• ベストアンサー

コマンドプロンプトでnetstat -aと打ってみたら

掲示板で遊んでいて「IP抜き」と言うのが気になり、検索したサイトを読んでいました。 意味は分からなかったのですが、書いてあるとおりにコマンドプロンプトにnetstat -aと入力したところ、 TCP (ユーザー名)-(英数字):epmap (リモートホスト):(数字)ESTABLISHED と二個出てきました。 個人の方にIPが送られてるのかなと質問をしてみました。 問題があるのなら対応策を教えてください。 アンチウイルスソフトは、ウイルスバスターを使ってます。

質問者が選んだベストアンサー

  • ベストアンサー
  • ryu-fiz
  • ベストアンサー率63% (2705/4228)
回答No.2

IP抜きが云々、という観点からはちょっと視点がずれるのかも知れませんが…次のページも読んでみてください。 やはり"netstat -a"を利用する、ということについて書かれたページですが…こちらはトロイの木馬のような怪しいソフトウェアが入り込んでいないかどうかをチェックするための方法として書かれています。 (『ファイアウォールなしで、トロイの木馬を確認する』という項を読んでみてください) その際、注意すべき点もないわけではありません。 具体的に言うと…このチェックをするに当たっては、故意にネット接続を行うプログラムを全く利用しない状態のときに行う、ということです。 つまり、チェック前に一度でもブラウザやメーラーのようなプログラムを起動、実行した後にこのチェックを行っても無意味、ということ。(一度でも通信を行った後ですと、プログラムを終了した直後であっても特定のサイトとの通信が成立を続けたままの状態になるケースがあります。) また、同様に考えると…例えばウイルス対策ソフトの自動アップデート機能やWindowsの自動更新機能のようにユーザーの意思に関係なく通信が開始されるようなプログラムの機能も、チェックに際しては当然無効にしておく必要があると思われます。 こうして、システム起動後、ネットに接続してから一度も各種プログラムによる通信を行っていない状態で"netstat -a"を実行した結果、"*.*"以外のアドレスと"ESTABLISHED"の状態になっている場合は明らかにヤバイ、と判断出来る…と上記のページには書かれています。ユーザーの意図しない、更にあらかじめ定められた自動実行による通信でもない通信が発生している=得体の知れないものが通信している=悪意のあるプログラムが通信している可能性が高い、と考えることが出来るからです。 ということで…少々視点を変えて"netstat -a"を実行してみると良いと思います。 >気になったのは**********.ap.plala.or.jpというのだったからです。 確かに、こういったかたちのアドレスはプロバイダ経由でネットに接続しているパソコンなどである可能性が高いですが…だからといって即危険とは言えないように思われます。 例えば、Skypeとか各種メッセンジャーソフトなどを利用しているなら、個人利用のPCのIPアドレスと接続していても別段不思議はないからです。 ですので、単に思いつきのタイミングで"netstat -a"を実行した結果、個人PCらしきIPアドレスと"ESTABLISHED"になってたら即ヤバイ、とは考えない方がいいでしょう。

neck0314
質問者

お礼

回答ありがとうございました。 ネットに接続してから一度も各種プログラムによる通信を行っていない状態で見てみると、**********.ap.plala.or.jpと言うようなアドレスはありませんでした。

その他の回答 (4)

  • ryu-fiz
  • ベストアンサー率63% (2705/4228)
回答No.5

>ネットに接続してから一度も各種プログラムによる通信を行っていない状態で見てみると、**********.ap.plala.or.jpと言うようなアドレスはありませんでした。 ならば、裏でこっそり通信している怪しいプログラム、つまりトロイの木馬のような類は存在しない可能性が大だと思いますが。 3番さんの回答およびそれに対するお礼によると、135番ポートがオープンされていることが気になるという由。理解しました。 複数台をLAN接続して各種共有などを行っていない限り、135番をはじめとするNetBIOS関連のポートは閉じておく方が安全です。しかしながら…2005より後のウイルスバスターでは、それ関連のポートは標準で開いた状態になっています。閉じる方法、つまりNetBIOS関連の通信をブロックする方法については、次のトレンドマイクロの文書に従ってください。(後半の記述がそれに当たります) http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=12126 (2005および2006向け) http://esupport.trendmicro.co.jp/supportjp/viewxml.do?ContentID=JP-2060698&id=JP-2060698 (2007向け) 135番などのポートが開いている場合には不正侵入に遭う可能性が高いとは言えますが…一応ウイルスバスターでもある程度のチェックは行っているので完全なザル状態ではないと思われます。 よほど心配なら、他社のオンラインスキャンで感染の有無をチェックすることは望ましいとは思いますが、個人的にはシマンテックのものよりも検出力が高いと評判のカスペルスキーのオンラインスキャンがよりお勧めです。 http://www.kaspersky.co.jp/virusscanner

