• ベストアンサー
  • 暇なときにでも

攻撃されているログの見方

初めまして。ネットワーク管理初心者のものです。 最近あるIPアドレスから頻繁にアクセスがあります。 プロトコルはUDPで、送信先が161です。 UDPの161とは、snmpだと調べましたが、このツールがなんなのか、 一体何をしに、何のために自分へアクセスしているのかがわかりません。 ただ、毎日かなりの回数のアクセスログがあり、気になってはいます。 自分のパソコンは誰かから攻撃されているのでしょうか? 全然知識がないため、ただログを見ていることしかできません。 どなたか詳しい方、教えて下さい。

共感・応援の気持ちを伝えよう!

質問者が選んだベストアンサー

  • ベストアンサー
  • 回答No.3

SNMP はネットワークに接続されている機器等の管理を行うためのプロトコルです。 安価なものにはありませんが、ルーターやネットワークプリンターなどによく使われています。 数年前に SNMP の実装にセキュリティの脆弱性が見つかりました。この問題を 突かれると、システムがダウンしたり、乗っ取られたりする可能性があります。 現在、販売しているものは基本的に修正されたもので安全ですが、世の中には 古いものをそのまま使い続けている人もいますし、そういう機器を探し出して悪用しようとしている人もいます。 今回のアクセスがそれなのかは不明ですが、FW等で不必要なアクセスは遮断するようにしたほうが良いでしょう。 取りあえず、その IP が誰に割り当てられているものか調べましょう。

共感・感謝の気持ちを伝えよう!

質問者からのお礼

どうもありがとうございます。 「ルーターやネットワークプリンターなどによく使われています。」ということは、 このIPの持ち主はパソコンではないということでしょうか。 IPは同じ職場内(違うネットワークだけれど)なので、すぐ突き止めることはできそうです。

その他の回答 (3)

  • 回答No.4
noname#9381
noname#9381

 その会社の方のPCに何かありそうですね。あなたのネットワーク管理の権限がそのセグメントにもあるなら、本人に事情を話してPCをチェックしましょう。また、あなたに権限がないならそこのセグメントの権限を持っている担当者に話しましょう。  あなたの会社でsnmpによる管理をされていないなら不必要に帯域を狭めるものですので、止めるべきです。また、snmpによる管理をしていなければ、ルータをその通信がすり抜けていることも問題ですので、ルータの設定も変える必要があります。

共感・感謝の気持ちを伝えよう!

質問者からのお礼

わかりました。特にsnmpの管理はしていないので、 ルータなどの設定を見てみます。

  • 回答No.2

snmpはサーバ監視の為に使います。 いきなりインターネット側からパケットが飛んでくるようになったのなら、たぶんどこかの業者などから来てると思います。 IPを逆引きしてみるなりしてどこから来てるか判断できるかもしれません。ネットワーク管理者ならばその後どうしたらいいかちょっと考えてるといいかもしれません。勉強になると思います。 しかし問題はこのアクセスがどこで検知されたかです。ルーターかPCかで大きく違いますがもしPCに直接接続しにきてるのならかなり危険です。 不必要なパケットはルーターやFWでシャットアウトするようにしましょう。

共感・感謝の気持ちを伝えよう!

質問者からのお礼

ありがとうございます アクセスは自分のPCです。パーソナルファイアーウォールのログで発見し、 遮断されているので何かされるということはないかと思いますが、何かの設定ミスなのかそれとも 悪意なのかの判断はログだけでは難しそうですね。 なお、パケットはネットワークは違うけど、同じ職場内からきていて、特定はできそうです。

  • 回答No.1
noname#9381
noname#9381

 アクセスがあるのは自ネットワークのどこに(ファイアウォール?)どこから(WAN側?LAN側?)来るのでしょうか?  そのIPアドレスの発信元はどこのドメインか調べられました?グローバスアドレスです?プライベートアドレスです?  かなりの回数は定期的でしょうか?そもそもかなりって何回でしょう?  ちょっと状況が分かりにくいです。どういうネットワークかも分からないし...

共感・感謝の気持ちを伝えよう!

