- ベストアンサー
DHCPのリースログに変なmacアドレスが入る。
バッファローのBLR3-TX4を使用して パソコン3台、ハブ1台でインターネットをしています。 以前からルータのDHCPのリースログに家では使用していないmacアドレス(4代目のパソコン)が出てきました。 32:ff:b9:*:*:* 82:FC:40:*:*:* 00:0B:97:*:*:* など、上2つは偽装したものと思われるのですが、 1.これってパスワードがばれてしまっているのでしょうか? 2.パスワードは変えてみましたが、この場合、考えられる被害ってどういうものでしょう? 共有フォルダの内容などだけで済むでしょうか?(NetBEUIで共有しています) 3.パスワードを変えるしか、方法はないでしょうか。 4.あと、このルータはIDを替えることができないので、他の物に変えた方が良いでしょうか? 5.ハブにもmacが振られていてるのでしょうか? そもそもどうやってこんなことをしているのか、理屈もわからないので、防御のしようがありません。 解らない事ばかりですが、よろしくお願いします。
- みんなの回答 (16)
- 専門家の回答
質問者が選んだベストアンサー
> >>CATV だとなぜ「ブロックする」にできないのですか? > > この設定項目が具体的に何をするものか私には解りませんが、「ブロックする」にするとHPの閲覧ができなくなってしまいます。 > BLR3-TX4 がローカルアドレスに使われるIP番号すべてを無視してしまうために、CATV側のLANに参加できないのかな?と推測しています。 (「ローカル」ではなく「プライベート」ですよね。) なるほど。するとやはり No.15 に書いた「プライベート IP …… DHCP …… BLR3-TX4 の IP spoofing ブロックの仕様 …… IP アドレスを取得できない」ということかもしれませんね。 > >>推定される原因 > > WAN側のDHCPクライアントというのは、具体的には、CATVの機器や、他ユーザの機器(モデム直結パソコン)などを指すのでしょうか? そうです。他ユーザの機器にはモデム直結パソコンだけでなくモデムに繋いだルータも含みますが。 > 自分はそういった外側のDHCPクライアントというのは、まずCATVの用意するルータに繋がっているものと考えていたのですが、普通に有り得ることでしょうか? CATV の屋舎内のルータに繋がっているのは当然のことなのですが(そうでないと外界=the Internet に出られませんよね。)、ご質問の趣旨は CATV 屋舎内の機器や他ユーザの機器が IP 的に同じネットワーク内に在るというのが一般的なことなのかということですね。 特殊というか、何も考えていないプロバイダでないと、そんなネットワーク構成にはしていないと思います。 No.13 で Pesuko さんが「CATV使用なら、LAN配線になっているから、遊び半分のアタックは大量に着ますよ。」と仰っていますが、それは CATV では他ユーザの機器が IP 的に同じネットワーク内に在るというのが一般的ということを言っているのかもしれませんね。(CATV 会社には何も考えていないところが多いということ? 少し前まではたしか Yahoo!BB がそういうネットワーク構成で批判を浴びていたように記憶しています。) > それから「確認方法」で教えてくださったことは、休みの日に一度試してみたいですが、どのように検証したら良いでしょうか?(^^; > 「外パソコン ← ルータ ← 内パソコン」 > として、内パソコンから状態を確認すれば良いでしょうか? 「内パソコン」は繋いでも繋がなくてもいいです。「外パソコン」で ipconfig /all でもしてみて下さい。ああ、ルータのログは「内パソコン」からでないと見られないかもしれないですね。 No.15 で「ルータの WAN 側 IP アドレスを手動設定する(例:192.168.1.1(255.255.255.0))。」と書きましたが、ルータの LAN 側 とは別のネットワークになるようにご注意下さい。(同じネットワークにはそもそも設定できないかもしれませんが。) また、ルータの DHCP サーバはもちろん on に。
その他の回答 (15)
- HiddenMotive
- ベストアンサー率51% (16/31)
