- 締切済み
通信数が異常なんですが…
こんばんは セキュリティソフトの通信ログを見たら 方向 受信 送信元ポート 1900 リモートポート 1900 プロトコル UDP(17) 発信元IP 239.255.255.250 がすごい数 ログが残っていてびっくりしました。先週はこんなログはありませんでした。 検索してみたら「WindowsXPなどが利用しているユニバーサルプラグ&プレイ(UPnP)が、他のUPnP機器を検索するために送信しているパケット」だそうですね。 それで、そのサイトに載っていた方法でSSDP Discovery Serviceを無効にしてみました。 まだ再起動してないので、履歴が増えてますが… 無効にしてしまいましたが、これでいいのでしょうか? 無効にすると何か使えなくなるアプリケーションなどあるのでしょうか? 教えていただけると嬉しいです。よろしくお願いします。
- 7popo7
- お礼率50% (36/71)
- ウィルス・マルウェア
- 回答数12
- ありがとう数6
- みんなの回答 (12)
- 専門家の回答
みんなの回答
> セキュリティソフトの履歴にそのログはありませんでした。 お気楽に考えると、配線を間違えていた御近所ユーザがようやく間違いに気づいたとか。 > もうしばらく様子をみてみます。 はい。それしかないですね。 > このページの2のところ。ローカルエリア接続の表示がこう表示されるはずなのですが、 > 今日はローカルエリア接続しか表示がないんです… うう。。。どういう状態かわからないんですが、 ローカルエリア接続のプロパティは確認できるんですよね? [コントロールパネル(C)]→[ネットワークとインターネット接続]→ [ネットワーク接続] の画面で「ローカルエリア接続」のアイコンが表示されないってことですか? Windows Server 2003 と Windows XP でネットワーク接続アイコンがなくなる問題をトラブルシュートする方法 http://support.microsoft.com/default.aspx?scid=kb;ja;825826 | 2.必要なサービスが開始されていることを確認します。 | Remote Procedure Call (RPC) | Network Connections (このサービスは RPC サービスに依存しています) | Plug and Play | COM+ Event System (このサービスは RPC サービスに依存しています) | Remote Access Connection Manager (このサービスは Telephony サービスに依存しています) | Telephony (このサービスは RPC サービスおよび Plug and Play サービスに依存しています) Universal Plug and Play Device Host/SSDP Discovery Serviceサービスを無効にするさい 他のサービスも間違って無効にしちゃったとか?
補足
アイコンがありその隣に「有効 ファイアウォール その下に英語」のが表示されている。 「 」内のが表示されてなくてアイコンとローカルエリア接続しか表示されていない。 有効とかがなかった。 でも今日はちゃんと表示されていました^_^; >お気楽に考えると、配線を間違えていた御近所ユーザがようやく間違いに気づいたとか。 お気楽に考えないとすると…
- FMVNB50GJ
- ベストアンサー率27% (411/1520)
F-Secure Blacklight たぶん、通常は、管理者権限のアカウントでしょう。 -------------------------------------------------- 「MS01-059がSP1みたいで・・・」 要するに、マイクロソフトアップデートを完了しているか、手動で確認しては、と言うことです。SP2なら必要ないですね。 windows ファイアーウォールを有効にしていたとき、例外タブのいくつかのものがチェックが入ります。 windowsファイアーウォールを無効にするときに、例外タブのすべてのチェック(たとえばUPnPフレームワーク)をはずし、icmpの設定でもチェックがあればはずし、それからコントロールパネルのwindowsファイアーウォールを無効にします。念のため、サービスでも無効にする。Windows Firewall/Internet Connection Sharing (ICS) windowsファイアーウォールが無効になった場合、コントロールパネルのwindowsファイアーウォールのアイコンをクリックすると、無効になっているので有効にしますか、と言う旨の通知が出る。出ないならちゃんと無効になっていないと思われる。 --------------------------------------------------------- {例えばWMPとかMSNメッセンジャーとかでしょうか? 他にもあるのでしょうか?} マイクロソフトアップデートしてください。 ほかのものは、あなた自身がよく知っていなければならないことです。 たとえば、コントロールパネルにJAVAがないですか。クリックして、アップデートのところまで行って、確認しては。 ----------------------------------------- 特に重要な問題ではなさそうですね。
お礼
数日 様子をみましたが履歴に残らなくなりましたので、締め切ります。 何度も回答いただきありがとうございました。 またよろしくお願いします。
補足
昨日、起動したら通信はしていませんでした。 履歴にも表示されない。 止まったってことでしょうか… もうしばらく様子をみてみます。 F-Secure Blacklightのスキャンが案外 早く終わったのですが… ウィルススキャンみたいに時間がかかるのかと思ってました。 これはセーフモードでもスキャンしてみたほうがいいですか?
