• ベストアンサー

Macの簡易ファイヤーウォールのログの読み方

Macの簡易FWのログの記録のされ方の違いについて教えて下さい。 1. ipfw: 12190 Deny TCP 220.221.139.***:1546 220.221.33.***:135 in via ppp0 2. ipfw: Stealth Mode connection attempt to UDP 220.221.33.***:137 from 83.16.82.**:60685 1と2はどのように違うのでしょうか? やっている方から見た場合です。相手はどのような事をしているのでしょうか?(例えば1はポートスキャンをしている、2は相手のPCがウィルスに感染している等) このように記録のされ方が違うのは何に起因するのか教えて下さい。

  • Mac
  • 回答数6
  • ありがとう数4

質問者が選んだベストアンサー

  • ベストアンサー
  • kumaman
  • ベストアンサー率51% (147/285)
回答No.3

こんばんは。 分かる範囲で回答出来ればと思いましたが、私はMac使いではありませんので 間違いでしたらどうぞご容赦下さい。 1.は 220.221.139.*** (Port:1546) が ppp0 を介して 220.221.33.*** (Port:135) へのアクセスを試みています。 2.は 83.16.82.** (Port:60685) が 220.221.33.*** (Port:137) へのアクセスを試みましたが、 お使いのMacがステルスモードで動作しているので、これに対する返答は しなかったという意味だと思います。 詳細は割愛しますが、TCPの135番やUDPの137番は侵入口として非常によく狙われるポートです。 実際に侵入されたかどうかはここから判断出来かねますが、アクセス元のIPに 見覚えが無ければ相手が不正侵入を試みたものと判断して良いでしょう。 気になったのですが、このMacはもしかするとルータを使わないで直接 インターネットに接続されていませんか? (根拠は 1.で Mac が ppp 接続していることと、1.と2.でグローバル  IPからアクセスされていることです) 適切に設定されたルータは外部からの不正侵入を大幅に減らしてくれます。 もし導入されていないようなら5,000円程度のもので構いませんので、 是非検討して下さい。

sable78
質問者

補足

 早々回答どうもありがとうございます。自分の勘違いかもしれませんがここにログインするためのパスワードが変わっていて何度も試したり、自分の記憶を思い起こしてみたり、最終的にパスワードを取り直したので遅くなりました。  1も2も侵入しようとアクセスしているけれど、No.2さんがおっしゃるようにボット化したPCによるものかもしれないわけですよね。 どちらかは、ボット化したPCにはできなくて、明らかにPCの持ち主本人が故意に侵入を試みているという決定的な証拠にはならないのでしょうか?  ルータの件以前から考えていたのですが、今までの経緯を考えると狙い打ちされていた場合、ルータをいれてもさらに手口が功名化するだけで根本的な解決にはならないのではないかと思っています。当面の攻撃には対処できるかもしれませんが、また、私が購入したルータを分析してセキュリティホールみたいなところをつてくるかもしれないですし。それで他に方法はないものかと思案中です。  

その他の回答 (5)

  • altosax
  • ベストアンサー率56% (473/830)
回答No.6

クラッキング対策ファイナルガイド http://www.seshop.com/detail.asp?pid=16 今はずいぶん安く買えます。 http://www.amazon.co.jp/exec/obidos/ASIN/4881357328/250-1999465-9697061 その第二版の、 Linux 版 クラッカー迎撃完全ガイド レビュー http://www.linux.or.jp/bookreview/BR34.html 私の場合はこの二冊を読んだことで、かなり実り高い勉強ができました。 (とはいえまだまだなんですが) 将来とっぴょうしも無いテクニックが現れないうちは、基本的な侵入と防御の王道はこれらの本でだいたいわかった気になれました。 sable78 さんの場合はもうすでにかなりわかっていらっしゃる方ですので、ネットクラフトのチェックでこのサーバーはおかしい、と気付いた時点で、すぐにサーバー管理者へ連絡してあげるのがよいのではないでしょうか。

sable78
質問者

お礼

再度、どうもありがとうございます。 いや、私PCの分野、ど素人です。本で読んだり、ここのサイトや他のサイトでの善意の皆さんに教えてもらって必死に勉強中です。 でも、どう考えてもDNSサーバからのステルスモードへの接続は恐いですよね。何がどうなっているのか本当に恐いです。 アドバイスに従って後日また別カテゴリーに投稿してみます。 本当に何度もありがとうございました!

