• 締切済み

Bot  検出と対策

社内の多くのPCが毎日ではないのですが、一定の時間になるとある一定のIPアドレスレンジをあて先にTCP http の接続をしてこれがネットワークの渋滞の原因になっていることが分かりました。 全てのPCにはシマンテックのクライアントがインストールされていて、毎日アップデートとスキャンを自動で行なっておりますが、これまで一切ウイルスや怪しいものは検知されていません。 これらのPCが勝手にTCP http 接続している時にユーザーが通常の業務に使用しているものもあれば、誰も使用してなくて私がRDP接続してnetstat コマンドで調べるという作業だけのものもあれば、人的に全く使用されていないものもありますが、TCP http がバックグラウンドで行なわれてパケットがどんどんLAN内に流れ込んでいるという状態のようです。 ユーザーは自分のPC上では特になにも異変は感じずに、ただ急激にインターネット接続が遅くなるというのがLAN全体における目に見える症状で、日によって起きなかったり、長くても20-30分で収まります。 Wireshark をインストールしてこのあて先IPのレンジのみに絞ってTCPパケットのキャプチャーをしてみたのですが、three way handshakes とhttpのソースとデスティネーションポートが繰り返し示されるくらいで、特に何が原因なのかを特定することができませんでした。 また、スキャンも再度して見ましたがなにも検出されませんでした。 ちなみにあて先IPアドレスはDNSレコードなどを調べてもウエブサイトなどではなく、何のためのアクセスかはさっぱり分かりません。 最終的には、これらのシステムの再インストールをしなければならないとも考えていますが、その前にもう少しいったい何が起きているのか、今後の対策のためにも調べたいのですが何かアドバイスを頂ければと思い投稿しました。 宜しくお願いします。

みんなの回答

  • safle
  • ベストアンサー率55% (121/217)
回答No.3

IPSは、導入コストが結構かかりますね。 規模にもよりますけど http://www.net-beat.com/about_beat/merit/security/ips.html (富士ゼロックスのBEAT) http://tech-dr.jp/service/s_04f.html (アイル) http://www.soliton.co.jp/products/net_security/counteract/ (ソリトン) http://www.secomtrust.net/service/kanshi/ips.html (SECOM)

momochangeni
質問者

補足

リンクありがとうございます。 コストの面でも、内容の面でもどんどん話が難しくなってきてしまうきがします。 セキュリティーというのはそれだけ難しい問題だと言うことなんでしょうね。 前回教えていただいたソフトの結果が出次第、またお知らせいたします。

  • safle
  • ベストアンサー率55% (121/217)
回答No.2

セキュリティソフトひとつで全てを防ぐことはまず不可能なので 特にトロイの木馬とか セカンドオピニオンは、必要だと思います。 ↓非常駐タイプの対マルウェアソフト http://www.emsisoft.jp/jp/software/free/ 再インストール前にこちらを一度走らせてみてはどうでしょうか?

momochangeni
質問者

お礼

safle様 残念ながらご紹介いただいたソフトでも怪しいものは検出されませんでした。 相変わらず複数のコンピュータからhttp接続をしようと動き出しますが、発見した全てのあて先をファイアウォールでシャットダウンしてありますので渋滞は発生しなくなりました。 再インストールを実行しようと思います。 いろいろとアドバイスありがとうございました。

momochangeni
質問者

補足

そうですか。そもそも一つのセキュリティソフトだけで対応しようというのが甘い考えだったのですね。 セキュリティソフト一つで安心しきっていた私が未熟でした。 早速ご紹介頂いたこちらのソフトを実行してみます。 ちなみにIPSのことも指摘するかたもいらっしゃるようですが、もしこちらでもお勧めなどありましたら教えていただけますでしょうか。

  • OKwebb
  • ベストアンサー率44% (92/208)
回答No.1

クライアントファイアウォールとかいれているのであれば、 一旦あて先を制限してみるのはいかがでしょうか。

momochangeni
質問者

補足

Windows ファイアウォールは管理ツールの関係で無効にしてあります。 LANとWANの間にあるファイアウォールではあて先への制限を入れて、ネットワークが渋滞してきた時にそれを有効にしています。 それ以外はテストのために制限は今のところ入れていません。 やはり対処法は制限しかないのでしょうか?

