OKWAVEのAI「あい」が美容・健康の悩みに最適な回答をご提案!
-PR-
締切り
済み

規則性があるファイアーウォールのログについて(長文です。すいません…)

  • すぐに回答を!
  • 質問No.158657
  • 閲覧数41
  • ありがとう数3
  • 気になる数0
  • 回答数1
  • コメント数0

お礼率 100% (1/1)

こんにちは。「ウィルスバスター2001」を導入して2週間程ですが、侵入活動ログに規則性を発見して、それが何を意味するのか、早急に対処すべき危険なことなのか分からず悩んでいます。
環境は、マンション全戸に引かれている専用線接続、固定IPアドレス、Win98、IE6、OE6。使用状況は常時ONに近い状態です。

ログですが、
(1)日時/ランダム。
(2)侵入活動/全て「入力」。
(3)プロトコル/ほとんどTCP、1日に何回かICMP。
(4)送信元IP/(3)がTCPの場合はランダム。ICMPの場合は全て同じ。
(5)送信先IP/全て、ICMPの場合の(4)のIP元と、同じ会社のIP。IPサーチで、海外の企業と判明。
(6)送信元ポート/初日のみ120有り。あとは全て80。(但し、(3)がICMPの場合は「なし」)
(7)送信先ポート/1120、または1243。(但し、(3)がICMPの場合は「なし」)
(8)TCPコントロールビット/0×10、0×12、0×14のいずれか。

ICMPの場合の送信元IPと、全ての送信先IPが、海外のある会社のものであるという規則性が気になっています。毎日数10回~100回以上のアタックがあるということは、ファイアーウォールを入れる以前もそうだったのでしょう。
今は、念のため別のプロバイダでダイヤルアップ接続している状態で、とても不便な思いをしています。
この場合もアタックはされますが規則性はなく、送信先IPは自分の接続IPになっています(送信元/送信先ポートについては専用線へのアタックと同じ状況)。

過去ログやyahooのサーチで色々調べてみましたが、どうしても分かりませんでした。
どなたか、お分かりになる方に、このログの意味、危険性、なすべき処置を教えて頂けたら、とても助かります。
長文になってしまい申し訳ありません。最後まで読んで下さってありがとうございました。
通報する
  • 回答数1
  • 気になる
    質問をブックマークします。
    マイページでまとめて確認できます。

回答 (全1件)

  • 回答No.1
レベル12

ベストアンサー率 41% (324/772)

何点か矛盾していますね。 (2)が正しいなら(4)は自身の端末のIPアドレスのはずですね。 (5)は海外の企業ではなく登録上は「IANA(IANA-CBLK-RESERVED)」になっているはず。 これ(192.168.x.x/16)はIPのプライベートアドレスブロックなので、マンション内のどこからかになります。 (8)TCPコントロールビット 0x10...ACK 0x12... ...続きを読む
何点か矛盾していますね。
(2)が正しいなら(4)は自身の端末のIPアドレスのはずですね。
(5)は海外の企業ではなく登録上は「IANA(IANA-CBLK-RESERVED)」になっているはず。
これ(192.168.x.x/16)はIPのプライベートアドレスブロックなので、マンション内のどこからかになります。

(8)TCPコントロールビット
0x10...ACK
0x12...SYN+ACK
0x14...RST+ACK
なので、どれもACKビットが立っているので、(6)(7)(8)と合わせて考慮すると、自身(あなたのマシン)が発行したパケットの戻りのパケット(応答パケット)がログに残っているのでしょう。

これらから考えられることは、「あなたのマシンがVirusに感染している」可能性があります。
(6)(7)の記述が正しいとすると、あなたのマシンがマンション内の他のマシンに対して攻撃をしていてその返信パケットがログに残っている可能性が考えられます。
(6)と(7)が逆の場合は「攻撃を受けている」可能性があります。

いちど、完全なVirusチェックを行ってください。
Port 80なのでCodeRed/Nimdaあたりに感染している可能性が考えられます。

ちなみに、ログの内容ではなく、ログに残った「パケットの処理をどうしたか?」が
大切です。きちんと「破棄」されていますか?
お礼コメント
yurikun

お礼率 100% (1/1)

お答えありがとうございます。

そうなんですよ。自分のIPだったらいいのですが、やはり、
(A)送信元IPはICMPの場合全て「海外の某会社」、
(B)送信先IPは、送信元IPの違いに関わらず、全て「海外の某会社」です。
(A)と(B)のIPは異なります(似てるけど)が、IPサーチ検索すると、どちらも
「海外の某会社」になるので、これはどういうこと? と悩んでいるわけです。

ちなみに、質問(1)~(8)の内容に間違いはありません…。

定期的にウィルスチェックはしていますし、ファイアーウォールの導入を契機に、
ハードディスクのフォーマットまでしたのですが…。

ファイアーウォールを入れるまで1年ほどのブランクがあったので、
それ以前もこんな状態だったのでしょう。
アタックはよくあることのようですので、あまり気にならないのですが、
この規則性(某海外の会社)の意味することが分からず困っています。

いったいこれは、どういうことなんでしょうね。はぁ~。
投稿日時 - 2001-10-28 22:59:53


このQ&Aで解決しましたか?
関連するQ&A
-PR-
-PR-
このQ&Aにこう思った!同じようなことあった!感想や体験を書こう
このQ&Aにはまだコメントがありません。
あなたの思ったこと、知っていることをここにコメントしてみましょう。

その他の関連するQ&A、テーマをキーワードで探す

キーワードでQ&A、テーマを検索する
-PR-
-PR-
-PR-

特集


いま みんなが気になるQ&A

関連するQ&A

-PR-

ピックアップ

-PR-
ページ先頭へ