ルーターのログの読み方 DOS攻撃?
- ルータのログを解析して、セキュリティに関する情報を理解する方法を教えてください。
- ログにはアクセス元や送信先のIPアドレス、通信内容などの情報が記録されています。
- ログにはブロックされた通信や攻撃の痕跡が残っている可能性があります。
- ベストアンサー
ルーターのログの読み方 DOS攻撃?
とても素人質問ですみません。 ルータ NETGEAR DGND3300v2 を使用し15台ほどのPC(Win+Mac+iphone)が接続されている環境があります。 MACアドレスを登録してそれ以外はwifi接続できません。 最近、異様に通信量が多い日があるので、ちょっとログを覗いていたら以下のようなモノを発見。 Wed, 2011-07-06 00:03:17 - TCP Packet - Source:192.168.0.23,51037 Destination:74.125.237.77,80 - [BLOCK] Wed, 2011-07-06 00:08:10 - DHCP server received REQUEST from 00:24:2C:44:04:EF Wed, 2011-07-06 00:40:32 - TCP Packet - Source:192.168.0.25,61214 Destination:74.125.237.79,80 - [BLOCK] Wed, 2011-07-06 00:40:36 - TCP Packet - Source:192.168.0.25,61215 Destination:74.125.237.79,80 - [BLOCK] Wed, 2011-07-06 00:40:38 - TCP Packet - Source:192.168.0.25,61216 Destination:74.125.237.79,80 - [BLOCK] Wed, 2011-07-06 05:34:01 - Administrator login failure - IP:192.168.0.10 Wed, 2011-07-06 05:34:27 - Administrator admin login successful - IP:192.168.0.10 Wed, 2011-07-06 07:23:48 - DHCP server received REQUEST from 00:1B:FB:C6:DD:** Wed, 2011-07-06 14:51:23 - DHCP server received REQUEST from 00:24:2C:44:04:** Wed, 2011-07-06 15:30:22 - DHCP server received REQUEST from 4C:0F:6E:E3:F8:** Wed, 2011-07-06 17:34:13 - DHCP server received REQUEST from 4C:0F:6E:E8:FF:** Wed, 2011-07-06 17:55:46 - DHCP server received REQUEST from 18:E7:F4:37:B5:** Wed, 2011-07-06 21:10:55 - DHCP server received REQUEST from 48:5D:60:C0:34** Wed, 2011-07-06 21:36:55 - DHCP server received REQUEST from 90:00:4E:5A:AC** Wed, 2011-07-06 21:43:50 - UDP Packet - Source:58.237.217.176,53232 Destination:58.164.135.59,59039 - [DOS] ルータでBLOCKサイトを設定してます。 最後にBLOCKとあるのはどこかそれを見に行こうとしてBLOCKされたということなのでしょうが、どこを見に行ったかは分からないのでしょうか?知る方法はあるのでしょうか? また、最後にDOSとあるものは、DOS攻撃を受けているのでしょうか? もしくは踏み台にされているとか? 全くしらないIPアドレスが現れています、このsource・desitinationとはなんなのでしょうか? ちなみに、UPnPはルータ側でOFFしてありますが、UDP・・・と出てきます。これはどういう事なのでしょうか? ご回答の程よろしくお願いします。
- tag240
- お礼率50% (2/4)
- ネットワーク
- 回答数3
- ありがとう数2
- みんなの回答 (3)
- 専門家の回答
質問者が選んだベストアンサー
> Wed, 2011-07-06 21:43:50 - UDP Packet - Source:58.237.217.176,53232 Destination:58.164.135.59,59039 - [DOS] について、SourceもDestinationも、あなたのルーターのWAN側IPに割り当てられている ものと違うIPが表示されているのであれば、もしかするとあなたの環境のPCのいずれかが、 ボット化され、DOS攻撃に加担しているのかもしれません。 あなたのPCがDOS攻撃を受けているのではなく、あなたのPCに潜伏している ボットプログラムが、自分のSource IPを58.237.217.176に偽装した上で、 58.164.135.59のIPに対してUDPパケットを送信して、DOS攻撃している のではないかということです。(踏み台とも言えます。) 最新のアップデート実施や最新データでのウィルスチェック等、 ちゃんとPCのセキュリティ対策を実施していますか? (ボットとは) https://www.ccc.go.jp/bot/ > ちなみに、UPnPはルータ側でOFFしてありますが、UDP・・・と出てきます。これはどういう事なのでしょうか? UPnPとUDPは全く関係ないです。 UDPは、UDPプロトコルのことであり、ルータのUPnP機能をOFFにしていても 普通にUDPプロトコルは使えます。
