ルータのログの見方とは?

前へ 次へ
このQ&Aのポイント
  • ルータのログには不正アクセスの情報が含まれている可能性があります。
  • 具体的なログデータの内容とは、IPアドレスやポート番号などが残されています。
  • 不正アクセスの試行や通信の種類に関する情報がログに記録されます。
回答を見る
  • ベストアンサー

ログの見方

ルータのログに次のようなものが残っています。 これらは不正アクセスがあったということでしょうか? また、それぞれの用語がわからないのでぜひ教えてください。 ****の部分はIPアドレスです。 2001/12/01 20:14:23 Refused NATe P:6(TCP) SRC:**** DST:**** SPORT:2419 (unknown) DPORT:80 (HTTP) 2001/12/01 23:34:56 Refused NATe P:6(TCP) SRC:**** DST:****  SPORT:80 (HTTP) DPORT:63606 (unknown) 2001/12/02 00:29:47 Refused NATe P:6(TCP) SRC:**** DST:****     SPORT:1161 (unknown) DPORT:21 (FTP)

質問者が選んだベストアンサー

  • ベストアンサー
noname#41381
noname#41381
回答No.1

NATeということはNECのルータかな? とりあえず、用語の解説から  NATe :IPマスカレード、NAPTのNEC版。IPのアドレス&ポート変換ですね。  Refused NATe :そのアドレス変換が拒否されたってことです  P:6(TCP) :プロトコル番号 6のTCPを利用している ってこと  SRC :Source 接続元 ここはIPアドレスかな?  DST :Destination 接続先 上がIPアドレスならここもIPアドレス。ホスト名かも。  SPORT :Source Port 接続元のポート番号。        後ろの(xxxx)はそのポートのサービス名。unknownは未登録  DPORT :Destination Port 接続先のポート番号 でもってこれが不正接続かどうか...。状況がわからないので不正かどうかはわかりません。 つまり、WebやFTPのサーバをたてているとか、SourceとDestinationのどちらが自分なのかがわからないので。 一般的にみたら、 1行目 SRCが外のアドレスなら、外から自分をwebサーバとし接続      これはCodeRedかな? 2行目 SRCが外のアドレスなら、自分が外のwebに接続した応答かな? 3行目 SRCが外のアドレスなら、外から自分に対するFTP接続。      ポートスキャンで貧弱なFTPサーバを探しているのかな? いずれもSRCを外と仮定して、予想を書いてみました。 今回はログに残っている時点ではまだ安全なので、大丈夫だと思いますが、 ルータは単なるパケットフィルタリングだけではなく、ステートフル・インスペクションなんかの技術をもった ファイアウォール搭載にするとか(ちょっと高くなるけど) パソコンにパーソナルファイアウォールを入れておくとかの対策をしておけばちょっとは安心でしょう。 まぁ、gonta-11さんのように普段から監視の目を光らせている方であれば、大丈夫でしょう。 #心配なのはセキュリティに関心の無い方と、自分さえ良ければOKという方かな...^ ^;) プロトコル番号やポート番号の内容、トロイの木馬で攻撃するポート一覧などは 検索するといろいろ見つかります。 例えば、sanakiさんのホームページなんかは初心者に役立つ情報がありましたよ。 http://isweb5.infoseek.co.jp/diary/sanaki/index.html この中の「初心者による TCP(UDP)/IP メモ 」

参考URL:
http://isweb5.infoseek.co.jp/diary/sanaki/index.html
gonta-11
質問者

お礼

ありがとうございました。 ログに残っているのですから、あまり心配はしていないのですが、ちょっと気になったものですから。でもむずかしいですねえ。何回読んでもわからない言葉がいっぱいです。少しずつ勉強します。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. ネットワーク

関連するQ&A

  • Firewallについて教えて!

