• ベストアンサー
  • すぐに回答を!

許可していないパケットにルータを超えられてしまう?

OSはW2ksp4,パーソナルファイアウォールはoutpost free 1.0,ルータはYAMAHART54iです。 outpostにはAttack Detectionという機能があって、不正なパケットを検知してくれます。 その機能のログによると、インターネット上の別のPCからこちらのPCの3336番ポートや3239番ポートへTCPのポートスキャンを受けていました。 ログの形式は、 日付、攻撃タイプ、IPアドレス、ポートスキャンの詳細 という項目が記録されており、上記のポートスキャンについては、 攻撃タイプが「通信の要求」 IPアドレスが「スキャンをしてきた相手のアドレス」 ポートスキャンの詳細が「TCP(3336)」 などとなっています。 ルータではネット側からの通信要求はすべてルータで弾くように設定していて、 (許可していないものについては暗黙のDenyで弾かれるはずです) どうしてLAN内のPCまで上記のようなパケットが届いてしまったのか理解できません。 また、仮にルータではパケットが弾かれなかったとしても、静的NATを設定しているわけでもないのに、 どうしてLAN内の特定のPCまでパケットが届いてしまうのでしょうか? そのPCでは8080番ポートでWebサーバーを起動していて、そこへ向けて、静的NATを張っています。 ですのでAttack Detectionのログにも8080番ポートへのポートスキャンの形跡が残ることもありますが、 しかしどうしてそれ以外のポートにまでポートスキャンが及んでいるのか理解できません。 ひょっとしてルータが壊れているかどうかして静的NATで指定した以外のものもLAN内へ運んでいるのかもしれませんが、そんなことあるのでしょうか?

共感・応援の気持ちを伝えよう!

質問者が選んだベストアンサー

  • ベストアンサー
  • 回答No.2
  • qaaq
  • ベストアンサー率36% (146/404)

>ひょっとしてルータが壊れているか・・・・ 可能性はバグを含めて0(ゼロ)ではないです。 情報のポインタを紹介します。 取り合えず、ルータのファームウェアのアップデートをして最新にしてから様子を見ることをおすすめします。 http://netvolante.jp/download/firmware/ 疑問があれば、メーカサイトの方が確実でしょう。 http://www.yamaha.co.jp/support/index.html また、ヤマハ関連ルータのユーザML(rt100i-users)は活発かつ有益な情報がとても多いです。 このMLでも有益な情報が得られるかも知れません。 ただ、 >rt100i-users はヤマハの正式なサポート窓口ではありません。 >ヤマハの関係者が発言することもありますが、それは単にとっても詳しいユーザとしての発言です。 なので、表現に注意した方がいいですね。 http://www.rtpro.yamaha.co.jp/RT/users.html

共感・感謝の気持ちを伝えよう!

質問者からのお礼

ポインタをありがとうございます。 もう少しまとめてみて、サポートにメールをしてみようと思います。

その他の回答 (1)

  • 回答No.1

> ルータではネット側からの通信要求はすべてルータで弾くように設定していて、 というのが間違っているのではないかと思います。そんなときは、自分で判断した結果ではなく、 具体的に、どこの項目をどうやってどんなふうに設定した。と書いた方がよいです。 「質問の仕方」参考URL http://www.linux.or.jp/beginners/question.html もしかしたら、設定方法の勘違いかもしれないですしね。

共感・感謝の気持ちを伝えよう!

質問者からの補足

回答ありがとうございます。 すみません。説明不足でした。 ルータでのパケットフィルタリングの設定について書きます。 私が使っているYAMAHART54iというルータでは明示的に許可していないパケットについてはすべて拒否されます。 ルータを超える許可がされているのは、TCPのEstablished状態のもの、 つまりルータの内側のLAN内のPCを起点としたパケットと、その応答パケットはルータを超えられます。 それとDNSの応答パケットを通すために(UDPにはEstablishedという概念自体がないので上のEstablished許可ルールではこれに対処できないため)、 インターネット側を起点としたルータのUDPの53番ポートへ向けたものも許可されています。 ここまでの二つはルータのデフォルト設定です。 また、WebサーバーをLAN内のあるPCで実験的に公開しているため、 インターネット側を起点としたルータのTCP8080番ポートへ向けたパケットも許可しています。 このパケットについては、静的NATとしてルータの8080番ポートへ到着したパケットはWebサーバーを公開しているPCの8080番ポートに届くように設定しています。 ルータで許可されたパケットは上記の三つのみで、これ以外のパケットはすべて拒否されるはずです。 ですので、Webサーバーを公開しているPCでのoutpostのAttack Detectionのログに、 インターネット側を起点とした、Webサーバー機のTCP3336番ポートへのものが残るはずがないのです。 このパケットは、まずルータで拒否されるはずで、もしフィルタリングの設定ミスで拒否されなかっとしても、 TCP3336番ポートへ向けたパケットの静的NATは設定されていないため、 LAN内へは届かないはずなのです。 ですので、パケットに対して何らかの細工をすることでルータを超えることが可能なのかと思い質問した次第でした。