> 覗かれてるってことですか? いえいえ、他のユーザがルータの配線を間違えても、覗かれたりはしませんが、 お使いのケーブルネットワークでのIP取得方法がDHCPでの取得の場合、 その間違った配線のルータのDHCP機能により、変なプライベートIPアドレスを 7popo7さんのPCがつかまされてしまう恐れがあります。 昔のY!BBの偽DHCP疑惑と書きましたが、現在のY!BBはたとえ配線を間違っても 偽DHCPパケットが他のユーザまで飛んでくることはありません。 なのでお使いのケーブルネットワークでも対処済みであれば問題ありません。 > それで詳細設定からファイアウォールを見て有効になっているのを確認してOKを押すと接続・ファイアウォールとでる。 これはWindowsのファイアウォールを有効にした場合だと思いますが、 通常セキュリティ対策ソフトのファイアウォールを使っていれば、 Windowsのファイアウォールは無効にします。 コントロールパネルのセキュリティセンターで表示されるファイアウォール 有効 の横の○に矢印を クリックするとインストールされているソフトウェアが表示されます。 > MSネットワーク用ファイルとプリンタ共用のチェックをはずしたからですか? いえそれが原因ではありません。 セキュリティ対策ソフトのファイアウォールとWindowsのファイアウォールの両方を有効にしてしまっているのではないかと思います。 ファイルとプリンタ共用は無効にしておいてください。 Y!BBの参考ページですが https://ybb.softbank.jp/support/setup/adsl/windows/winxp_net_confirm.php 下のほうにある TCP/IP詳細設定で [WINS]タブで[NetBIOS over TCP/IPを無効にする(S)]をチェックして[OK]をクリックします。 もやっておいたほうがいいと思います。
補足
もう一度問い合わせしようと思い、起動したらセキュリティソフトの履歴にそのログはありませんでした。止まったってことでしょうか。 もうしばらく様子をみてみます。 参考ページで確認しましたが無効になっていました。 気になることが1つ。このページの2のところ。ローカルエリア接続の表示がこう表示されるはずなのですが、今日はローカルエリア接続しか表示がないんです… 何故だ… 左の詳細にはちゃんと書いてあるんですけど…
#4です。 お使いのケーブルモデムにルータ機能がない件了解しました。 かつ、ケーブルネットワーク会社がそのような機器をネットワーク内に設置していないとすると、 残りはご近所の同じケーブルネットワークユーザが間違った(かなり怖い)配線をしているんじゃなかろうかと。 具体的には、ケーブルモデムからのLANケーブルをルータ機能を使わずに使う為に、 ルータのLAN側ポートに接続しているんじゃないかと思います。 (無線アクセスポイント機能のみを使う場合これで無線LANが使えます。) んで、そのルータのLAN側IPアドレスが192.168.2.1でありUPnP機能が有効。 ここまでは、7popo7さんのPCがUPnP機能無効で、かつファイアウォールでパケットを弾いていれば、 なんら問題はありません。 しかしもしも、ルータのDHCP機能も有効だったりするとかなり嫌な状況ではないかと思います。 (昔のY!BBの偽DHCP疑惑を思い出してしまいました。) サポートに粘って交渉して、できれば7popo7さんのご自宅のモデムにどのようなパケットが飛んできているのか、 サポートに確認してもらったほうがいいと思います。
補足
覗かれてるってことですか? ネットワーク接続のローカルエリア接続&1394接続の表記が接続だけになっているんです。接続の脇にファイアウォールってでますよね。 それで詳細設定からファイアウォールを見て有効になっているのを確認してOKを押すと接続・ファイアウォールとでる。 MSネットワーク用ファイルとプリンタ共用のチェックをはずしたからですか?関係ないですか? ちょっと気になる点。
- FMVNB50GJ
- ベストアンサー率27% (411/1520)
マイクロソフトの更新は、手動で確認するしかないですね。 「MS01-059がSP1みたいで・・・」 これがわからない。 --------------------------------------------- 発信元IP 239.255.255.250 リモートIP192.168.2.1 送信元ポート 1900 リモートポート 1900 http://www.tef-room.net/trouble/upnp1.html 「このトラフィックは、ルーターからLANに接続しているパソコンへ送信され、送信元ポート1900・送信先239.255.255.250・送信先ポート1900として流れて、パーソナルファイアーウォールの警告に表示されてしまいます。」 参考 「プロバイダに問い合わせました。機能はないという事」 つまり、ルーターではない? なのに「リモートIP192.168.2.1」と言うのは、?? ログが記録されるとはのパターンあり? 使用しているネットを使うソフトの更新がないかを確認することも重要。
補足
>マイクロソフトの更新は、手動で確認するしかないですね。 「MS01-059がSP1みたいで・・・」 これがわからない。 http://www.microsoft.com/japan/technet/security/bulletin/MS01-059.mspx の詳細情報のXP文書番号315000を選択 日本語のとこを選択すると「The download you requested is unavailable. If you continue to see this message when trying to access this download, go to the "Search for a Download" area on the Download Center home page」翻訳するとダウンロードできません。 MS01-059はSP1の時ようで、SP2ではこれがすでに修正されている。それがもう1つのMS07-019なのではないでしょうか? >つまり、ルーターではない? なのに「リモートIP192.168.2.1」と言うのは、?? 私にもわかりません>< >ログが記録されるとはのパターンあり? 使用しているネットを使うソフトの更新がないかを確認することも重要 例えばWMPとかMSNメッセンジャーとかでしょうか? 他にもあるのでしょうか? F-Secure Blacklightをやってみましたが何もありませんでした。 ユーザーごとにスキャンするものですか? 1台のPCなので誰かのところでスキャンすれば大丈夫ですよね?