関連するQ&A

  • ルータが外部に通信しようとします

    次のような環境で、ADSLでインターネットに接続しています。 【ルータ兼ADSLモデム】 NEC Aterm DR202C 【ルータのLAN側IPアドレス】 192.168.0.1 【PCのLAN側IPアドレス】 192.168.0.2  ※PC1台でネットに接続しています ルータのパケットフィルタリングの設定において、localhost/255.255.255.0から任意の宛先IPアドレスに対して、宛先ポートが次に該当しない場合は、通信を拒否するように設定しています。 【通信可能な宛先ポート】 20,21,53,80,110,123,443,587 ルータのログを確認したところ、次の内容がありました。 2008/01/06 10:27:50 IP_Filter REJECT TCP 192.168.0.1:22 > 190.24.145.50:44792 (IP-PORT=6) ログの内容としては、ルータ(192.168.0.1)が(190.24.145.50)のTCP44792番ポートにアクセスしようとして、パケットフィルタリングの設定により、パケットが廃棄されたものだと思います。 なぜ、ルータがこのような通信をしようとしたのか、分かりません。 ルータには時刻合わせの機能がありますが、自動設定(工場出荷時の設定により、NTPサーバに接続)ではなく、手動設定でNTPサーバを指定したため、時刻合わせで上記の通信が発生するとは考えられません。 PCのウイルスチェックを実施しましたが、感染は見つかりませんでした。 このような通信が発生した原因として考えられることを教えてください。

  • LANボードが「TCP/IP」にでない

    LANで2台をルーター使用して接続。リカバリーして、LANボードのソフトをインストールしたが、「ネットワーク」の設定の「TCP/IP」にでない。従ってインターネット接続設定ができない。以前リカバリーしたときはTCP/IPにのですが。

  • VPN接続時のルータの静的ルーティングについて

    VPN接続時のルータの静的ルーティングに関して質問なんですが、少し長いのでご容赦ください。 現在下記のような環境で自宅にVPNサーバを立てています。 VPNサーバ:Mac OS X 10.10.2 (yosemite) 上にVPNActivatorを使用して構築 VPNで割り当てるIPの範囲:192.168.0.14 ~ 192.168.0.16 ルータに割り当てられているグローバルIP:xxx.xxx.xxx.xx VPNサーバに割り当てられたプライベートIP:192.168.0.10 ポート・マッピング: 変換対象のプロトコルとポート:TCP, 500 宛先アドレス:192.168.0.10 変換対象のプロトコルとポート:TCP, 1701 宛先アドレス:192.168.0.10 変換対象のプロトコルとポート:TCP, 4500 宛先アドレス:192.168.0.10 変換対象のプロトコルとポート:UDP, 1723 宛先アドレス:192.168.0.10 この状態でクライアント側でxxx.xxx.xxx.xx(グローバルIP)に対してVPN接続を試みると、 正しく接続ができ、afpやsmbを使用してVPNサーバのプライベートIP宛に接続を試みても、共有フォルダ等にアクセスができましたので問題ありません。 VPNに接続したクライアントにはプライベートIP:192.168.0.14が割り当てられました。 しかし、同じようにafpやsmbを使用してVPNサーバと同じLAN環境下にある 外付けHDDなどストレージのプライベートIP(192.168.0.2)宛に接続を試みると、タイムアウトとなり失敗してしまいます。 解消法としてルータに静的ルーティングの設定を下記のように行いました。 宛先IPアドレス: 192.168.0.0 インタフェース:ゲートウェイ ゲートウェイ: 192.168.0.10(VPNサーバのプライベートIP) すると、ストレージにも接続が可能になりました。 この原理の認識が合っているのかどうかわからなかったので質問させてください。 下記の認識であっておりますでしょうか? ■スタティック・ルーティングを指定していなかった時の現象 これは、ストレージ(プライベートIP:192.168.0.2)に対して リクエストのパケットは届いて、レスポンスのパケットをルータに返したけど、 ルータがパケットの送信元であるクライアント(192.168.0.14)の場所を知らないから、 パケットを届けられず破棄されてクライアント側はタイムアウトとなり、エラーになった ■スタティック・ルーティングを指定した場合 ストレージからルータへレスポンスのパケットが渡され、 192.168.0.14(クライアント)の場所が分からないので、 ゲートウェイに指定されている192.168.0.10(VPNサーバ)にパケットを送った。 VPNサーバは192.168.0.14(クライアント)を知っているので、 そこに送るように宛先を書き換えて再度ルータに送り返し、 ルータはクライアントにパケットを届けることができた。 もし間違っている場合は、ご指摘いただけますと幸いです。 よろしくお願いいたします。