質問者からのお礼

説明不足ですみません。 ネットワークの形態としては、一般の会社で使われているように、いくつかのLANが集まっています。 アクセスは自分のパソコンに、違うLANから来ます。 同じ職場内のIPからきているので、ドメインは自分と同じで、グローバルがふられてます。 頻度は毎日で、1日(9:00~19:00)に40回ほど。 10回きて間隔あけて20回きて・・・という感じです。 少ない方かもしれませんが、パーソナルファイアーウォールでブロックされているパケットの8割がそのIPなので、気になっています。 ブロックされているので特に被害はないとは思いますが・・・。

関連するQ&A

  • ファイアウォールログについて

    東芝のWindowsXPノートを使用しています。 ネット回線はCATV、バッファローのルータ、ウイルスバスター2006を使用しています。Windowsファイアウォールは無効にしています。 ウイルスバスターのファイアウォールログを見ると、パソコンを起動してから2分間に17~25個ぐらい必ずログが書き込まれています。 プロトコル: PTC 送信元IPアドレス: ルータのIPアドレス 送信元ポート: バラバラ 送信先IPアドレス: パソコンのIPアドレス 送信先ポート: 2種類 アプリケーションパス: C:\WINDOWS\SYSTEM32\SVCHOST.EXE アプリケーション名: Generic Host Process for Win32 Services 説明: セキュリティレベル設定によるブロック また、今まではパソコン起動のたびに上のログが書き込まれ、それ以外のログは書き込まれなかったのですが、今日はじめて上以外のログが書き込まれました。しかも同じログが朝・夕の2回です。 プロトコル: ICMP 送信元IPアドレス: 210.224.***.** 送信元ポート: N/A 送信先IPアドレス: パソコンのIPアドレス 送信先ポート: N/A アプリケーションパス: --- アプリケーション名: --- 説明: Destination Unreachable それぞれ、何なのでしょうか?

  • ウイルスバスター2004ファイアウォールログについて

    初心者の質問にどうかお答えください。 環境  OS:Win2000PRO  回線:フレッツADSL 以前、WORM_NACHI.BとWORM_AGOBOT.KJに感染した経緯があり対策ソフトを購入しました。現在はウイルス検索をしても何も検出されないので安心しているのですが、パーソナルファイアウォールのログみると、数秒間隔で送信元IPアドレスが自分になっているものが多数あります。ファイアウォールの設定はホームネットワーク1です。  種類:ネットワークウイルス  受信/送信:N/A  プロトコル:TCP  送信元IPアドレス:自機アドレス  送信元ポート:1490などランダム(ほとんど違う)  送信先IPアドレス:ランダム  送信先ポート:135  説明:RPC_DCOM_BUFFER_OVERFROW (1)通常このようなログがあるものでしょうか? (2)ログに記録されるものはブロックされているものと認識していますが、自分が送信しているものをブロックしているのであれば、なにか潜んでいると疑うべきでしょうか? どうかご教授お願いいたします。

  • ウイルスバスター2007:ファイアウォールログの「例外設定」とは

    WindowsXPホームエディション、ウィルスバスター2007を使用しています。回線はADSL、ルータは使用していません。 先日VB2007のファイアウォール(家庭内ネットワーク1)のセキュリティレベルを中から「高」にして、ファイアウォールログを見てみたところ、このようなログが大量に増えていました。  種類:例外設定  プロトコル:TCP  送信元IP:自分のコンピュータ名  送信元ポート:1027~1117  送信先IP:61.208.××.××(都道府県なし、ネットワーク名AKAMAI)や 207.46.××.××(国名はアメリカ、ホスト名dia.static.qwest.net) ※どのIPも心当たりはありません  送信先ポート:全て80  アプリケーションパス:C:\WINDOWS\SYSTEM32\SVCHOST.EXE  アプリケーション名・説明:Generic Host Process for Win32 Services このログは一体何なのでしょうか…?(自分のパソコンが他のパソコンにアクセスしている???)同時刻に何十個もあったのでびっくりしました。 もう一つあるのですが、同じく種類は「例外設定」で  プロトコル:UDP 送信元IP:192.168.1.2   送信先IP:192.168.1.255  送信元、送信先ポート:どちらも137  アプリケーションパス:SYSTEM    説明:システムプログラム  というものも見つけたのですが、これはポート137が攻撃を受けたということでしょうか…?一応シマンテック等でポートの開閉を調べましたが、全てCLOSEDかステルスでした。ウィルス・スパイウェアもありません。 種類が「ファイアウォール」となっていればブロックされているのはわかるのですが、どれも「例外設定」になっていたのでブロックされていないのでは?と心配です。安全なものならよいのですが…。 このようなことには素人で戸惑っています;;よろしくお願いいたします。    

