません。 ルータには時刻合わせの機能がありますが、自動設定(工場出荷時の設定により、NTPサーバに接続)ではなく、手動設定でNTPサーバを指定したため、時刻合わせで上記の通信が発生するとは考えられません。 PCのウイルスチェックを実施しましたが、感染は見つかりませんでした。 このような通信が発生した原因として考えられることを教えてください。
- ベストアンサー
- ネットワーク
- YAMAHAルータのフィルタ設定の読み方
ip pp secure filter in 200 ip filter 100 pass-log 166.166.166.166 192.168.1.100 tcp 8000 * (166.166.166.166のIPアドレスは例です。) このような設定がYAMAHAのルータRT58iの設定の中にあるのですが、読み方がちゃんと理解できません。 この場合は、200番項目をWANからLAN内への通信で適用して、 166.166.166.166のグローバルIPアドレスが送信元アドレスで、送信元アドレスが宛先TCPポート8000への通信をしてきたら、LAN内の192.168.1.100のサーバの全ポートがこれに応えるという理解で良いのでしょうか?
- ベストアンサー
- ルーター・ネットワーク機器
- 許可していないパケットにルータを超えられてしまう?
OSはW2ksp4,パーソナルファイアウォールはoutpost free 1.0,ルータはYAMAHART54iです。 outpostにはAttack Detectionという機能があって、不正なパケットを検知してくれます。 その機能のログによると、インターネット上の別のPCからこちらのPCの3336番ポートや3239番ポートへTCPのポートスキャンを受けていました。 ログの形式は、 日付、攻撃タイプ、IPアドレス、ポートスキャンの詳細 という項目が記録されており、上記のポートスキャンについては、 攻撃タイプが「通信の要求」 IPアドレスが「スキャンをしてきた相手のアドレス」 ポートスキャンの詳細が「TCP(3336)」 などとなっています。 ルータではネット側からの通信要求はすべてルータで弾くように設定していて、 (許可していないものについては暗黙のDenyで弾かれるはずです) どうしてLAN内のPCまで上記のようなパケットが届いてしまったのか理解できません。 また、仮にルータではパケットが弾かれなかったとしても、静的NATを設定しているわけでもないのに、 どうしてLAN内の特定のPCまでパケットが届いてしまうのでしょうか? そのPCでは8080番ポートでWebサーバーを起動していて、そこへ向けて、静的NATを張っています。 ですのでAttack Detectionのログにも8080番ポートへのポートスキャンの形跡が残ることもありますが、 しかしどうしてそれ以外のポートにまでポートスキャンが及んでいるのか理解できません。 ひょっとしてルータが壊れているかどうかして静的NATで指定した以外のものもLAN内へ運んでいるのかもしれませんが、そんなことあるのでしょうか?
- ベストアンサー
- ネットワーク
- ルータに不審なログがあり困っています
pcにウイルスが入り、pc、ルータその他つないでいた機器も全て取り外し初期化、オフラインにし、新たなルータとスマートフォンを接続してルータのログを確認すると海外各国のipアドレスから大量のping?が打たれルータのFWが作動しまくっています。(fromの後が海外のipアドレスto自身のipアドレス) 自分はルータのログを初めて見たのでこれが正常かどうかわからないです。 更にこういう場合はipアドレスを変更すると治るはずですが、変更しても大量のログがきます。 どうすれば良いでしょうか?またこれは正常ですか? お力添えお願いいたします。
- 締切済み
- ルーター・ネットワーク機器
- NAT(DNAT)運用の際のアクセスログ
グローバルIPアドレスを1個持つルータから、wwwポートだけを内部のwebサーバに(NAT等の方法で)転送してwebサーバを公開したとします。 この際、内部のwebサーバのアクセスログに記録されるIPアドレスは、アクセスした人のIPアドレスになるでしょうか?それともルータのローカルIPアドレスになるでしょうか? 実装や設定によって変わる可能性がある場合は、どの実装や設定によって変わる可能性があるでしょうか? また、ローカルIPアドレスが記録される場合は、ルータのアクセスログとwebサーバのアクセスログをある程度つきあわせる必要があると思いますが、どのようにして実運用の場ではつきあわせているのでしょうか?