    初めて質問させていたいただきます。 McAfeeのPersonal Firewallをインストールしています。 イベントログを見ていると「~をブロックしました」というのがたくさん表示されます。何をブロックしているのか良く解りません。 例えば自宅では   ダイヤルアップアダプタ[Unkown Traffic]は発信TCPをブロックしてい   ます:src=211,135,208,67,dst=210,145,117,90,sport=1069,dport=80(306) または   ダイヤルアップアダプタ[ICMP]は発信ICMPをブロックしてい   ます:src=211,135,208,67,dst=224,0,0,2,タイプ10(306) または   着信フラグメント:ブロック済みです 職場では   Intel〔R〕PRO/100+minipcl[Unkown Traffic]は着信UDPをブロックして   います:src=192,168,0,11,dst=192,168,0,255,sport=2869,dport=2869 (307) 質問1 これらは何を意味しているのでしょうか? 質問2 TCP,src,dst,sport,dport,UDPとは何でしょうか? 質問3 着信フラグメントとは何でしょうか? 質問4 最初の窓に「McAfee.com Personal Firewallが検出し、ブロックしたパケットは3パケットです」と表示されることがあります。これって不正アクセスですか? 質問5 ログの中のどの部分に注目していれば不正アクセスを防げますか? 以上5点、初心者の私にも解るように平易なことばでお教えいただければありがたいです。 御願いします。

  • iptablesによるパケットフィルタ

    こんにちは、皆さん iptablesに関して、2つの種類の質問があります。 1. SYNパケット以外の許可の設定 iptablesで、HTTPやFTPのサービスポートを閉じた上で、 以下のコマンドを実行すると、サービスポートが空いてなくても パケットが通ってしまいます。 iptables -A INPUT -p tcp ! --syn -j ACCEPT 上記の意味はSYNパケット以外だけ許可するとなってますので、 最初のセッションを張るパケットは通過できないので、 結果的にはサービスは提供されないのではないでしょうか? でもなぜか通ってます。 また、上記をDROPに指定し直すと、パケットは通過しません。 その後、以下のように個別にサービスポートを開けると、 パケットは通過できるようになるので、当然サービスが提供されます。 iptables -A INPUT -p tcp --sport 1024:65535 --dport 80 -j ACCEPT iptables -A INPUT -p tcp --sport 1024:65535 --dport 20 -j ACCEPT iptables -A INPUT -p tcp --sport 1024:65535 --dport 21 -j ACCEPT 2. INPUTとFORWARDについて INPUTとFORWARDの違いは、FORWARDはサーバをルータとして使っている時だけ 必要なチェインで、INPUTはパケットを受信する時に必ず通るチェインという 認識でよろしいでしょうか?

  • Linuxサーバに社内からSSH接続をすると、決まった会社のIPがとれます。大丈夫でしょうか?

    RedHat9 Linux でサーバ兼ルータを構築しています。(DMZも使用しています) (WAN側 ppp0 、DMZ側 eth1、LAN側 eth2) iptables の設定として、 # NetBIOS関連のパケットはログをとり、インターネットに出さない iptables -N net-bios iptables -A net-bios -j LOG --log-prefix "### NetBIOS ###" iptables -A net-bios -j DROP iptables -A FORWARD -p tcp -m multiport --sport 135,137,138,139,445 -j net-bios iptables -A FORWARD -p udp -m multiport --sport 135,137,138,139,445 -j net-bios iptables -A FORWARD -p tcp -m multiport --dport 135,137,138,139,445 -j net-bios iptables -A FORWARD -p udp -m multiport --dport 135,137,138,139,445 -j net-bios としていました。(今はログが多くなるということでやめようと思っています) 社内PCからサーバにSSHでログインすると、必ず、下記のようなログが出ます。 (私のPCはIP 192.168.*.* ) May 26 15:00:00 ns kernel: ### NetBIOS ###IN=eth2 OUT=ppp0 SRC=192.168.*.* DST=aaa.bbb.cc.dd LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=**** DF PROTO=TCP SPT=1335 DPT=139 WINDOW=**** RES=0x00 SYN URGP=0 DST=aaa.bbb.cc.dd というIPは、知らない会社のIPです。 これはなにか悪さをされているということでしょうか?