- FMVNB50GJ
- ベストアンサー率27% (411/1520)
補足 F-Secure Blacklight こちらではいつも管理者権限でログオン、通常の起動でスキャンしています。 ノートンセキュリティチェックが大丈夫だったようで、念のためにウイルスチェックもしてはどうですか? それとWindows XP SP2なのか確認したほうが?
補足
通常起動でネットに接続しながらスキャンでOKということですね。 これでも効果ありますか? カスペルスキーオンラインスキャンをしてみたところ何も発見されませんでした。 ノートンオンラインも試した方が良いですね。
- FMVNB50GJ
- ベストアンサー率27% (411/1520)
「後者はSP1でセキュリティ更新のMS07-019をダウンロードができない。」 windows XP SP1ということですか? ユニバーサル プラグ アンド プレイの脆弱性により、リモートでコードが実行される (931261) (MS07-019) http://www.microsoft.com/japan/technet/security/bulletin/ms07-019.mspx やはりSP1だとまともな更新できないということですね。 「OSはXP(HOME) SP2」 ??? セキュリティ更新のMS07-019をダウンロードできるはず。 その問題をはっきりさせては? マイコンピューター プロパティ システムは何とかいてあるでしょうか? 今も異常な通信が続いているのでしょうか?
補足
すみません逆でした。SP2使用です。 MS01-059がSP1みたいでアクセスすると「The download you requested is unavailable. If you continue to see this message when trying to access this download, go to the "Search for a Download" area on the Download Center home page」利用できませんとでてます。 MS07-019はインスト済で、確認のため高速アップデートをしてみても更新はなし。なのでちゃんと入ってるのだと思います。 今も通信は続いています。なんなんでしょう…
単純に、お使いのケーブルモデムにルータ機能があって、UPnP機能が有効になっているということはありませんか? 状況はIPアドレス192.168.2.1のUPnP対応機器からマルチキャストアドレス宛(239.255.255.250)に、 パケットを送信して他のUPnP対応機器を探してる状態です。 http://www.itmedia.co.jp/help/tips/windows/w0489.html 我が家のルータもUPnP機能を有効にすれば、そのようなパケットが家庭内LANにバンバン送信されます。 ケーブルモデムにそのような機能はなく、お使いのPCとモデムは直結されている場合は 他のケーブルネットワークユーザ(またはケーブルネットワーク会社そのものが)が ネットワーク内にそのような機器を設置しているということが考えられます。 この場合はケーブルネットワーク会社のサポートに問い合わせをされるほうがいいと思います。
お礼
補足が使えないので… プロバイダに問い合わせました。機能はないという事でした。それで、セキュリティ更新のMS01-059、MS07-019をインストールをしてみてくださいとのことで電話を切りました。が前者はSP1みたいで「The download you requested is unavailable. If you continue to see this message when trying to access this download, go to the "Search for a Download" area on the Download Center home page」とでてダウンロードができない。後者はインスト済。また問い合わせするしかない^_^;
補足
PCとモデムは直結です。 プロバイダの説明書を読んでみると「ブロードバンドルータを使用する場合」の補足が書ったので、もしかしたらルータ機能がついてないのかもしれません。 でも、これは個人で買った場合なのでプロバイダに聞かないとわかりませんね。 やはりプロバイダのサポートに問い合わせた方がよさそうですね。 アクセス数が多すぎて気持ち悪いので早くなんとかしたいです。
- FMVNB50GJ
- ベストアンサー率27% (411/1520)