  • altosax
  • ベストアンサー率56% (473/830)
回答No.5

>わかっているものについては全部サービス拒否しています あれあれ、事前にちゃんとご注意されていたんですね! にもかかわらずUDP137番に接続試行が実施されたのは確かに不思議ですよね!! 137番ポートはウエルノウンポートなので、黙っていたらNetBIOSになりますが、 もしかするとsable78 さんが不正侵入を拒否するために他のサービスのポートを 知らず知らず137に変更設定した…とかがないか、自分の設定の詳細をチェック してみないと気持ち悪そうですね。 私もOSXのユーザーではないので、「簡易ファイヤーウォール専用書式?」の 読み方についてはよくわからない状態です… 一番注意を要するのは、Attempt to の解釈が、ポートが開いているから接続 試行の結果確実に侵入成功しているのか、ポートスキャンでノックだけされた ことをAttempt to と表示するのか?、その辺ですよね… ヘルプに読み方の詳細が載っていませんか? 私個人的には、ステルスモードにしているのにばれてしまった、というのが 何の意味なのか自分の受取りが間違っているのかわからなくて怖いですので ちょっとよく勉強したいと思います。 (私もマックをはじめとしてセキュリティも勉強中の身の上で生半可な知識 しかありませんのですみません…) >もしそうであるなら、大変なことでじゃないでしょうか。 >それとも、そんなことはよくあることなんでしょうか? そうですねえ、去年かおととしに静岡新聞社などのWindowsサーバーが乗っ 取られてしまったのはまだ記憶に新しいですよね。 http://uptime.netcraft.com/ ネットクラフトのサービスで、調べたいサーバーのIPアドレスを入れると、 何の種類のサーバーなのかが簡単にわかりますので試してみてください。 この話題は、ここのカテゴリーでは早々に打留めになされて、「コンピューター (技術者向け)>ネットワークセキュリティ」のカテゴリーで再投稿されるのが 一番よろしいかと思います。

sable78
質問者

お礼

どうもありがとうございます。 >他のサービスのポートを知らず知らず137に変更設定した…とかがないか、自分の設定の詳細をチェックしてみないと 他のサービスポートを137に変更設定とか一切していないです。基本的なサイト閲覧しかしていないですから。一人なのでファイル共有とか絶対ないですし。 >ステルスモードにしているのにばれてしまった 私もなぜステルスモードがこんなに簡単に接続されそうになるのかその仕組みを調べているのですが。 飛行機のステルスって敵のレーダーに探知されないから安全なはずですよね。まぁここでは飛行機ではないですけど、、、。 いろいろどうもありがとうございました。

  • kumaman
  • ベストアンサー率51% (147/285)
回答No.4

No.3です。 すみません、見落としていました。1. は "Deny" とありますね。 Macは相手の接続要求を拒否しているのでこのタイミングで侵入されていることは ありません。 No.2 で侵入されたか判断出来かねると申し上げてしまいましたが、 訂正させて下さい。失礼致しました。。

sable78
質問者

お礼

 いえ、いえ、善意で回答して下さった中に多少のいい間違いがあったとしても全然平気です。  困っている人を助けようとして下さった気持ちの方がとてもうれしいです。善意でして下さった行為に間違いがあったなんて怒る人いませんよ(たまに変な人いるかもしれませんが、私は違いますので)  ご丁寧にありがとうございます。