  • for文が機能しません。どなたか原因を指摘して頂けますか。

    こんにちは。質問させて頂きます。 pcap.hで、「リスト構造に格納された送受ID・ポート」と、「キャプチャされたパケットの送受ID・ポート」を順に比較していって、同じであれば同一の通信フローとみなす、といったプログラムを作っています。 しかし、何故かfor文自体が機能せず、for文の中のprintf文が全く表示されないところをみると、for文をスルーしてしまっているようです。for文の中身の記述がおかしいのか、条件記述がおかしいのかのどちらかだとは思うのですが特定できません。 皆さんのお力をお貸し頂けないでしょうか。 以下がプログラムの一部です。 //ID・ポートを含んだリスト構造体作成 struct list { struct in_addr src, dst; u_short sport; u_short dport; struct list *next; }; //キャプチャされるパケットのID・ポート情報を記録する構造体 struct new_capture { struct in_addr new_src, new_dst; u_short new_sport; u_short new_dport; }; ループバック関数(){ //キャプチャされたパケット情報を構造体に写す struct new_capture nc; nc.new_dport = tcp->th_dport; nc.new_sport = tcp->th_sport; nc.new_src = ip->ip_src; nc.new_dst = ip->ip_dst; //リスト構造体の先頭と、ループさせるためのポインタを宣言 struct list flow_head; struct list *looplist; //問題のfor文 //looplistを利用して、キャプチャされたパケット情報と //リスト構造体に格納された情報とを比較する //同一ならばそれでbreak、全ての構造体と相違ならば //構造体の末端に新たに追加する for (looplist = &flow_head; looplist ; looplist = looplist->next) { if (inet_ntoa(looplist->src) == inet_ntoa(nc.new_src)) { if (inet_ntoa(looplist->dst) == inet_ntoa(nc.new_dst)) { if (looplist->sport == nc.new_sport) { if (looplist->dport == nc.new_dport) { printf ("送受アド、送受ポート同一"); break; } } } } else if (looplist->sport == nc.new_dport) { if (looplist->dport == nc.new_sport) { if (inet_ntoa(looplist->dst) == inet_ntoa(nc.new_src)) { if (inet_ntoa(looplist->src) == inet_ntoa(nc.new_dst)) { printf ("送受アド、送受ポート同一逆順"); break; } } } } else { printf ("同一ではない"); } } //通信フロー数を1増やし、リスト構造体にIDとポートを追加する if (looplist == NULL) { flow_counts++; printf ("通信フロー追加:%d\n", flow_counts); looplist = (struct list *) malloc (sizeof (struct list));   looplist->dport = nc.new_dport; looplist->sport = nc.new_sport; looplist->src = nc.new_src; looplist->dst = nc.new_dst; } free(looplist); return; } 上のlooplistにアドレスを代入しているはずなのに、ずぅ~っとNULLになっているらしく、for文が終わった後のif文が常に機能するようになってしまっています。 for文が機能しないのは何故なのか。 looplistがずっとNULLなのは何故なのか。 この二つが解決出来ればなんとか出来ると思うのですが力不足でそれに及びません。何か気が付かれた事等ありましたらご教授頂けないでしょうか。どうぞよろしくお願いします。