    • ベストアンサー
    • VPN
  • YAMAHAルータのポート変換

    YAMAHAのNVR500を中古で購入しまして 現在設定を行っております 表題にありますとおり、RDPとVNCでリモートデスクトップを行いたく RDPはポート5910から3389へ VNCはポート5911から5900へ ポート変換を行いたいのですが、GUIの設定ではうまく動いてくれませんでした 調べるとコマンドを使うとの事でSSHで接続後 nat descriptor masquerade static 1 1 [リモートPCのIP] tcp 5910=3389 とコマンドを打ちましたが、外部からRDPにて接続できませんでした 試しに「tcp」を「rdp」にしてみましたが「エラー: プロトコル情報が認識できません」と怒られます なにか設定が間違っておりますでしょうか?? 「NVR500 RDP」でネットで調べても情報が出てこず八方塞となってしまいました ベテランの方ご教授いただけると嬉しいです

  • TCP/IP フィルタリングで許可するポート

    EP-805Aを有線LAN接続で使用した場合に、TCP/IP フィルタリングで設定すべき許可するポートを教えてください WindowsXPでの設定です 現在「TCP/IP フィルタリング」で TCPポート 137,139,445 UDPポート 137.138.445 のみを許可しています この状態で、有線LAN接続されたEP-805Aに印刷ができません「ネットワークでエラー云々のメッセージ」 「TCP/IP フィルタリング」を無効にすれば印刷できるのは当然なのですが、XPのサポート打ち切りに合わせてXPのPCの外部への接続を遮断する必要が生じました TCPに515,9100を許可しても、プリンターのステータスも読めないようです パケットモニターで見てみると、1125,3289などの他のポートも使用されているようです どなたか、許可すべきポートの一覧を教えていただけませんでしょうか? ※OKWaveより補足:「EPSON社製品」についての質問です。

  • TCP/IPの追加

    間違ってWIN98の [ネットワーク]-[ネットワーク設定]の コンポーネント項目一覧を削除してしまい、 再起動で ・Microsoft ネットワーククライアント ・現在使用しているLAN名 ・TCP/IP の3つが復帰したのですが、 [追加]で[プロトコル]-[Microsoft]-[TCP/IP]を やっても[TCP/IP->現在使用しているLAN名]が 表示してくれません。 LANボードのインストールが悪かったのかと思い、 同じメーカーのCD-ROMで削除、インストールを 行い、ここまで出来たのですが、どうしても 追加で[TCP/IP->現在使用しているLAN名]が 表示できませんでした。 ここをクリアしないとネットができないので困ってます。 新しくLANボードを変えるべきなのか、 PCを再インストールしなくてはいけないのか、 それとも他に方法がないものかと悩んでいます。 アドバイスがあればお願いいたします。

  • McAfeeのファイヤウォールのログについて

     つい先日質問を解決させていただいたばかりですが、この度はちょっと質問の内容が違うので、改めて質問させていただきます。マカフィーのファイヤウォールのログを見ていると、 「にあるコンピュータが、ユーザのコンピュータに無効なパケットを送信しました」というものがありまして、 「ソース IP は不正な IP (0.0.0.0) です。」 とあるのですが、これは一体どのような事でしょうか?わかりますでしょうか?その他にも今日の日付けでいろいろなものがあるのですが・・・。 「にあるコンピュータが、ユーザのコンピュータに対して ping を実行しました。ソース IP は不正な IP (0.0.0.0) です。」や、 「IP アドレス 38.118.199.116 にあるコンピュータが、ユーザのコンピュータ上の TCP ポート 1807 に対して要求されていない接続を試みました。 TCP ポート 1807 は、通常は "Spy Sender Trojan / Fujitsu Hot Standby Protocol" サービスまたはプログラムによって使用されます。ソース コンピュータがこのトロイがないかユーザのコンピュータでスキャンしましたが、ユーザのファイアウォールによってブロックされました。」 「でユーザが通信しているコンピュータが、予想とは異なるポート (TCP ポート 54479) へのアクセスを試みました。 ソース IP は不正な IP (0.0.0.0) です。」 などもあるのですがこれってどういう事なのかご説明できる方はおられるでしょうか? また、日付が1976年なんていうとんでもないのがあるんですが大丈夫でしょうか?PC内の怪しいウイルスやスパイウェアはすべて駆除したつもりです。怪しいサイトにも行っていません。いったいどういうことなんでしょうか? 情けないですが、僕には理解できません、よろしくお願いいたします。