その他の回答 (2)
- tomaju
- ベストアンサー率76% (84/110)
> Wed, 2011-07-06 00:03:17 - TCP Packet - Source:192.168.0.23,51037 Destination:74.125.237.77,80 - [BLOCK] [BLOCK]のログですが、Destination が見に行った先ですね。 Destination:74.125.237.77,80 ということは、IPアドレスが 74.125.237.77 で、 ポートは 80番、つまり HTTP だと思われます。 74.125.237.77 を whois で調べると、Google が割り当てをうけている IPアドレスらしいことがわかります。 http://whois.ansi.co.jp/74.125.237.77 http://whois.arin.net/rest/nets;q=74.125.237.77?showDetails=true&showARIN=true 試しに http://74.125.237.77/ をブラウザで開いたら、Google のページが表示されました。 74.125.237.79 も同様です。 > Wed, 2011-07-06 21:43:50 - UDP Packet - Source:58.237.217.176,53232 Destination:58.164.135.59,59039 - [DOS] 発信元(Source) 58.237.217.176 韓国の通信会社のIPアドレスっぽいです。 http://whois.ansi.co.jp/58.237.217.176 宛先(Destination) 58.164.135.59 オーストラリアの通信会社のIPアドレスのようです。 http://whois.ansi.co.jp/58.164.135.59 ポートはちょっとわかりません。。。
お礼
ご回答ありがとうございました。 これは 韓国の通信会社を名乗って オーストラリアの通信会社にDOS攻撃をしている人の踏み台にされているということなのですか? それを防ぐ方法はないのですか?
- Wr5
- ベストアンサー率53% (2177/4070)
>Wed, 2011-07-06 00:03:17 - TCP Packet - Source:192.168.0.23,51037 Destination:74.125.237.77,80 - [BLOCK] 192.168.0.23のIPアドレスを持つマシンから、74.125.237.77の80番ポート(通常はHTTP)への接続をブロックしました。 ということでしょう。ソース側のポート番号は普通はころころ変わるものなので気にしなくてもOKです。 # 試しにブラウザに入力したら…googleでしたけど。 >Wed, 2011-07-06 00:08:10 - DHCP server received REQUEST from 00:24:2C:44:04:EF 記述されているMACアドレスの機器に対してIPアドレスなどの割り当て要求がありました。 となります。(成功したのかどうかは不明) # Hon Hai Precision Ind. Co., Ltd.の機器ってなんですかね? >Wed, 2011-07-06 05:34:01 - Administrator login failure - IP:192.168.0.10 >Wed, 2011-07-06 05:34:27 - Administrator admin login successful - IP:192.168.0.10 192.168.0.10のIPアドレスを持つマシンから…ルータの設定画面にログイン使用として、1回失敗しています。 2回目で成功してログインしています。 >また、最後にDOSとあるものは、DOS攻撃を受けているのでしょうか? もしくは踏み台にされているとか? 全くしらないIPアドレスが現れています、このsource・desitinationとはなんなのでしょうか? う~ん…ちょっと判りませんね…。 ポート番号も…不明かなぁ…。
関連するQ&A
- DOSからWindows2000への接続について教えてください。
Windows2000SERVERにDOSクライアントから接続をしたいのですが接続できません。 サーバは「DHCP・DNS・ACTIVE DIRECTORY」環境となっており、Windowsクライアントからは正常に接続できます。 しかしDOSから「パケットドライバ」を使用して接続をしようとすると「DHCPサーバが見つかりません」とメッセージが表示されます。 パケットドライバから接続する場合には何かサーバ側で設定が必要なのでしょうか ? DHCPではなく、IPアドレスを指定しても接続はできませんでした。 DOSなので詳しい方も少ないとは思いますがよろしくお願いいたします。
- 締切済み
- Windows NT・2000
- 攻撃を受けているのでしょうか?教えて!!