  • iptablesの設定 NetBiosについて

    RedHat9 Linux でサーバ兼ルータを構築しています。(DMZも使用しています) (WAN側 ppp0 、DMZ側 eth1、LAN側 eth2) iptables の設定として、 # ポリシーの設定 iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT # NetBIOS関連のパケットはログをとり、インターネットに出さない iptables -N net-bios iptables -A net-bios -j LOG --log-prefix "### NetBIOS ###" iptables -A net-bios -j DROP iptables -A INPUT -i ppp0 -p tcp -m multiport --sport 135,137,138,139,445 -j net-bios iptables -A INPUT -i ppp0 -p udp -m multiport --sport 135,137,138,139,445 -j net-bios iptables -A INPUT -i ppp0 -p tcp -m multiport --dport 135,137,138,139,445 -j net-bios iptables -A INPUT -i ppp0 -p udp -m multiport --dport 135,137,138,139,445 -j net-bios iptables -A FORWARD -p tcp -m multiport --sport 135,137,138,139,445 -j net-bios iptables -A FORWARD -p udp -m multiport --sport 135,137,138,139,445 -j net-bios iptables -A FORWARD -p tcp -m multiport --dport 135,137,138,139,445 -j net-bios iptables -A FORWARD -p udp -m multiport --dport 135,137,138,139,445 -j net-bios というのを設定しました。 下記のサイトを参考にしました。 http://www.kkoba.com/linuxrouter/iptables.shtml ところで、NetBIOS関連のパケットはログをとり、インターネットに出さない という設定は必要ですか? これだと異常にたくさんのログが取れてしまいますが。。

  • iptablesの設定がうまく反映されません

    iptablesを有効にすると、サーバが公開しているウエブページの閲覧がローカル、外部ドメインともにできません。内部名前解決もできなくなってしまいます。メールもローカル、外部ドメインからも送受信できなくなります。 無効にすると、全て問題なく動作します。 iptables無効状態ではHTTP:80、HTTPS:443 SMTP:25/587、POP3:110/995、IMAP:143/993 は外部からポートスキャンで、アクセスできましたとなります。 iptablesを有効にすると、どのポート番号もポートスキャンで、アクセスできませんとなります。設定は下記のとおりです。有効状態で唯一、22番だけポートスキャンで成功します。 何がいけないのでしょうか。よろしくお願いします。 環境:CentOS6.2 、1台のサーバでApache,Bind,Postfix/Dovecot が稼動中です。 [root@hogehoge ~]# cat /etc/sysconfig/iptables # Generated by iptables-save v1.4.7 on Tue Jun 12 22:39:14 2012 *filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT ACCEPT [24:2320] -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT -A INPUT -j REJECT --reject-with icmp-host-prohibited -A INPUT -s 192.168.0.0/24 -j ACCEPT -A INPUT -j LOG --log-prefix "[iptables] " --log-level 6 -A INPUT -p udp -m udp --dport 53 -j ACCEPT -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT -A INPUT -p tcp -m tcp --dport 25 -j ACCEPT -A INPUT -p tcp -m tcp --sport 25 -j ACCEPT -A INPUT -p tcp -m tcp --dport 110 -j ACCEPT -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT -A INPUT -p tcp -m tcp --dport 587 -j ACCEPT -A INPUT -p tcp -m tcp --dport 993 -j ACCEPT -A INPUT -p tcp -m tcp --dport 995 -j ACCEPT -A FORWARD -j REJECT --reject-with icmp-host-prohibited COMMIT # Completed on Tue Jun 12 22:39:14 2012

  • iptablesの記述方法

    RedHatLinux9 でサーバ兼ルータ兼ファイアウォールを構築しています。(DMZを1台使用) iptables の記述が、なかなか分かりやすく解説しているものがなくて困っています。 特に -N の記述方法がよく分かりません。 DMZ側のファイアウォールとして、 # NetBIOS関連のパケットはログをとり、インターネットに出さない と設定する場合、下記のようでよいのでしょうか? iptables -N net-bios iptables -A net-bios -j LOG --log-prefix "### NetBIOS ###" iptables -A net-bios -j DROP iptables -A FORWARD -p tcp -m multiport --sport 135,137,138,139,445 -j net-bios iptables -A FORWARD -p udp -m multiport --sport 135,137,138,139,445 -j net-bios iptables -A FORWARD -p tcp -m multiport --dport 135,137,138,139,445 -j net-bios iptables -A FORWARD -p udp -m multiport --dport 135,137,138,139,445 -j net-bios