関連するQ&A

  • ルーターのアタックブロック

    バッファローのルーターを使っています。アタックブロックのログを見るとNMAPポートスキャン、SMURF攻撃、TCP SYN FLOOD攻撃と色々攻撃を受けているようです。 「アタックブロック機能で捕らえたパケット情報を表示します。」という表記があることから、ここに表示されてるということは防いでくれてるのだと思いますが、この時、ルーターへ負荷は全くかからないのでしょうか? 一応書いておきますと、録画用に使っているLAN HDDの挙動が最近おかしくなってきたのでルーターを疑っています。可能性はありますでしょうか。

  • Outpostのログについて

    いつもお世話になっています・・・! ここの過去ログで掲載されていたサイトでOutpostの “Attack Detection”は、攻撃を検知するものであっ て、攻撃を遮断するものではないという事を知りまし た。 私もOutpostのログを見て見た所、この“AttackDetection”の“攻撃タイプ”の所に“通信の要求”“ポートスキャン”とたくさん表示されていて、 その横には“IPアドレス”“ポートスキャンの詳細” と続いていました。 これはあくまで“検知した”という事ですよね? という事は、遮断されずPCに入ってこられたという事 もあるのでしょうか? もしそうだとしたら、それを確認する方法はあるのでしょうか・・・? “Blocked”にも“Attack Detection”にも怪しい(!?) ログはありませんでした・・・。 それともう1つなんですけど“All Connections” の“プロトコル”の所に“不明なプロトコル”と いう表示があったのですが、この“不明な”という のがどういうものなのかとても心配です。 もし何かご存知の方がいらしたら教えて下さい・・・! (“IPアドレス”と“ポートスキャンの詳細”“All Connections”のログについてはどこまで公開していい のか分からなかったので控えさせて頂いたのですが、 もし、ご回答頂く上で必要で、問題ない様であればご 指摘下さい・・・!)

  • ルータのパケットフィルタリングについて

    お世話になります。 ルータのパケットフィルタリングについて教えてください。 『現在、Wimaxのルータ(NEC製)をPCにLANケーブルで接続し、ネット接続しています。 (WimaxのルータはADSLの一般的なルータとほぼ同じような機能を持っています。) 接続しているPCでコマンドプロンプトを開き、netstatを行ったところ、TCPの135や139や445といったポートがlisteningになっています。ルータでは特にパケットフィルタリングの設定をしていません。』 という、この場合の話なのですが、これは危ないのでしょうか? TCPの135などが危険なポートだということは理解しています。 listeningをしているということは、口をあけている状態ですのでPCが接続される状態だということもわかっています。 ですが、ルータがあるので大丈夫ではないかと思ってしまうのです。つまり、ルータのパケットフィルタリングの設定を変更して外から135等が入ってこないようにしなくてもよい気がするのですが、実際はどうなのでしょうか? やっぱり、デフォルトでlisteningしている怪しげなポートはひとつずつルータで指定して閉じないといけないのでしょうか? アドバイスをよろしくお願いします。

  • ルータが外部に通信しようとします

    次のような環境で、ADSLでインターネットに接続しています。 【ルータ兼ADSLモデム】 NEC Aterm DR202C 【ルータのLAN側IPアドレス】 192.168.0.1 【PCのLAN側IPアドレス】 192.168.0.2  ※PC1台でネットに接続しています ルータのパケットフィルタリングの設定において、localhost/255.255.255.0から任意の宛先IPアドレスに対して、宛先ポートが次に該当しない場合は、通信を拒否するように設定しています。 【通信可能な宛先ポート】 20,21,53,80,110,123,443,587 ルータのログを確認したところ、次の内容がありました。 2008/01/06 10:27:50 IP_Filter REJECT TCP 192.168.0.1:22 > 190.24.145.50:44792 (IP-PORT=6) ログの内容としては、ルータ(192.168.0.1)が(190.24.145.50)のTCP44792番ポートにアクセスしようとして、パケットフィルタリングの設定により、パケットが廃棄されたものだと思います。 なぜ、ルータがこのような通信をしようとしたのか、分かりません。 ルータには時刻合わせの機能がありますが、自動設定(工場出荷時の設定により、NTPサーバに接続)ではなく、手動設定でNTPサーバを指定したため、時刻合わせで上記の通信が発生するとは考えられません。 PCのウイルスチェックを実施しましたが、感染は見つかりませんでした。 このような通信が発生した原因として考えられることを教えてください。