これまでの質問と回答で得られていることを(勝手に)整理しますね。 Q. LAN 内の機器のものではない MAC アドレスが、ルータの DHCP のリースログにある。WAN 側からの何らかの攻撃でこのようなことが起こるか? A. なぜそんなことになっているのかわからない。LAN 側に何かを繋がない限り、(ルータのバグでもなければ)そんなことは起こらない。 で、少し確認させて頂きたいのですが、 > 設定画面をみていて気づいたのですが、「アタックブロック」の項目で「IP Spoofing」をブロックするというのがあります > が、よくよく調べてみると今回はこの攻撃を受けたのでしょうか? > そう仮定すると、うちはCATVでこの項目を「ブロックする」にできないため、ちょっと困りますが。。。 CATV だとなぜ「ブロックする」にできないのですか? プライベート IP アドレスを割り当てるプロバイダ(CATV に限らない。)を利用している場合、BLR3-TX4 の WAN 側 IP アドレスを DHCP で自動取得にしていると、BLR3-TX4 の IP spoofing ブロックの仕様により、DHCP の通信が IP spoofing だとみなされ WAN 側 IP アドレスを取得できない、という話ですか? なお、今回の現象の理由が IP spoofing であるとは思われません。 > 仮に自分のLANが 192.168.0.1~ でしたら > 「WAN(インターネット)、 無視、 ----、 送信元IPアドレス192.168.0.0/24 、全て」 > という設定でも問題ないでしょうか? > こちらから見えるケーブル側の割り当ては、違う番号の系列になっています。 「こちらから見えるケーブル側の割り当て」の意味がわからないのですが、おっしゃる設定で問題ないはずです。ただし、これで今回の現象が起こらなくなるというわけではありません。問題ないというのは、今まで通りインターネットを利用できるという意味です。 > 例えばトロイのような物が私のパソコンに入っていれば、今回のようにローカルエリア内の一員になるなことが可能なのでしょうか?(なりすましパソコン?、なりすましnic?) > そうすることでどんな利益があるか見当がつきませんが。^^; 可能だと思います。 最後に、今回の現象の原因を推定します。 推定される原因: ルータの WAN 側に DHCP のクライアントが存在する。その WAN 側からの IP アドレス割り当て要求に対し BLR3-TX4 が割り当てを行ってしまった。いわば BLR3-TX4 の(ひどい)バグ。 確認方法: CATV の設備(モデム?)からルータを切り離し、ルータの WAN 側 IP アドレスを手動設定する(例:192.168.1.1(255.255.255.0))。IP アドレス自動取得に設定した PC をルータの WAN 側に繋ぐ。 でも、この推定があっていたら CATV の他のユーザに迷惑がかかっていることになりますね。
お礼
具体的なご回答ありがとうございます。 >>CATV だとなぜ「ブロックする」にできないのですか? この設定項目が具体的に何をするものか私には解りませんが、「ブロックする」にするとHPの閲覧ができなくなってしまいます。 BLR3-TX4 がローカルアドレスに使われるIP番号すべてを無視してしまうために、CATV側のLANに参加できないのかな?と推測しています。 そこで「WAN側IPアドレス」に表示されているIPとかち合わない、192.168.0.0/24(自LAN内で使う番号)だけを無視する設定はどうかと考えました。 >>「こちらから見えるケーブル側の割り当て」の意味がわからないのですが、 ルータの「WAN側IPアドレス」の意味で書きました。 ケーブルと書いたのはCATVのことです。紛らわしい書き方をしてしまいました。 >>推定される原因 WAN側のDHCPクライアントというのは、具体的には、CATVの機器や、他ユーザの機器(モデム直結パソコン)などを指すのでしょうか? 自分はそういった外側のDHCPクライアントというのは、まずCATVの用意するルータに繋がっているものと考えていたのですが、普通に有り得ることでしょうか? それから「確認方法」で教えてくださったことは、休みの日に一度試してみたいですが、どのように検証したら良いでしょうか?(^^; ルータの外にパソコンをつないだ経験がないもので、、、申し訳ありません。 「外パソコン ← ルータ ← 内パソコン」 として、内パソコンから状態を確認すれば良いでしょうか?