  • FMVNB50GJ
  • ベストアンサー率27% (411/1520)
回答No.4

ウイルスバスターの設定を知りませんのでとりあえず感染の有無をオンラインスキャンで確認すべきでは? http://www.symantec.com/region/jp/securitycheck/ ウイルス検査のほう 感染していない、マイクロソフトの更新を完了しているなら、接続されて感染寸前まで進みますが、当方の観測では感染しませんでした。 別に質問を立てて知っている人に答えてもらうのを待つか、ここで待つか、あるいはウイルスバスターの設定を見直すか、ですね。 http://esupport.trendmicro.co.jp/supportjp/viewxml.do?ContentID=JP-211895 このページを見る限りでは、<<プロファイルの設定>>でオープンにした項目を確認できるようだが。チェックのついているものをはずせばいいみたいだが。

  • FMVNB50GJ
  • ベストアンサー率27% (411/1520)
回答No.3

とりあえずセキュリティチェックしては http://www.symantec.com/region/jp/securitycheck/ セキュリティチェックのほうです。ウイルスのほうもやりたければどうぞ、しかし、時間がかかりますが。 セキュリティチェックでオープンポートがなければいいですが。 TCP135番ポートがオープンだと、windows XP SP2でマイクロソフトアップデートをきちんと完了していても相手からの接続要求にきちんとこたえます。つまり、接続されると言うことです。

neck0314
質問者

お礼

回答ありがとうございます。 セキュリティチェックしたところ以下のようにでました 135 Location service (loc-srv): このポートは適切に動的にポートがマップされるようにダイレクト RPC サービスによって使われています。ハッカーは複数の Windows サービスによって使われているポートを識別するためにこのサービスを利用するかもしれません。このポートはインターネットから見えないようにしてください。 開いたポート OPEN このポートをインターネットから見えないようにするにはどうしたらよいのでしょうか?

noname#58440
noname#58440
回答No.1

  インターネットにIPアドレスが送られないと、ここも含めてインターネットを見る事ができませんヨ IPアドレスとは「私は43.242.28.94ですが、OKWAVEの画面を送ってください」こんな感じで貴方がクリックした時にネットに情報が流れます。 OKWAVEは貴方が見たい画面の情報を作って貴方当てに返信しますがこの時に貴方に送るためには貴方のIPアドレスが必要です。 IPアドレスがネット上に出て行ったり、相手に判るのは当たり前の事で全く心配する事ではありません。 ネットの事に無知な人を驚かすために「IP抜き」と言う言葉が流行ってるだけです。 ただし、IPアドレスは個人を特定可能な情報の一つでもあります、しかしIPアドレスから個人を特定する為には裁判所から情報開示の指示がでないとプロバイダーは情報を出さないので、犯罪に関わらない限り安心して下さい。    

neck0314
質問者

お礼

回答ありがとうございます。 回答者様の想像通り(?)、私はPC初心者でPC用語も理解しないまま使っている次第です^^; http://www.tokix.net/txt/000014.html ここを読んでコマンドプロントでnetstat -aを実行してみたのですが、出てきたリモートホストが個人のもののようなので、相手が想像できず質問してみました。 個人のもののようとは、他のはamazonやgoogleや00.00.00.00という数字や00-00 00-00というような数字で、気になったのは**********.ap.plala.or.jpというのだったからです。 初心者の質問で的を得てない質問&補足ですが、他にアドバイスがあればよろしくお願いします。

  1. カテゴリ
  2. インターネット・Webサービス
  3. セキュリティ対策・ネットトラブル
  4. ウィルス・マルウェア

関連するQ&A

  • netstat と netstat-anoの表示結果の関係(理解の方法)

    netstatとnetstat-anoコマンドとの関係について教えて下さい。例えば、自分のPCでnetstatコマンド実行後にESTABLISHEDが確認されたAと言うホストと、そのすぐ後にnetstat-anoコマンドを実行してESTABLISHEDが確認された111.222.333.444というIPアドレスとの関係はどのように理解したら良いのでしょうか?(ポートは同じです) 111.222.333.444というIPアドレスはホストAのアドレスということなのでしょうか、それとも111.222.333.444というIPアドレスのPCがホストAと接続が確立され、そのホストAとnetstatコマンドを実行した自分のPCが接続確立している(つまり、111.222.333.444のIPアドレスのPCと自分のPCがホストAで接続されている)という意味なのでしょうか? netstatコマンドを実行した自分のPCと接続がESTABLISHEDになっていたホストAと、netstst-anoコマンドを実行した時にESTABLISHEDが確認された111.222.333.444というIPアドレス、この3つの関係の理解のしかたを教えて下さい。宜しくお願いします。