  • イーサネットヘッダは特別なのでしょうか

    ネットワークの勉強をはじめたばかりです。 ある本を讀んでいたら、TCP/IPに関して次のようなことが書かれていました。(多少表現は変えています。) 「アプリケーションで作られたデータは、アプリケーション層からトランスポート層のTCPに渡される。 ここでパケットに小分けされ、エラーチェックなどに使うTCPヘッダを付けられてTCPパケットになる。 TCPパケットはインターネット層のIPに渡され、宛て先のIPアドレスなどを含むIPヘッダを付けてIPパケットになる。 續いてIPパケットはイーサネットに渡ってイーサネットヘッダが付くと自然だが、実はそうではない。 イーサネットのためのヘッダもIPが付ける。 つまりIPでは、IPヘッダとイーサネットヘッダの2つを付けるのである。」 この本によると、イーサネットヘッダはIPが付けることになっているようですが、 他の本(とは言っても、そんなに何冊も讀んでいるわけではありませんが。)でこのような記述は見たことがありません。 「イーサネットヘッダはIPが付ける」というのは本当なのでしょうか。 そうだとすると、なぜこのような、「自然でない」仕組みになっているのでしょうか。

  • 許可していないパケットにルータを超えられてしまう?

    OSはW2ksp4,パーソナルファイアウォールはoutpost free 1.0,ルータはYAMAHART54iです。 outpostにはAttack Detectionという機能があって、不正なパケットを検知してくれます。 その機能のログによると、インターネット上の別のPCからこちらのPCの3336番ポートや3239番ポートへTCPのポートスキャンを受けていました。 ログの形式は、 日付、攻撃タイプ、IPアドレス、ポートスキャンの詳細 という項目が記録されており、上記のポートスキャンについては、 攻撃タイプが「通信の要求」 IPアドレスが「スキャンをしてきた相手のアドレス」 ポートスキャンの詳細が「TCP(3336)」 などとなっています。 ルータではネット側からの通信要求はすべてルータで弾くように設定していて、 (許可していないものについては暗黙のDenyで弾かれるはずです) どうしてLAN内のPCまで上記のようなパケットが届いてしまったのか理解できません。 また、仮にルータではパケットが弾かれなかったとしても、静的NATを設定しているわけでもないのに、 どうしてLAN内の特定のPCまでパケットが届いてしまうのでしょうか? そのPCでは8080番ポートでWebサーバーを起動していて、そこへ向けて、静的NATを張っています。 ですのでAttack Detectionのログにも8080番ポートへのポートスキャンの形跡が残ることもありますが、 しかしどうしてそれ以外のポートにまでポートスキャンが及んでいるのか理解できません。 ひょっとしてルータが壊れているかどうかして静的NATで指定した以外のものもLAN内へ運んでいるのかもしれませんが、そんなことあるのでしょうか?

  • 大量パケット送信によるインターネット接続不可

    現象: 1台のパソコンからパケットが大量に送信されるため LAN環境でインターネットに接続出来なくなります。 LAN環境: 4台のHUBで10台のPCと複数のプリンタを接続 ブロードバンドルータを使用してADSLでインターネットに接続 原因のPC環境 WINDOWS2000 ウィルスバスターコーポレートエディションの最新のパターンファイルによりウィルス検索を実行しましたがウィルスは、発見されませんでした。 原因のPCをLANから外しますと他のPCはインターネット接続出来ます。 ローカルエリア接続の状態を確認しますと 送信パケットが200くらいずつ送信されています。 パケット確認ツールより送信状況を確認しますと 送信元が自身のPCのIPアドレス 送信先のIPアドレスは192から始まるランダムなIPアドレス TCPのポートは2538や2446等ランダムなポートが使用されています。 よろしくおねがいします。