  • パーソナルファイアーウォールに大量のログが

     二ヶ月ほど前に新しいパソコンを購入し、お試し版のウィルスバスターを使っていて、先日フレッツ光に入会したのでそちらのウィルス対策ツールVer1.5というのに変えたのですが、ウィルスバスターの頃からいちいち許可や拒否を選ぶのが面倒臭いと思い、不審ソフトウェア警戒システムを無効にしていました。しかし最近ふと思って、有効にして見つかった変更を見てみたら、ブラウザのセキュリティが無効になっていました。慌てて変更を元に戻したのですが、何かおかしなことになっていないか色々と見ていたら、パーソナルファイアーウォールのログに数日前までなかったUDPというプロトコルのセキュリティブロックが大量に記録されていました。これは不正侵入を受けているのでしょうか? パソコンにはあまり詳しくありません。すごく不安です。助けてください。そのUDPの送信元IPは[121.102]から始まって、送信先IPは[192.168]から始まっています。セキュリティ検索はやってみましたが、クッキー以外何も引っかかってはきませんでした。

  • ファイアウォールのログについて

    いつも自分のパソコンと思われるログしか無いのに ある日、ウィルスバスターのファイアウォールログにこんなものが残っていました。 プロトコル   TCP 送信元IP    60.34.104.30  220.109.73.19 など 送信元ポート  4650    3405   2633   など 送信先IP    60.34.98.10   送信先ポート  135   445   15118 送信元IPと送信元ポートは1秒ごとに変わっていて、 送信先ポート135と445(135が8割)にPCの電源を切るまでの一時間、えんえんとログがありました。 *135ってまずくないですか? *ログの説明には「ブロック」となっていますが、もしも ブロックできなかった場合、どのようなログが残るのでしょうか? *[PC]ー[FW]ー[ルータ]ーインターネット としているのですが、ルータでは防げなかった、という事なのでしょうか・・・? よろしくお願いいたします。

  • ルーターのセキュリティログ

    ルーターにアクセスをして、セキュリティログを見てみると 1分間に4,5回、不特定多数の様々な人(PC)が俺のグローバルIPアドレス宛に 何かを送信しています。送信元IPアドレスは実に様々だから、 特定の個人が俺に特定的に攻撃(?)を仕掛けている訳ではないと思っています。 具体的なセキュリティログの内容ですが、 ・受付時間 ・送信元IPアドレス/ポート :様々/様々 ・あて先IPアドレス/ポート :俺のグローバルIP/135が80%,後は様々 ・プロトコル        :TCPが大半、たまにUDP,ICMP ・アクション :NAT(廃棄)、アクセス制限(廃棄) という状況です。 ルータ兼モデムのスイッチが入っている間は常にこういう 状態が続いています。 環境 OS:Windows XP HomeEdition SP2 接続形式:ADSL ネットワーク環境: ルータ兼モデム → スイッチングハブ → PC (NTT ADSLモデム SVIII) プロバイダー:@Nifty 1.これって何が送られてきているのでしょうか?(全部ウィルス?) 2.どうして俺のグローバルIPアドレスが分かるんでしょうか? 3.皆さんの環境もこういう感じ(1分間に4,5回)なんでしょうか? よろしくお願いします。m(_ _)m