  • altosax
  • ベストアンサー率56% (473/830)
回答No.2

こんにちわ なかなかレスがつかないですね^^; 私はまだOSXじゃなくて古いOS9派なのですが、油断できないWindows98がLANに 混じっているので、自分のルータ−のログを時々点検して排除と受け入れの状況を 見たり、 産業経済省の「コンピューターウイルス/不正アクセスの届け出状況」 http://www.meti.go.jp/press/index.html ↑関係ない情報がたくさんありますが、月に一回ずつ、ウイルス/不正アクセス発 表が入りますので見落とせない信用のおける貴重情報です。 情報処理推進機構の不正アクセス情報 http://www.ipa.go.jp/security/index.html ここは専門なんですが、ちょっとウインドウズの情報に片寄り過ぎている感じも なきにしもあらずですが、不正アクセスの一般論を知るのに助かるサイトです。 ・・・などを眺めるようにしています。 1. ipfw: 12190 Deny TCP 220.221.139.***:1546 220.221.33.***:135 in via ppp0 OSXの簡易ファイヤーウォールに特化したことは私はわからないのですが、一般論 として、質問者さんの1546ポート(セキュリティ系サービスabbaccurayのポート だそうですが、そもそもabbaccurayって何なんだか私も誰かに補足していただける と嬉しいです) http://www.fortigate.jp/portNo/port1500-1699/index.html に、モデムのppp接続でやってきた訪問者が却下された記録ではないかと思います。 2. ipfw: Stealth Mode connection attempt to UDP 220.221.33.***:137 from 83.16.82.**:60685 これはステルスモード(他人に知られないモード)になっているはずの質問者さん が、なぜか83.16.82.**の60685という誰も使わないポートを利用した人物かロボット 動作のマルウエアから、質問者さんの137ポート(NetBEUIが使うポート)をノックさ れたことを示しているんだと思います。 (お使いのMacで、Windowsの旧式のNetBEUI,NetBIOSを使うサービスが動作してい るんでしょうか?) ノックされて侵入?したけれど、そこに撹乱しようとした目的物がなかったので、引 き揚げたかもしれません。 83.16.82.**:60685のアクセス記録がたくさんあるようでしたら、こいつは拒絶のリスト に入れてしまったほうがいいかもしれないですね。 というか、ステルスモードって、もう信用できない手法になってしまったんでしょうか… ポートはウエルノウンポート以外に、最近の新しいサービスでどんどん埋まってきて いるので、このような資料(これは草の根資料なので絶対の信頼ではありませんが)など を適宜調べてみて、何の目的なのかチェック推理してみてください。 http://www.geocities.co.jp/SiliconValley-Cupertino/5128/500_compu/portlist.html 私のログは、ほとんどが、チャット目的に1026と1027のポートを膨大にノックされて いる記録が延々と続いています。 チャットを実際にやっていたら相当うんざりしそうです^^ でも、時々何の目的なのかポート番号では判別がわからない執拗なノックがあったりし てちょっと警戒します。 ところが、冒頭の「コンピューターウイルス/不正アクセスの届け出状況」に載っていて も、「何を目的にした不正アクセスか不明」と報告されていたりして無気味です…。 定期的にこれらの情報を眺めてみるようにしてみてください。

sable78
質問者

補足

 なかなかレスつかなかったのに、こんなにたくさん、詳しく教えて頂き感激です。今使っているMacではWindows系のサービスはもとより、ファイル共有、web共有、わかっているものについては全部サービス拒否しています。(自分で把握していないサービスがあったら、そこは自分のしらないうちにサービス展開中になっているかもしれませんが)  頂いた回答によると1も2も攻撃者が自ら行っているのではなく、PCがボット化して自分の意志に反してそのような事をおこなっているかもしれないわけですね。 でも、プロバイダーのDNSサーバがボット化していたら、それってプロバイダーのDNSがウィルスに感染しているかもしれないっていうことですよね。もしそうであるなら、大変なことでじゃないでしょうか。それとも、そんなことはよくあることなんでしょうか?