  • ルータのログのうち、ポートスキャンを受けた場合のパターンは

    ブリッジ(NTTのSV3をブリッジ化しています) -ルータ(buffalo製) -内部LAN という具合にネットワークを組んでいます。 最近、以下のようなログが残り、疑問を感じています。 (IPは一部伏せてあります) 2006/07/06 00:13:28 NAT TCP connection accepted from 192.168.XX.XX:1138 to 220.110.42.XX:80 (br0) 2006/07/06 00:13:28 NAT TCP connection accepted from 192.168.XX.XX:1137 to 220.110.42.XX:80 (br0) (以下、ポートが1136,1135,1134...と続く) 192.168.XX.XXというのは、自分の使っている、内部LANのPCです。内部のLANのPCから、br0(ブリッジ?)のマシンへコネクションを張るということが解せないのですが、よくあることなのでしょうか。また、br0のIPアドレスも頻繁に違うものになっています。buffalo製ルータのサービス検索機能などでポートスキャンを受けていたりするのでしょうか。なお、LAN内PCはwindows2000で、windowsUpdate状況は最新、ウィルスも検出されません。変わったものといえば唯一、VNCサーバが起動しています。 外部インターネットからの接続を弾く場合は以下のようなログで、これは理解しているつもりです。 2006/07/06 00:13:09 FIREWALL TCP connection denied from 133.205.201.XXX:4055 to 133.205.239.XXX:135 (ppp0) 内側から外へポートスキャンしているような風に見える、上記ログについてなにかご存知の方、ご教授いただければ幸いです。 よろしくお願いします。

  • ルータのログに不可解なものが…

    私の自宅では数年来YAMAHA RTA54iというルータを使っております。 このルータにはログ機能があるのですが、購入以来あまりチェックしていませんでした。 先ほど見てみたら、なにやら不審なログが記録されておりました。ログの読み方はなんとかわかるのですが、それが何を意味するのかが分かりません。 ログの該当箇所を貼り付けます。 2005/01/15 09:53:43: LAN1 Rejected at IN(100002) filter: UDP 192.168.0.2:137 > 211.196.154.169:137 2005/01/15 09:57:55: same message repeated 2 times 192.168.0.2は私のPCのアドレスで、私のPCの137番ポートから身に覚えの無い宛先211.196.154.169の137番ポートへパケットが流れようとしたのを遮断したという記述です。 これと同じ記述が何分かおきにログに記録されていました。ただ、毎回宛先IPは変化しています。 試しに↑の宛先アドレスをIPドメインSEARCH(http://www.mse.co.jp/ip_domain/)で検索してみたのですが、さっぱり見方がわかりませんでした。 リジェクトされているのだから大丈夫かなとは思いましたが、 考えれば考えるほど不安になってきました。 どなたかこのログの意味を教えてください。 よろしくお願いします。

  • ポート138の連続したパケットについて

    先週、自分のパソコンから1秒間に約60回ほど見覚えのないアドレス宛にパケットを投げていたログがルータに残っていました。ポート番号はnetbiosの138番です。これはなんでしょうか?気にしない方が良いのでしょうか?

    • ベストアンサー
    • ADSL
  • YAMAHAルータのフィルタ設定の読み方

    ip pp secure filter in 200 ip filter 100 pass-log 166.166.166.166 192.168.1.100 tcp 8000 * (166.166.166.166のIPアドレスは例です。) このような設定がYAMAHAのルータRT58iの設定の中にあるのですが、読み方がちゃんと理解できません。 この場合は、200番項目をWANからLAN内への通信で適用して、 166.166.166.166のグローバルIPアドレスが送信元アドレスで、送信元アドレスが宛先TCPポート8000への通信をしてきたら、LAN内の192.168.1.100のサーバの全ポートがこれに応えるという理解で良いのでしょうか?

  • NATすり抜け攻撃?

    最近自宅のパソコンに妙なパケットが飛んできます。 118.155.230.72のポート80からローカルの五桁ポート(複数)に向けてパケットが流れてきます。iptablesのESTABLISHED、RELATEDにはかからない上に、 自宅ではNAT付きブロードバンドルータを介してインターネットに接続しているので、 本来ならこの様なパケットがPCに届くはずないのです(実際ローカルのIPアドレスはプライベート)。 もちろんIPマスカレードなどで80番を公開しているわけではありません(再確認済み)。 妙です。もちろんこれらのパケットはDROPしていますが気味が悪いです。 何が起きているのででょうか? NATをすり抜ける攻撃なのでしょうか?

  • この設定で安全なのか不安です。

    BUFFALOのWBR2-G54/Pのルータを使用しています。 ネットワークカメラ設置に伴い、ルータのアドレス変換設定を、 WAN側IPアドレス(AirStatin)TCP80<-->LAN側IPアドレス192.168.**.**(カメラの固定プライベートIP) LAN側ポート80 IPフィルタルール追加 動作:WAN側からのパケットを通過する。 宛先IPアドレス:192.168.**.**(カメラの固定プライベートIP) 送信元IPアドレス:未記入 プロトコル 任意のTCP/UDP:HTTP(TCPポート:80) としてWANからカメラの画像(動画)をみれるようにしています。 昨日はじめて上記の、設定したのですが、 本日早速TCP SYN FLOOD攻撃を受けたがアタックブロックしました。 というルータからのポップアップメッセージが出てきました。 セキュリティソフトはNorton Internet Securityを入れファイアウォール もONにしているのですが、ネットワークにあまり詳しくないため 心配です。 80番ポートを解放するとTCP SYN FLOOD攻撃というものを受けやすくな るのでしょうか? ご存知の方。宜しくお願いします。