  • netstatコマンドについて

    netstatコマンドで、TCPのLISTENINGのポートについて 下記の事を確認する方法を教えてもらえないでしょうか。 (1)待ち受けポートが全てのホストからアクセスを受け付けること。 (2)待ち受けポートがlocalhostからのみアクセスを受け付けること。 (3)待ち受けポートが特定のホストのみからアクセスを受け付けること。 おそらく、netstatコマンドのForeign Addressの値から確認できると思うのですが。。

  • netstat -a

    netstat -a Proto Local Address Foreign Address State TCP dtsdsd:epmap rad.msn.com:0 LISTENING TCP dtsdsd:microsoft-ds rad.msn.com:0 LISTENING TCP dtsdsd:990 rad.msn.com:0 LISTENING TCP dtsdsd:2869 rad.msn.com:0 LISTENING TCP dtsdsd:1029 rad.msn.com:0 LISTENING TCP dtsdsd:1038 rad.msn.com:0 LISTENING TCP dtsdsd:5152 rad.msn.com:0 LISTENING TCP dtsdsd:5679 rad.msn.com:0 LISTENING TCP dtsdsd:7438 rad.msn.com:0 LISTENING TCP dtsdsd:netbios-ssn rad.msn.com:0 LISTENING TCP dtsdsd:1061 pv-in-f147.1e100.net:https ESTABLISHED TCP dtsdsd:1074 pv-in-f147.1e100.net:http ESTABLISHED TCP dtsdsd:1079 pv-in-f102.1e100.net:http ESTABLISHED TCP dtsdsd:1080 pv-in-f102.1e100.net:http ESTABLISHED TCP dtsdsd:1100 px-in-f101.1e100.net:http ESTABLISHED TCP dtsdsd:1103 px-in-f154.1e100.net:http ESTABLISHED TCP dtsdsd:1104 px-in-f154.1e100.net:http ESTABLISHED TCP dtsdsd:1126 pw-in-f100.1e100.net:http ESTABLISHED こんな感じですrad.msn.comはmsnを実行したわけでもないのであります したのpv-in-f147.le100.netはなんですか? 実はこれだけじゃなくいろんな変な住所とがある時もあります portが13121, 53513, 61252など。。。 trojanウイルスでしょうか? trojanウイルスを消すだめにどうしたらいいんでしょうか

  • コマンドプロンプトでnetstatのCLOSE_WAITについて

    xpのコマンドプロンプトで、 netstatコマンドを実行しましたところ、 Port1053のところに、 TCP 名前:1053 a202-239-172-70.deploy.akamaitechnologies.com:https CLOSE_WAIT というように表示されます。 逆に、ファイアウォールで全遮断すると、 このport1053についてのCLOSE_WAITは出てきません。 私の情報が外部に漏れているのでしょうか?? ネットワークに詳しい方、アドバイスお願いします。

  • netstatについて

    コマンドプロンプトでnetstat -anをすると接続されているIP アドレスの一覧がでますがその中に TCP [::]:135 [::]:0 LISTENING というのがありました。 それで質問です[::]はどういう意味でしょうか? 普通ここにはIPアドレスがきますが謎の記号がありました。 またforeign addressに*:*というのもありました これの意味も教えていただけると嬉しいです。 OSはXPhomeSP2です。

  • netstatコマンドのアドレスについて

    netstat コマンドの ローカルアドレスと、外部アドレスに関しての質問です。 私は、コンピューター初心者で、上手く質問できていなかったらすみません。 netstat -aを実行すると、以下のような結果になりました。(一部抜粋)     Proto  Local Address          Foreign Address      State (1) TCP  0.0.0.0:xxx             自分のPCのホスト名:0  LISTENING (2) TCP  自分のPCのIPアドレス:xxx   自分のPCのホスト名:0  LISTENING (3) TCP  127.0.0.1:xxx            自分のPCのホスト名:0  LISTENING *xxxの部分はポート番号です。 質問(1)  ローカルアドレス部分の 0.0.0.0が、自分のPCが持つ全てのIPアドレスで待ち受けると言う意味合いで合っていますか?  そして、ローカルアドレスに0.0.0.0 に対して、外部アドレスに 「自分のPCのホスト名」 がきているのは何故でしょうか? 質問(2) ローカルアドレスに自分のIPアドレス、外部アドレスに 自分のホスト名があるのはどういったことでしょう? 質問(3) (3)のケースでは、自分のパソコンの上で動いているアプリケーション等に自分がアクセスしに言っているという事でしょうか? もし具体例があれば教えていただけると助かります。 よろしくおねがいします。