  • asuca
  • ベストアンサー率47% (11786/24626)
回答No.1

1は単純に220.221.139.***:1546からのアタックを拒否したことを示して2はステルスモードになっているが進入を試みられたことを示しています。

sable78
質問者

お礼

どうもありがとうございます。

  1. カテゴリ
  2. パソコン・スマートフォン
  3. Mac

関連するQ&A

  • Macの簡易FWのステルスモード

    OSXの簡易FWに「ステルスモード」というものがあり、これを使用しているにも関わらず下記のようなログの記録があります。 ipfw: Stealth Mode connection attempt to TCP 58.89.69.***:49644 from 202.221.31.***:80 ipfw: Stealth Mode connection attempt to TCP 58.89.69.***:49644 from 202.221.31.***:80 ipfw: Stealth Mode connection attempt to TCP 58.89.69.***:49644 from 202.221.31.***:80 ipfw: Stealth Mode connection attempt to TCP 58.89.69.***:49644 from 202.221.31.***:80 ipfw: Stealth Mode connection attempt to TCP 58.89.69.***:49644 from 202.221.31.***:80 ipfw: Stealth Mode connection attempt to TCP 58.89.69.***:49644 from 202.221.31.***:80 ipfw: Stealth Mode connection attempt to TCP 58.89.69.***:49644 from 202.221.31.***:80 ipfw: Stealth Mode connection attempt to TCP 58.89.69.***:49644 from 202.221.31.***:80 ステルスモードだから見えないはずなのになぜ?と素人は思うのですが、これは狙いを定めてアクセスしてきているのではなく、子供が虫を捕る時にがむしゃらに網を振り回して、その網にたまたま入ってしまった虫みたいなものなのでしょうか? それともステルスモードとは言え、高度な技を使えば見えるのでしょうか?

    • ベストアンサー
    • Mac
  • アクセスログで不正アクセスを解明するには?

    不審な動きがあったので、不正アクセスを疑いログを調べました。 パソコンはMacです。コンソールにて調べています。 でも、コンソールの解読方法がよく分かりません。 Firewallのログにてよく分からないものが出てきました。 Stealth Mode connection attempt to UDP 192.***.0.5:64750 from 192.***.0.1:** Stealth Mode connection attempt to UDP 192.***.0.5:65419 from 192.***.0.1:** Connection attempt to UDP 240f:0006:9966:0001:803e:4758:dff0:4322:62743 from 2001:0268:fd07:0004::0 とあります。 UDPとTCPの違いは何でしょうか? また、異なる様々なIPアドレスがある場合は不正アクセスではないのでしょうか?どのような場合が不正アクセスに該当するのでしょうか?

    • ベストアンサー
    • Mac
  • ファイヤウォールがブロックする正常なサイトのポート80番からの通信

    ポート80番からのアクセスについてお尋ねします。 下記のようなログがファイヤーウォールにザザザーっと大量に記録されます。1秒間に10回くらいの割合で。最初はポート80番を使った不正アクセスと思い、どこからのアクセスなのか調べてみると自分が見に行っている(見た)サイトのIPアドレスで、ちゃんとした企業のHP等です。 また、自分のファイアーウォールがブロックしていると言ってもそのサイト自体は見えているので、要するに不要な通信だと思うのですが原因は何でしょうか? 記録されているのはMacの簡易ファイヤーウォールです。 Macの簡易ファイヤーウォールが何を基準に正常、異常な通信と判断しているのかわからないのですが、この辺りにお詳しい方おられましたら宜しくお願い致します。 Jul 19 00:56:58 ipfw: Stealth Mode connection attempt to TCP ***.***.***.***:49397 from 202.***.244.***:80

  • 自分のIPアドレスではないログの記録

    自宅外の公共施設からプロクシ経由で接続していると ファイヤーウォールのログに以下のようなログが残っていました。 35000 Deny UDP 10.100.22.27:138 10.100.22.255:138 in via en0 35000 Deny UDP 10.100.22.27:138 10.100.22.255:138 in via en0 35000 Deny UDP 10.100.22.27:138 10.100.22.255:138 in via en0 35000 Deny UDP 10.100.22.27:138 10.100.22.255:138 in via en0 このログの見方は10.100.22.255のポート138へ10.100.22.27のポート138からUDP通信があったけれど拒否しましたという意味だと思うのですが違うのでしょうか? 不思議なのはこの時の私のIPアドレスは似ていますが10.100.22.255ではないのですがどうしてこのIPのログが自分のPCに記録されるのでしょうか?それともこのログの解釈の仕方は違うのでしょうか?