私は、coregaの無線ブロードバンドルーターを 使っているのですが、7月28日から下記のlogが ブロードバンドルーターから頻繁に送られてくる ようになりました。1度はsecurity alertが送られて きました。内容は以下の通りです。 security alert [3c:85:c6] 2005-07-28 23:17:18 - TCP Flood - Source:206.204.51.133,11543,WAN - Destination:***.***.**.**,1284,LAN さまざまなsource address から1分間に 3回程度、私のIP addressの1284番port に対してSYN アタックをしてきている のではと思っているのですが違いますでしょうか。 ブロードバンドルーターから送られてくる メッセージは、ブロードバンドルーターの 1080番portでblockedしましたよ。 ということだと思っているのですが。 ルーターでブロックされているのでPCまでは 来ていないので大きな影響は無いと判断しております。 しかし、急にアタックが始まった理由、このような 場合にはどうしたらいいのか。放っておいても問題は 無いのかなど、対処策、アドバイスをいただければ と思い質問いたしました。 私は心配しており、防ぐ方法があれば防ぎたいと 考えているのですが、どうしていいのかわかりません でした。 以上です。 よろしくお願いいたします。 ------送られてくるlog一部抜粋-------------- [2005-07-30 17:41:13] | From:[58.0.236.146] | Port:[1080] | [Blocked] [2005-07-30 17:41:17] | From:[218.226.93.235] | Port:[1080] | [Blocked] [2005-07-30 17:42:13] | From:[218.182.240.254] | Port:[1080] | [Blocked] [2005-07-30 17:42:22] | From:[218.187.101.83] | Port:[1080] | [Blocked]
- ベストアンサー
- ネットワーク
- これは不正なアクセスがあったのでしょうか?
回線は電力系の光を無線LANで使用しています。 昨日の23時ごろ、普段は回線の速度が20Mは出ているのが1.2Mしか出ていませんでした。 ルーターの不調?と思い、パソコンの電源を切ってルーターを置いてある部屋に行くと ルーターとモデムのアクセスランプが点滅していた。(アクセスがあった?) アクセスがあったものだと思ったのでルーターのログを見ると下記の見知らぬアドレスが 見つかった。 2013-07-16 22:51:10 wless -20.ntc: Deauthentication request received, STA 1c:b1:7f:1d:60:4a 2013-07-16 22:51:24 ipv6 - 2.inf: Router Advertisement message send 2013-07-16 22:51:24 wless -17.ntc: Authentication request received, STA 00:01:8e:dc:11:5a 2013-07-16 22:51:24 wless -18.ntc: Authentication succeeded, STA 00:01:8e:dc:11:5a 2013-07-16 22:51:24 wless - 0.ntc: Association request received, STA 00:01:8e:dc:11:5a 2013-07-16 22:51:24 wless - 1.ntc: Association succeeded, STA 00:01:8e:dc:11:5a 2013-07-16 22:51:24 wless -11.ntc: PTK 4-way handshake completed, STA 00:01:8e:dc:11:5a 2013-07-16 22:51:24 ipv6 - 3.inf: Router Solicitation message received from fe80::c863:4c48:e038:455b 2013-07-16 22:51:27 ipv6 - 2.inf: Router Advertisement message send 2013-07-16 22:51:27 dhcp6s- 7.inf: Information-Request message received from fe80::c863:4c48:e038:455b 2013-07-16 22:51:27 dhcp6s- 3.inf: Reply message send to fe80::c863:4c48:e038:455b 2013-07-16 22:51:29 dhcp6c-10.inf: Renew message send 2013-07-16 22:51:29 dhcp6c- 8.inf: Reply message received from fe80::0090:1a00:41a4:03ed 書いてある事の意味はわかりませんが、 1a00:41a4:03ed⇒スマホ 4c48:e038:455b⇒自分のパソコンで間違いないです。 となると『1c:b1:7f:1d:60:4a』と『00:01:8e:dc:11:5a』は不正なアクセスなのでしょうか? 暗号化モードはWPA2/PSK(AES)でMACアドレスのフィルタリングはしていません。
- ベストアンサー
- Wi-Fi・無線LAN
- パソコンが立ち上がらない!(windows 98)
下記のメッセージが表示され、動かないので困っています。 TCP/IP BOOT-PROM PXE 1.00 DEC21143 1.00,SDK0.99j Copyright(c) 1989,1998 InCom Information&Communication GmbH,D-41466 Neuss LANDesk Service Agent Software,Copyright(c) 1997 Intel Corporation DHCP MAC ADDR: 00 00 39 4E 4B 19 PXE-E52:No IP address received from DHCP or BOOTP PXE-M0F:Exiting TCP/IP BOOT-PROM PXE Insert system disk in drive Press any Key When ready.... - あとの対処方法を教えて下さい。 以上、よろしくお願いします。