補足
今まで慌てて言葉足らずな箇所が多かったことに気づきました。ちょっと補足します。 ・リースログにあった3つのmacアドレスは、ここ2,3年の間に起こったことで、頻度としては1年に一件(見つけただけで、ですが)。 ・前2件のmacアドレスは普通には有り得ないもので、偽装したもの(だろうこと) ・そのたびにパスワードを変えただけでDHCP機能はそのままでしたが、すぐさま同じことが起こった事はなかった。 (ルータがハッキングされていたのであれば、リースログを消すのはボタン一つですので、簡単な事だと思われますが・・。) ・現在、またDHCP機能ONにしてみましたが、今のところ変なリースはしていない。
- mii-japan
- ベストアンサー率30% (874/2820)
#9さんへ リピータHUBは単純に全てのポートへ転送する スイッチングHUBの場合、Ethernetヘッダーのあて先MACアドレスとアドレス管理テーブルから転送先ポートを判断し、そのポートへ転送する あて先不明とブロードキャストは全ポートへ転送します エラーデータは転送しないで破棄する と言うことでしょうか
- Pesuko
- ベストアンサー率30% (2017/6702)
>IP Spoofing IP Spoofingの説明。 http://www.ipa.go.jp/security/fy12/contents/crack/soho/soho/chap1/ipspoof.html (2) IP Spoofingの原理のところにある図でアタッカーが最初にする 「ダミーの接続で初期シーケンス番号を要求」してきても、 「WANからの接続を無視」にしておけば、何も反応がないから対応できなくなるのです。 相手が通常その前にPINGで使用アドレスをサーチしてきますが、「無視」するので、使用しているかどうかもわからないのです。 ですから必ず「WANから何か要求があったら無視する」にしておくべきなのです。 CATV使用なら、LAN配線になっているから、遊び半分のアタックは大量に着ますよ。
お礼
ありがとうございます。 仮に自分のLANが 192.168.0.1~ でしたら 「WAN(インターネット)、 無視、 ----、 送信元IPアドレス192.168.0.0/24 、全て」 という設定でも問題ないでしょうか? こちらから見えるケーブル側の割り当ては、違う番号の系列になっています。 ご指摘を無視するようで申し訳ないのですが、以前から「動作」のところには「wan」「無視」が表示された状態でやられたものですから、心配で。f^^;
- Pesuko
- ベストアンサー率30% (2017/6702)
>設定画面ではセレクトボックスで「WAN(インターネット)」と「無視」するという表示になっていますが、何をか設定するためには「宛先IPアドレス」「送信元IPアドレス」「プロトコル」などを入力しなければならないのではないでしょうか? 無いもいらないです。 WANから何か要求があったら無視する(返事しない)設定です。 拒否する=アタッカーに拒否信号が帰る 許可する=許可されます 無視する=拒否信号も帰らないから、アタックが有効なのかも解らないのです。
お礼
「動作」のところに「WAN(インターネット)」と「無視」出ていればOKと言う事でしょうか。知りませんでした。 設定画面をみていて気づいたのですが、「アタックブロック」の項目で「IP Spoofing」をブロックするというのがありますが、よくよく調べてみると今回はこの攻撃を受けたのでしょうか? そう仮定すると、うちはCATVでこの項目を「ブロックする」にできないため、ちょっと困りますが。。。 ありがとうございました!
- hoihence
- ベストアンサー率20% (438/2093)
NetEnumを試してみたらどうでしょうか。 http://www.forest.impress.co.jp/lib/inet/servernt/netanlz/netenum.html インストールした後、「ファイル」→「検索」を選択して、「MACアドレス取得」にチェックを入れて「検索」をクリック。
お礼
便利なツールですね。 「windowsネットワークが認識しているホストの列挙」では自機しか出て来ないのですが、これはNetBEUIで共有しているからでしょうか?(なんか違う気がしますが^^;pingでやるとホスト名不明で列挙されます。) 面白そうなので、もう少しいじってみます。 ありがとうございました!
- hoihence
- ベストアンサー率20% (438/2093)
大変申し訳ないことをしてしまいました。 kind-jokeさん、mii-japannさん ごめんなさい。 先の発言を撤回するとともにお詫びいたします。 勉強しなおします。
お礼
いえ、話に乗って頂いて感謝しています。 ここで質問する前は、ひとりで考えて煮詰まってしまうだけでしたから。 引き続きアドバイスいただけたら嬉しいです。 よろしくお願いします。
- hoihence
- ベストアンサー率20% (438/2093)
#8さんへ 単に中継するだけといってもEthernetヘッダーの情報を参照しながら通信を行ってるんですよ。わかってます ?