  • netstatでわかること

    netstatについて質問です。 昔、とあるWebアプリを使用していてnetstatコマンドで「ブラウザからサーバーにセッション張ってるかどうかわかる」みたいなことを言ってた人がいるのですが本当でしょうか?netstatコマンドの結果をどういう見方をすればそのような判断ができるのでしょうか? ローカルアドレスが自分のPCのIPアドレス、外部アドレスがサーバーのIPアドレス、状態がESTABLISHEDになってればセッション張ってるということでしょうか?

  • netstatを打った時の反応

    初めまして。 コマンドプロンプトでnetstatを打ったところ 下記のようにすごい数の反応があって困っています。 (もう少したくさんありましたが省略しました。) Proto Local Address Foreign Address State TCP cn:1027 localhost:2184 ESTABLISHED TCP cn:1027 localhost:2311 ESTABLISHED TCP cn:1027 localhost:2315 TIME_WAIT TCP cn:1027 localhost:2395 TIME_WAIT TCP cn:1027 localhost:2397 TIME_WAIT TCP cn:1027 localhost:2401 TIME_WAIT TCP cn:1048 localhost:1049 ESTABLISHED TCP cn:1049 localhost:1048 ESTABLISHED TCP cn:1050 localhost:1051 ESTABLISHED TCP cn:1051 localhost:1050 ESTABLISHED TCP cn:2184 localhost:1027 ESTABLISHED TCP cn:2311 localhost:1027 ESTABLISHED TCP cn:2313 localhost:1027 TIME_WAIT TCP cn:2317 localhost:1027 TIME_WAIT TCP cn:2319 localhost:1027 TIME_WAIT TCP cn:2325 localhost:1027 TIME_WAIT TCP cn:2185 72.14.255.99:http ESTABLISHED TCP cn:2312 in-in-f91.google.com:http ESTABLISHED TCP cn:2314 oshiete1.goo.ne.jp:http TIME_WAIT TCP cn:2340 210.132.71.42:http TIME_WAIT 少し前までこんなことはなくて怖くなってリカバリした後も 症状は変わらず続いています。 ウィルスにかかっているのでしょうか? 教えてください。お願いします。

  • コマンドプロンプト、LISTENの意味は?

     ネットワーク初心者です、宜しくお願いします。  net view とか netstatをコマンドプロンプトから打ち込み表示される番号は、多分ポート番号だと 思うのですが、「ESTABLISHED」は開いている ポートだと思うのですが、「LISTEN」とはどのような意味でしょうか。  宜しくお願いします。

  • 「netstat -a」で覚えの無いアドレスが表示されます。

    ネット接続中にDosプロンプトより「netstat -a」コマンドを入力すると、たまにその日に一度も訪れていないような覚えの無いアドレスや、自分以外のIPアドレスが表示されて、stateが「ESTABLISHED」となっている時があります。 PCはOSがWindows98で、ダイヤルアップ接続、ウイルスバスター2002を入れて、定義ファイルはマメに更新しています。 セキュリティに関する知識はまだほとんど無く、最近セキュリティ関連のページを読んでいたら「パーソナルファイアウォールではふさげていないポートがある」「「netstat -a」コマンドで接続状況がわかる」というよな記述をみたので試しにやってみた程度なのですが、結果を見てちょっと不安になってきました。 ブラウザでページ更新直後とかではなく、いきなりランダムなタイミングでコマンドを入力してみたりすると、たまーに覚えの無いアドレスで「ESTABLISHED」と表示される時があるのですが、これは不正アクセスの可能性はあるのでしょうか・・・?なお、ファイアーフォールには不正アクセスは検出されておらず、ログにすら残っていません。 知識が足りず、中途半端な情報ですみません。これは心配しなくてもいい状態なのか、何かしら対策を取ったほうが良いのか、お教えください。お願いしますm(_ _)m

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する