  • ファイヤーウォール ポート確認

    ファイヤーウォールのポート状況を確認するのにtelnetを使用する方法があると聞きましたが、これはTCPポートのみ有効でしょうか?UDPポートも確認できますか? 例えば相手192.168.1.1のサーバで3001ポート設定が開かれているか確認するときtelnet 192.168.1.1 3001でつながる場合はTCPでしょうか?UDPでしょうか?それともTCP,UDP共通でしょうか?

  • 自分のPCがDNSサーバからの通信をブロックしている

    Macの簡易FWのログです。 Stealth Mode connection attempt to UDP 58.95.230.***:49157 from 220.220.248.***:53 どうして自分の利用プロバイダーのDNSサーバからの通信を自分のPCのファイヤーウォールがブロックしているのでしょうか? 特に何も設定していないのですが、、 (ファイヤーウォール機能を「開始」にしているだけです)

  • 不審な通信のログ

    ルーターマシンに FreeBSD 8.1-RELEASE を使用しています。ファイヤーウォールを設定しなおしたら、次のような通信の拒否のログが残っています。。 Jul 16 02:39:10 shonan kernel: ipfw: 29300 Deny UDP 192.168.1.3:137 38.108.104.170:137 in via bge0 家庭内の 192.168.1.3 のマシンの 137 番ポートから 38.103.104.170の137番ポートに UDPで通信を試みています。192.168.1.3 (Windows 7) のマシンで netstat -nb して通信しようとしているプログラムを特定しようとしているのですが、わかりません。この通信を止めるにはどうしたらいいでしょうか。ご教示頂ければ幸いです。よろしくお願いします。

  • 桁数の多いIPアドレス

    ファイヤーウォールのログで見た事のないものがあったので教えて下さい。 通常ログに記録されるIPアドレスは ***.***.***.*** の類いですが下記のような異様に桁数の多いIPアドレス(でしょうか?)はどういう意味を持つものなのでしょうか? Apr 22 21:15:14 ipfw: 20000 Deny ICMP:8.0 82.138.209.82 218.224.163.114 in via ppp0

  • ポート番号

    ファイアーウォールで以下のポート番号を解放したいのですが、初めてやるので、どれが名前でどれが番号かわかりません。回答の方、よろしくお願いします。 専用ロビーサーバー(GameSpy)のためのポート: 6667 (IRC) 80 (HTTP) 3783 (Voice Chat Port) 27900 (Master Server UDP Heartbeat) 28900 (Master Server List Request) 29900 (GP Connection Manager) 29901 (GP Search Manager) 13139 (Custom UDP Pings) DirectPlayのためのポート: Initial TCP Connection 47624 Outbound 47624 Inbound Inbound TCP Connections 2300-2400 2300-2400, Outbound TCP Connections 2300-2400 2300-2400 Inbound UDP Connections 2300-2400 2300-2400, Outbound UDP Connections 2300- 2400 2300-2400

  • WHR-G301のファイヤーウォールの設定

    WHR-G301なんですが、ファイヤーウォールが解除出来ません。 設定画面でセキュリティーの項の 『ファイヤーウォール』の3つの有効をチェック外して解除 『IPフィルター』の項で、WAN→LAN、LAN→WAN共に全プロトコルを全ポートに通過設定。 『VPNパススルー』の項で、IPv6、PPPoE、PPTPパススルー全て『使用する』に。 この状態で、外部の端末からPPTP機能を使おうとスマホからアクセスしてみたところ、 ステータスのログ情報に『FIREWALL』のログが乗り、アクセス出来ません。 UDP connection denied from * to * TCP connection denied from * to * のように乗ってきます。 その他にも色々やった後にログを見ると『FIREWALL』のログが出てます。 FIREWALLを切ってセキュリティずるずるの全通過状態にしたいのですが、 どうしたらいいのでしょうか…。このルータはFIREWALL切れない仕様なのでしょうか。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する