補足
混乱させて申し訳ないです。 メーカーHPです。 http://www.corega.co.jp/support/faq/search/faqR576.htm 私の使っている機種もここに入っています。
- mii-japan
- ベストアンサー率30% (874/2820)
#7の方へ HUBにMACアドレスは必ずしも必要ではありません MACアドレスを必要とするのは、そのポートを持っている機器そのものとデータの送受信を行いたい場合です HUBは(スイッチングHUBを含めて)HUBそのものとのデータの送受信は行いません、単にデータを中継するだけです、ですから、MACアドレスが無くても動作します インテリジェントHUBで、HUBに固有の設定を行うことやlogその他のデータが見られる機能がある場合、その機能を利用するためにMACアドレスが付与されています、IPアドレスを設定することができるものもあります なお、余談ですがMACアドレス変更できるものもあります(MACアドレスにもIPアドレスのプライベートアドレスに相当するものがあります) 10年位前のNICはほとんどがMACアドレス変更が可能でした(近頃のは知りません)
補足
例えばトロイのような物が私のパソコンに入っていれば、今回のようにローカルエリア内の一員になるなことが可能なのでしょうか?(なりすましパソコン?、なりすましnic?) そうすることでどんな利益があるか見当がつきませんが。^^;
- hoihence
- ベストアンサー率20% (438/2093)
まずですね、「5.ハブにもmacが振られていてるのでしょうか?」の文章がおかしいです。プライベートIPを割り振るのであって、MACアドレスを割り振るわけではないです。MACアドレスは機器一台一台にユニーク(一意)になってるので変更できないです。IPアドレスとMACアドレスの対応付けが可変になってるだけです。 Ethernet内ではMACアドレスによって最終的な通信相手を判断してます。ハブも当然MACアドレスを持ってます。持ってないという人やあやふやな事を言う人がいますが間違いです。もし、持っていないというのであれば、ハブを経由した通信は確立しないということになってしまいます。従って、MACアドレスは全部で4つ。なんら問題ありません。具体的に何か被害等が生じたのでしょうか。個々の機器のMACアドレスを知りたいのであれば、「GET MAC」コマンドを使ってください。
補足
ネットワーク系の知識が乏しい物で申し訳ありません。 #8さんがフォローしていただいている通りですが、getmacコマンドは自分のOS(XP home) にはないようです。 有用なコマンドは残しておいてもらいたいものですが。^^
- mii-japan
- ベストアンサー率30% (874/2820)
#5の方へ ルータ経由でアクセスの場合、MACアドレスはルータのアドレスになります よほどおかしな設定を行わない限り、WAN側へはアドレス割当を行うことはありません DHCPサーバで割当が行われたと言うことは、その対象はLAN側(無線LANを含む)です kind_joke さんへ 当該のHUBはMACアドレスは持っていないと思います IPアドレスのリースログにはIPアドレスも記載されているはずですから、そのアドレスへpingしてみたら・・・
お礼
ありがとうございます。 ちょうどHPでHUBの情報を見ていたところでした。^^; 昨日発見した時点でpingを打ってみたのですが、 time out でした。 現在、パスワードを変えてDHCPも一時的に切っていますのでリースログからも消えています。
- 1
- 2
お礼
なかなか時間がとれませんで、すいませんでした。 教えていただいた方法で試してみましたが、DHCPの割り当てはもらえませんでした。 どうも手詰まりになってきましたが、皆さんからいただいた情報によって、自分の中で曖昧だったものがはっきりした物になったりと、やはりココで質問してみて良かったです。 しばらくは、パスワード管理とログのチェック、共有フォルダは一時的に利用するのみにして、再発するようでしたら、DHCP機能をOFFにするか、ルータの買い替えも考えてみようと思います。 相談に乗っていただいた皆様全員に感謝致します。 本当にありがとうございました。