Spybot - Search & Destroyを使用しています ClamWin Antivirusも使用しています。これは非常駐で普段は定義の更新しかしませんし、ウイルスが入っても感知しません。 当方単なるモデムです。 ルーターの場合、IEでルーターにアクセスし、ルーターでネット接続を設定します。単なるモデムの場合、パソコンでいろいろ設定する。 つまり、ネット接続は、ルーターが行う。ルーターはコンピューターと同じです。 ルーターは、そのようなおかしなパケットを遮断すると思いますが。 ルーターの中には、ルーター機能を無効にできるものがある。 「すごい数受信」は今もあるということですか? いずれにせよ、ソースのやつを信用することですね。 チェックですが、当方入れていません。 windows XP SP2のファイアーウォールは当然無効にしていると思いますが。 P2Pソフトを使用しているなら、それを削除することを勧めます。
お礼
補足が使えないので… プロバイダに問い合わせました。機能はないという事でした。それで、セキュリティ更新のMS01-059、MS07-019をインストールをしてみてくださいとのことで電話を切りました。が前者はインスト済 後者はSP1でダウンロードができない。また問い合わせするしかない^_^; 紹介いただいたF-Secure Blacklightを入れてみました。 これはセーフモードでスキャンしたほうが良いのですか?複数で使ってるのですがユーザーごとですか?セーフでアドミンでスキャンでいいのですか?注意点などありましたらアドバイスお願いします。
補足
システムの復元で今月のウィンドウズアップデートした日に戻してみましたが、変わりませんでした。SSDP Discovery ServiceとUniversal Plug and Play Device Hostを無効にしても通信は止まりません。 プロバイダーの説明書を確認したところ、ブロードバンドルータを使用する場合の補足が書いてあったので、このモデムの中にはルータ機能がついてないのかもしれません。 コンポーネントのネットワークのチェックですが、詳細の「インターネットゲートウェイデバイスの検索とクライアントの制御」にだけチェックが入っています。0.0MBなのにチェックが入っている… windowsのファイアウォールも有効にしてました。これを無効にすればよいのですね。
- 1
- 2
関連するQ&A
- UPnP機能?
こんばんは セキュリティソフトの通信ログを見たら 方向 受信 送信元ポート 1900 リモートポート 1900 プロトコル UDP(17) 発信元IP 239.255.255.250 がすごい数 ログが残っていてびっくりしました。もしかしたら今月のMSアップデート後からかもしれません。 検索してみたら「WindowsXPなどが利用しているユニバーサルプラグ&プレイ(UPnP)が、他のUPnP機器を検索するために送信しているパケット」だそうです。 SSDP Discovery Serviceを無効にすればいいと書いてあったのですが、無効にしていいものなのですか? それからWindows コンポーネントのネットワークサービスのボックスにチェックが入っているのですが、これは通常はチェックがついてるものなんですか? いきなり増えたのでどうしていいのかわかりません>< よろしくお願いします。
- 締切済み
- Windows XP
- ノートン 最新の履歴に・・・
ノートン 最新の履歴に ルール「Default Block UPnP Discovery」のログが沢山残されてました。 詳細は以下の通りです。 ルール「Default Block UPnP Discovery」が(192.168.1.1、Port ssdp(1900))を遮断しました。 インバウンドUDPパケット。 ローカルアドレス、サービスは(239.255.255.250、Port ssdp(1900))です。 リモートアドレス、サービスは(192.168.1.1、Port ssdp(1900))です。 SSDP Discovery、UPnP Device Hostのサービスも止めてます。 ウイルススキャンも問題ありませんでした。 よろしくお願いします。
- 締切済み
- ネットトラブル
- ノートン最新の履歴に ルール「Default Block UPnP Discovery」が・・・と
ノートンのセキュリティ履歴に 1分おきに9~10個程度、多量にこのようなログが残されています。 ウイルスでしょうか? ルール「Default Block UPnP Discovery」が (192.168.11.1,port ssdp(1900)を隠しました。インバウンド UDP パケット。 ルール「Default Block UPnP Discovery」が (192.168.1.1、Port ssdp(1900)) を隠しました。 インバウンド UDP パケット。 ローカルアドレス、 サービスは(239.255.255.250、Port ssdp(1900))です。 リモートアドレス、サービスは(192.168.1.1、Port ssdp(48431))です。 プロセス名は「C:\WINDOWS\system32\svchos.exeです。 ノートンで完全スキャンはしましたが、何も見つかりません。 タクスマネージャにsvchos.exeは8個存在しています。
- ベストアンサー
- ネットワーク
- これはなんでしょう?