- 締切済み
- Windows 95・98
- ルータ壊れてしまって(2)
1階から Microsoft(R) Windows 98 (C)Copyright Microsoft Corp 1981-1999. C:\WINDOWS>ping 192.168.0.2 Pinging 192.168.0.2 with 32 bytes of data: Reply from 192.168.0.2: bytes=32 time=5ms TTL=128 Reply from 192.168.0.2: bytes=32 time=3ms TTL=128 Reply from 192.168.0.2: bytes=32 time=2ms TTL=128 Reply from 192.168.0.2: bytes=32 time=3ms TTL=128 Ping statistics for 192.168.0.2: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 2ms, Maximum = 5ms, Average = 3ms 異常ありませんでした。 2階から C:\WINDOWS>ping 192.168.0.1 Pinging 192.168.0.1 with 32 bytes of data: Request timed out. Request timed out. Request timed out. Request timed out. Ping statistics for 192.168.0.1: Packets: Sent = 4, Received = 0, Lost = 4 (100% loss), Approximate round trip times in milli-seconds: Minimum = 0ms, Maximum = 0ms, Average = 0ms PINGは、通りませんでした。 ルータ壊れてしまって(3)へ 関連URL:http://www.okweb.ne.jp/kotaeru.php3?q=423352
- 締切済み
- その他(インターネット接続・通信)
- openvpn エラーでうまくいかない件
osはサーバもクライアントもwindows7を使用openvpnのバージョンは.09gui-11.03instool.exedesu dすクライアントで以下のようなエラーがでてアイコンが緑色にならずipアドレスの表示がでません Expected Remote Options hash (VER=V4): '3e6d1056' Wed Oct 29 15:33:26 2014 us=136624 Attempting to establish TCP connection with 153.168.189.48:1194 Wed Oct 29 15:33:27 2014 us=137500 TCP: connect to 153.168.189.48:1194 failed, will try again in 5 seconds Wed Oct 29 15:33:33 2014 us=160000 TCP: connect to 153.168.189.48:1194 failed, will try again in 5 seconds Wed Oct 29 15:33:39 2014 us=165914 TCP: connect to 153.168.189.48:1194 failed, will try again in 5 seconds Wed Oct 29 15:33:45 2014 us=188642 TCP/UDP: Closing socket Wed Oct 29 15:33:45 2014 us=188762 SIGTERM[hard,init_instance] received, process exiting
- 締切済み
- その他(趣味・娯楽・エンターテイメント)
- CentOSのポート解放
TFPサーバを立てようと思い、CentOS5.6にproftpdをインストールしました。 しかし、ポート20番がしまっていてやりとりできません。 iptables -A INPUT -p tcp --dport 20 -j ACCEPTでポートを開き、 iptables -Lで確認すると target prot opt source destination ACCEPT tcp -- anywhere anywhere tcp dpt:ftp-data Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination となっています。 この状態で /etc/rc.d/init.d/iptables restart と行ったのですが、やはりだめです。 何がまずいのでしょうか。 netstatコマンドで確認すると21番は空いているのですが、20番がsynパケットの送信でとまっているようです。
- ベストアンサー
- Linux系OS
- DOSコマンドについて
いまWin2000をDOSからCD-ROmよりインストールしていますが、c:ではなくて、D:にインストールしたいのですが、できません。 winnt [\s:<ソース パス>] [\t:<一時ドライブ>] とマニュアルにはありますが、これは winnet \s:f:\i386\ \t:d:\ とタイプすればよいものかと思ったのですが、できません。(f:\i386 はCD-ROMに入っているインストール元フォルダです) どうかお助けを!
- ベストアンサー
- ノートPC
- DOSコマンドについて
いまWin2000をDOSからCD-ROmよりインストールしていますが、c:ではなくて、D:にインストールしたいのですが、できません。 winnt [\s:<ソース パス>] [\t:<一時ドライブ>] とマニュアルにはありますが、これは winnet \s:f:\i386\ \t:d:\ とタイプすればよいものかと思ったのですが、できません。(f:\i386 はCD-ROMに入っているインストール元フォルダです) どうかお助けを!
- 締切済み
- その他(ソフトウェア)
お礼
ご回答ありがとうございます。 ここに質問する前に、全PCのウイルスチェックを完了し、何ら、怪しい物は発見できませんでした。 各マシンは個人所有なもので、チェックプログラムはそのPCに入っているものを最新データに更新してから行いました。入っていないものにはAVGの最新版でチェックしました。 ボットプログラムは無料AVG等では発見出来ないのでしょうか? >ボット化され、DOS攻撃に加担しているのかもしれません。 これをチェックする方法は無いのでしょうか?