  • iptablesを使用してのDNSゾーン転送の設定。

    今後Linuxをルーターとしてサーバー公開を目指しています。 グローバルIP=10.10.10.10(ルーターインターフェース=eth0) プライベートIP=192.168.0.1(ルーターインターフェースeth1) PrimaryDNS=10.10.10.10:53をプライベートIPに変換=192.168.0.2:53 セカンダリDNS=20.20.20.20 Linuxルータはiptablesのみ動作。 primaryDNSサーバーはwindows2000を使用しています。 iptablesにより、Preroutingを使用して10.10.10.10:53→192.168.0.2:53の変換。 POSTROUTINGにより192.168.0.2→10.10.10.10:53へ変換と設定しています。 # iptables -t nat -A PREROUTING -p tcp -d 10.10.10.10 -dport53 -j DNAT -to-destinalion 192.168.1.20:53 # iptables -t nat -A POSTROUTING -p tcp -s 10.10.10.10 -sport53 -j SNAT -to-source 192.168.1.20:53 # iptables -t nat -A PREROUTING -p udp -d 10.10.10.10 -dport53 -j DNAT -to-destinalion 192.168.1.20:53 # iptables -t nat -A POSTROUTING -p udp -s 10.10.10.10 -sport53 -j SNAT -to-source 192.168.1.20:53 そこで質問なのですが、この際Win2000でゾーン転送のセカンダリDNSの宛先アドレスはどうしたらよろしいのでしょうか? その際、iptablesの記述も教えてください。 一応、 # iptables -A FORWARD -p tcp -dport53 -j ACCEPT # iptables -A FORWARD -p udp -dport53 -j ACCEPT 53ポートのtcp,udpを許可しています。

  • 通常FTPではどちらのモードが使用されるのでしょうか?

    通常FTPではどちらのモードが使用されるのでしょうか? ルータのフィルタリングをかけているのですが、FTPを行う場合、 デフォルトでは、アクティブモードなのでしょうか? それともパッシブモードなのでしょうか? ●アクティブモードの場合  21/tcpにて制御  データ部分に関しては、サーバから20/tcpで通信が始まります。 ●パッシブモードの場合  21/tcpにて制御  データ部分に関しては、サーバが任意に決める形であると思います。 つまり、どちらの通信に関しても、TCP(EST)の戻りパケットのみだけだと通信が出来ない 状態だと思います。(サーバからsynパケットが始まるため。) 今回ルータのフィルタリングで ●lan=>wan  lan側サブネット=>wan  src:すべて  dst:20-21 ●wan=>lan  wan=>lan側サブネット  src:20-21  dst:すべて と定義しました。(通常は、tcpプロトコルなら、戻りパケットにて許可を与えればいいと 思います。) 【質問1】まず、ftpと一般的に言った場合のモードはどちらのモードとなるのでしょうか? 【質問2】パケットフィルタリングの考え方としては、戻りパケットではなく、      TCPプロトコルとして定義しなくてはいけないのでしょうか? の2点となります。 ftpについては、未だ通信の流れをあまり理解していないので、よろしくお願いいたします。

  • ポートフォワードについて

    よろしくお願いいたします。 Linux上で2枚のLANカードでルーターを構築中です。 環境は、 eth0:インターネットへ(外へ) eth1:ローカルネット(内へ) 接続しています。 設定したiptables(ポートフォワードの部分)は、以下のとおりです。 iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.1.2:80 iptables -A FORWARD -i eth0 -p tcp --dport http -j ACCEPT iptables -A FORWARD -o eth0 -p tcp --sport http -j ACCEPT 実際外部から内部のwebサーバーにつながるのですが、 ルータ上から、ルータに割り当てられたグローバルIPアドレスで、 内部webサーバのホームページを見ようとすると見れません。 何か他に設定しないといけないのでしょうか?

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する