こんばんは。 セキュリュティソフトで通信ブロックした履歴に何度も同じものがあるので質問させてください。 プロトコル:UDP 発信元IP***.***.***.*** リモートIP24.64.***.*** 発信元ポート1026・1027・1028 リモートポート色々 方向は受信です 飛んでくるのはリモートIP24.64までは同じでそのあとは違う。例えば1時1分の時は 24.64.00.00 2分の時は 24.64.11.11 といった感じです。 発信元ポートはまとめて書きました。3件一度に来ることもあれば、1026のみや1026.1027のみの場合がある。 これは一体なんでしょうか?
- 締切済み
- ウィルス・マルウェア
- 不明なIPアドレスから外部に発信する
設定した覚えのないIPアドレスから外部に発信するようになり、セキュリティソフトから、外部への発信をブロックしたとのメッセージが1時間に数件表示されるようになった。 ちなみに、ネットワークから離してPINGしてもREPLYがあります。 セキュリティソフトの履歴には次のように記録されています。 ユーザ:SYSTEM 方向:送信 アクセス:拒否 プロトコル:UDP(17) 発信元IP:169.254.64.20 リモートIP:169.254.255.255 発信元ポート:137 リモートポート:137
- ベストアンサー
- ネットワーク
- svchost単体でのリバース接続は出来ますか?
ログを見ているとGeneric Host process for Win 32services(svchost.exe)が プロトコル:UDPパケット送信 リモートアドレス:255.255.255.255 リモートポート:67 プロトコル:UDPパケット送信 リモートアドレス:239.255.255.250 リモートポート:1900 の通信をしています。 Generic Host process for Win 32services(svchost.exe)の通信しているリモートアドレスが リモートアドレス:255.255.255.255 リモートアドレス:239.255.255.250 この2つだけの場合、マルウェアに感染しているとこのリモートアドレスだけで ブラウザなどの他のアプリを使わず、Generic Host process for Win 32services(svchost.exe)単体でリバース接続は可能でしょうか? Generic Host process for Win 32services(svchost.exe)以外のアプリ(ブラウザなど)で不審な接続先はありませんでした。
- ベストアンサー
- ウィルス・マルウェア
- Linuxでパケットを発信する際・・・。
ひとつ疑問なのですが、たとえばudpでパケットを送信するときに、sockaddr構造体を使って dest_addr.sin_port = htons(10001); などで送信先を定義しますよね。このとき、自分の発信元ポートは 決められないのでしょうか。 通信相手がマイコンでして、要求パケットを受けたら自分のステータスを 発信元にそのまま送り返すというシロモノで・・・発信元ポートがわからないと サーバ側でlistenできないんです・・・。 パケットを拾ったところ、1045発10001着のようにランダムで決められているんですね。 なにかいいアイデアはありますでしょうか?
- ベストアンサー
- その他(プログラミング・開発)
- 連続して不正アクセスされているのか不安です。
連続して不正アクセスされているのか不安です。 ウイルスセキュリティの履歴(ログ)ビュアーのネットワーク通信を見たら下記のログが連続(数秒ごと)してあり、現在も続いています。これって誰かにハッキングとか不正アクセスされているのでしょうか? ユーザー SYSTEM 方向 受信 アクセス 拒否 説明 ルール規定 プロトコル UDP(17) 発信元IP 255.255.255.255 リモートIP 10.30.113.2 発信元ポート 8309 リモートポート 6517 【パソコンの環境】 OS XP LANケーブルで直接、つないでいる レオパレス在住でレオネットを利用 正直、ちょっと怖いので助けて下さいませ。
- ベストアンサー
- ウィルス・マルウェア
- VistaでUPnP設定
VistaでUPnPの設定はあるんでしょうか? 過去ログをあさってみた結果「msconfig」の「サービス」タブの中にある「SSDP Discovery」と「UPnP Device Host」が「実行中」であればUPnPが有効だとのことです。そのわりには「ネットワーク接続」には「インターネットゲートウェイ」という表示でアイコンがないのですが・・。 これで本当に有効になっているのでしょうか?
- 締切済み
- Windows Vista
- プロトコルを送信しないようにブロックするソフト
MDNSやSSDP、BROWSERなどのプロトコルを送信しないようにブロックするソフトや方法はあるのでしょうか? 一般的なブロックソフトだと、TCP、UDPのみなので。
- ベストアンサー
- ネットワーク
お礼
数日様子をみましたが、履歴に残らなくなったので締め切りますね。 色々とありがとうございました。 また何か合ったときはよろしくお願いします。