- 締切済み
- その他(ITシステム運用・管理)
- ドメイン名で外部からルータにアクセスについて
現在自宅サーバの構築を行っております。 外部からルータにIPアドレスではアクセスできるのですが、ドメイン名でアクセスできません。 ルータは、BuffaloのWHR-AMG54を使っており、外部からのアクセスポートは8080番にしています。 つまり"http://IPアドレス:8080"だとアクセスできて、"http://ドメイン名:8080"だとアクセスできないということです。 IPアドレスはグローバルIPアドレスをひとつ固定で取得しており、ドメインはDynDNSのDynamic DNSで取得しております。 なお、サーバへはSSHでIPアドレスまたはドメイン名いずれにおいても、アクセス可能です。 外部からサーバメンテナンスを行うこともあり、それに伴い、ルータの設定変更を行うこともあるので、ぜひ解決したい問題です。 原因や対処法についてアドバイスいただければ幸いと思います。 よろしくお願いします。
- 締切済み
- その他(インターネット接続・通信)
- ルーター設定について
ネットワークゲーム時に、グローバルIPアドレスと、いくつかの 指定ポートの開放を求められるのですが、 ゲームPC -- ルーター(RTA55i) PC(www用)-| ドリキャス -| スイッチングHUB| と、接続しています NATやIPマスカレード機能を使うと良いというのは聞いたのですが いまいち、把握できませんでした どなたか救いの手をお願い致します
- ベストアンサー
- ADSL
- ルーターつけても不正アクセスのログあります
ルーターとウイルスバスターを併用しています。ルーターを使用すると、外部からはルーターより先のパソコンのIPアドレスが見えなくなると説明書に書いてあります。それでも、ウイルスバスターのファイアウォールのログにはプライベートアドレス宛のログが残ります。そもそも、ルーターをつけたらファイアウォールソフトの不正アクセスログは無くなるものではないのですか?ルーターとファイアウォールソフト一緒に使っている方がいれば教えて下さい。
- ベストアンサー
- ネットワーク
- ログ取得できるルータを探しています
パケットキャプチャソフトで通信を監視し、不審なIPアドレスへ接続しているかどうかでパソコンのマルウェア感染が判断できると思っていました。 ただ、ルートキットを埋め込まれていると、パケットキャプチャソフトに通信状況を伝えないように出来るようなので、それならパソコンではなくルータでログを取得するようにすれば、パソコンがマルウェアに感染しているか判断できると考えました。 そこでログ取得できるルータを探しているのですが、適当なルータが見つかりません。 ログ取得にお勧めのルータがあれば教えてください。
- ベストアンサー
- ルーター・ネットワーク機器
- ログの記録ってどんなことがわかるのですか?
とある掲示板で、書き込みが完了するとログ&IPアドレスが記録されます。と書いてありました。 IPアドレスについては以前こちらでお世話になり、理解できましたが「ログ」については調べても今いちピンときません。 ログ記録によって、具体的にはどのようなことがわかるのでしょうか?また、プロキシを使った場合ログはどのようになるのでしょうか? よろしくお願いいたします。
- ベストアンサー
- その他(インターネット・Webサービス)
お礼
わざわざ訂正して下さりありがとうございます。 どのみちルータで445番もブロックしていたので無効にしても問題はなかったと思います。 ご指摘のやり方で再度やってみようと思います。 実は先日WindowsXP搭載機を新規に購入したのですが、WindowsXPには初期状態でファイアウォールが搭載されており、ログをとることができます。それによると、やはり自マシンからGoogleアドレス137番ポート宛にパケットが発生しているようです。他の方の回答では、その方のところではそのようなパケットは発生していないようなので、不思議です。 XPでもNetBIOSを無効にすれば問題ないのかもしれませんが、しかし新規のマシンでも同現象ということは、ウイルスだとかハッキングだとかいった問題ではなくて、ただの仕様なのでしょうか。 しばらく自分でいろいろ試してみて、もう一度問題を整理りて、再度ここで質問させていただけたらなと思います。 そのときも、もしお時間とおひまが許すなら、どうぞよろしくお願いいたします。