• ベストアンサー

セキュリティの学習の一環として

おはようございます、お世話になります。 セキュリティの学習の一環として教えて頂きたいのですが カスペルスキープレミアムのレポート確認で調べたのですが プロトコルの方向: 送信 プロトコル: TCP ステータス: ブロック リモートアドレス: 192.168.1.1 リモートポート: 53 ローカルアドレス: 192.168.1.6 ローカルポート: 51051 ゾーン: すべてのネットワーク ユーザー種別: 未定義 ルール: domain このネットワーク情報はどのように動いているのか教えて下さい。 ご教示お願いします。

質問者が選んだベストアンサー

  • ベストアンサー
  • asciiz
  • ベストアンサー率70% (6821/9700)
回答No.1

TCP/IP通信において、 ローカル(ローカルノード)=自分のパソコン リモート(リモートノード)=アクセス先 という意味ですので、以下の部分の情報により >プロトコルの方向: 送信 >プロトコル: TCP >リモートアドレス: 192.168.1.1 >リモートポート: 53 >ローカルアドレス: 192.168.1.6 >ローカルポート: 51051 ここで、リモートポート53番というのはDNSサービスのための番号です。 DNSは、アルファベットのドメイン名(例:xyzzzzzzz.com)をIPアドレス(例:11.22.33.44)に解決するサービスです。 ※ローカルポートは49152以上のランダム番号が使われますから、51051番になったのはたまたまです。 そうすると、 「自分のパソコン 192.168.1.6 から、192.168.1.1 へ DNS(53番ポート)を使うアクセスをした」 という事が分かります。 (192.168.1.1 はご自宅のルータでしょうから、IP配布するとともに自ルータアドレスもDNSとして登録し、ルータあてに来たDNSリクエストを外部のDNSサービスへリレーしています) しかしそこで、 >ステータス: ブロック とあるので、このアクセスをカスペルスキーがブロック(遮断)しました、と。 その理由は、 >ルール: domain おそらく、DNS解決しようとしたドメイン名が、マルウェア配布や個人データ収集等をしている、(既知の)悪質サイトのドメインに該当したという事かと思います。 つまり、ブラウザ等からうっかりウイルスURLを踏んだ場合でも、ドメイン名を解決させないことによりアクセス失敗させた(ブロックできた)、という報告です。 アンチウイルスソフトが入っていなければ、怪しいURLだろうが何だろうが気にせずにDNS解決して、アクセスしてしまっていたはずです。 どんなドメインを止めたのかはご質問の報告コピペ内にはありませんが、アクセスURLログ機能などあればそちらに残っているかもしれません。

JackTheRipper99
質問者

お礼

なるほど、専門家様の意見は大変参考になります。 ベストアンサーにさせて頂きます。

関連するQ&A

専門家に質問してみよう