  • ウィルスバスター2008のファイヤーウォールのログについて

    ウィルスバスター2008を使用しています。 先日ファイヤーウォールのログを見てみたら、大量のログが残っていました。そのほとんどが プロトコル:ICMPv6  送信元IP:fe80::~と続くIP  送信元ポート:N/A 送信先IP:ff02::~と続くIP 送信先ポート:N/A 説明:Version 2 Multicast Listener Report と記録されており、それがPCを立ち上げたときから2~3秒くらいの間隔で記録され続けています。 他にもこれは数分おきに プロトコル:ICMPv6  送信元IP:fe80::~と続くが、上のものとは違うIP  送信元ポート:N/A 送信先IP:ff02::~と続くが、上のものとは違うIP 送信先ポート:N/A 説明:Router Advertisement というように記録続けています。 また、外部からの攻撃かどうかはわからないのですが、 プロトコル:ICMP 送信元IP:XXX.~ XXXのところは同じで、以下の数値は同じや異なっている 送信元ポート:N/A 送信先IP:自分のPCのローカルIP 送信先ポート:N/A 説明:Redirect このようなログが1秒置き、または1秒間に30個くらい記録されてました。それもIPが若干違うけど、最初のXXXのところの数字はほぼ似ていて、毎日きます。 モデムはNTTのPR200NEを使用していて、無線LANのアクセスポイントにバッファローのルータ:WHR-G54Sを使用していて、ルーターをブリッジモードにして使用しています。 シマンティックのセキュリティチェックでも、ほぼステルスで大丈夫でした。 そして質問なのですが、 1)それぞれのログの説明の意味を教えてください 2)上に記入した2つのログは何故記録されているのでしょうか(毎日すごい量なので、そして今まで気付いていなかったので不気味です 3)上に記入した3つ目のログは攻撃と考えてよいのでしょうか?(送信先が自分のローカルIPだったのですごく不安です 4)これらのログをなるべく記録させないようにすることはできるのでしょうか? 長々と記入してしまってすみませんでした。ご回答よろしくお願いします。

  • ウィルスバスター2004のファイヤーウォールログについて

    ウィルスバスター2004を使っておりPCからハブを介し、 光ファイバーで常時ネットに繋いでおりました。 昨日BUFFALO(旧メルコ製)のBBR-4HGというルータを購入したので ハブからそのルーターに付け替えました。 それからなのですが、ウィルスバスター2004のパーソナル ファイヤーウォールのログに"種類:ファイアウォール"、 "受信/送信:受信"、"プロトコル:IGMP"、 "送信元IPアドレス:(これは伏せておきます)"、 "送信元ポート:N/A"、"送信先IPアドレス:224.0.0.1"、 "送信先ポート:N/A"、"説明":セキュリティレベル設定に よるブロック"というログが数秒おきに記録されるようになりました。 このログはルーターの設置によるものだと言うことまで何となくわかってきました。 安全なものとは思うのですが、ウィルスバスターのログに沢山残るのがうっとうしいので ログに残らないようにしたいのです。 回避の方法を識者の皆様どうかご教示くださいませ。

  • Zonealarmの警告ログで

    説明 Packet sent from 192.\\\.3.\(UDP Port 20065) to 219.\\\.\.\ レベル 中 日付  2008/8/17 種類  ファイアーウォール プロトコロル  UDP プログラム  flashget.exe 発信元IPアドレス  192.\\\.3.\.20065 送信先IPアドレス  219.\.\.\.57 方向  外部へ 対応  ブロック 発信DNSアドレス  \\\\\\-D771\\\\\\ と言う詳細ログが出ています。 スパイウェアーでも入れられたのでしょうか。 教えてください。

  • ウイルスバスターのログについて

    こんにちは。早速ですがウイルスバスター2001をMeで利用してます。パーソナルファイアーウォールのログを見ていたら、侵入で「入力」が沢山表示されていました。プロトコル「TCP」 送信元・送信先IPアドレスなども記載されています。このIPも固定でなく数字が異なっています。ウイルスバスターのHPでは侵入が出力なら安全であると記載されています。私のPCは不正アクセスを受けているということなのでしょうか?とても不安です。ご助言お待ちしています。