• ベストアンサー
  • 困ってます

ルータのログのうち、ポートスキャンを受けた場合のパターンは

ブリッジ(NTTのSV3をブリッジ化しています) -ルータ(buffalo製) -内部LAN という具合にネットワークを組んでいます。 最近、以下のようなログが残り、疑問を感じています。 (IPは一部伏せてあります) 2006/07/06 00:13:28 NAT TCP connection accepted from 192.168.XX.XX:1138 to 220.110.42.XX:80 (br0) 2006/07/06 00:13:28 NAT TCP connection accepted from 192.168.XX.XX:1137 to 220.110.42.XX:80 (br0) (以下、ポートが1136,1135,1134...と続く) 192.168.XX.XXというのは、自分の使っている、内部LANのPCです。内部のLANのPCから、br0(ブリッジ?)のマシンへコネクションを張るということが解せないのですが、よくあることなのでしょうか。また、br0のIPアドレスも頻繁に違うものになっています。buffalo製ルータのサービス検索機能などでポートスキャンを受けていたりするのでしょうか。なお、LAN内PCはwindows2000で、windowsUpdate状況は最新、ウィルスも検出されません。変わったものといえば唯一、VNCサーバが起動しています。 外部インターネットからの接続を弾く場合は以下のようなログで、これは理解しているつもりです。 2006/07/06 00:13:09 FIREWALL TCP connection denied from 133.205.201.XXX:4055 to 133.205.239.XXX:135 (ppp0) 内側から外へポートスキャンしているような風に見える、上記ログについてなにかご存知の方、ご教授いただければ幸いです。 よろしくお願いします。

共感・応援の気持ちを伝えよう!

質問者が選んだベストアンサー

  • ベストアンサー
  • 回答No.1
  • rinkun
  • ベストアンサー率44% (706/1571)

> 2006/07/06 00:13:28 NAT TCP connection accepted from 192.168.XX.XX:1138 to 220.110.42.XX:80 (br0) これは = あなたのマシン(192.168.XX.XX)からインターネット上のサイト(220.110.42.XX) = へのTCPコネクション要求(ポート80なので多分HTTPリクエスト) = を受け付けました。 というログですね。 TCPコネクションではサーバ側ポートは固定(HTTPでは通常80)ですが、クライアント側はセッションごとに空いている番号を(通常はOSが適当に選んで)使います。これが連番になるのは特に変でもありません。 br0はブリッジ自身かルータからブリッジへの回線に付けられた名前か、あるいは転送ルールに付けられた名前だと思いますけど、よく分かりません。

共感・感謝の気持ちを伝えよう!

質問者からのお礼

 先ほど、ご説明いただいた状況通りなのを確認しました。TCPコネクションの確立から、ルータのログに反映されるまでタイムラグがあるので何もPCに対する操作をしていないのに勝手にコネクションが張られたような錯覚をしていました。ブラウザでリクエストしたURLのホスト部にpingしたところ、ログに残っているIPと合致しました。  まだまだ勉強が足りないようです。分かりやすいご説明、ありがとうございました。

関連するQ&A

  • ルーターのログに見知らぬIPアドレスのポート間接続

    ルータのログを見ると、自分のWANでもLANのものでもない、見知らぬIPアドレスのポート間の接続が、フィルターに引っかかっていました。 FILTER TCP connection denied from 59.106.109.161:3911 to 59.106.109.161:80 Whoisで調べてみると、SAKURA Internet Inc.で、ALLOCATED PORTABLEとなっているのですが、無線接続の信号を誤受信したのでしょうか。よろしくお願いいたします。

  • ポートスキャン(PortScan)されてる・・・

    こんにちは、いつもお世話になってます。 最近、2日に1回くらい誰かにポートスキャンされていてファイヤーウォールのログに記録が残ります。これは自分がクラックの前段階としてターゲットにされていると考えていいのでしょうか? 実は最近、Web銀行を利用し始めた所でセキュリティの面でとても不安です。あと自分はYahooBBに入っているのですが、ここの付属で付いてきたルータを使っていれば特に脅威はないんでしょうか? よろしくおねがいしますm(__)m 環境は、 WindowsXP YahooBB12MB Sygate Personal Firewall ファイアーウォールのメッセージは、 Somebody is scanning your computer. Your computer's TCP ports: xxx, xxx, xxx, xxx and xxx have been scanned from 219.156.xx.xxx. のようなものが出ます。

  • ルーターとポート開放について

    AOC(age of empaire)というゲームをしています。 マルチプレイをしたいのですが、 ポートの開放がよくわかりません。 いろいろなサイトをみて、下記を設定しなきゃいけないようなのですが、いまいち理解できません。 yahooのトリオ3Gplusモデムを使用していて、 ポートの転送のセットアップメニューまでは見れるのですが、 そこをどう設定すればいいかがわかりません。 セットアップメニューにあるのは以下のものです。 ---ルーターセットアップ画面) プロトコル(3つから選択式)  TCP  UDP  TCP/UDP WAN側ポート番号 (Xは任入力ボックス(桁は正しくない)) XXX-XXX LAN側ポート番号 (Xは任入力ボックス(桁は正しくない)) XXX-XXX 転送先IPアドレス(Xは任入力ボックス(桁は正しくない)) XXX-XXX-XXX-XXX -------------- --サイトで調べた開放するポート--- DirectPlayで使うポートが UDP:2300-2400 TCP:2300-2400、 DirectPlayでホストをするときに使うポートが TCP:47624 AoCで使うポートは UDP:28800-28830 --------------- よろしくお願いします。

  • BINDのログ?で

    Dec 14 14:15:38 host01 named[178]: [ID 295310 daemon.error] ns_resp: TCP truncated: "hoge.fugofugo.net" IN A fro m [xxx.xxx.xxx.xxx].53 Dec 14 14:16:06 host01 named[178]: [ID 295310 daemon.notice] denied update from [xx.xx.xx.xx].60186 for "hogefuga.co.jp" IN 上記のようなログが吐かれていたのですが、どういう意味なのかさっぱりわかりません。 特に1行目のものはエラーとなっているのでちょっと気になっています。 どうか詳しい方、ご教授願えませんでしょうか。

  • ルータに変なアドレスが続いた

    ルータのログを見ると、 FIREWALL TCP connection denied from 220.105.94.24:2984 to 210.54.202.18:8801(ppp0) が300個ぐらい連続しています。 これは不正アクセスでしょうか? 相手のポート番号は2970~2984ぐらいで変わり、当方のポート番号は8801で一定です。 これに続いて、 FIREWALL TCP connection denied from 220.110.223.10:58622 to 210.54.202.18:8801(ppp0) が上記と交互に交じりながら続きます。相手のポート番号は38525になっていたりします。当方のポート番号は8801で一定です (当方のIPアドレスはウソの数字にしています)。 これは何??  マカフィーで追跡すると、上の相手のIPアドレスはocnがプロバイダで、下の相手のIPアドレスは東京の集合住宅むけプロバイダ@Georgeでした。

  • netログについて

    NETの質問ですが、エアーステーションの無線ルータを接続していますが、ログに以下のファイアーウォールのログが大量に出てます。接続し直しでIPを変更しても状況は変わりません。DDOS攻撃でしょうか? 日付時刻 種類 ログ内容 2014/11/15 11:49:10 FIREWALL UDP connection denied from 61.25.16.49:67 to 255.255.255.255:68 (eth0) 2014/11/15 11:49:09 FIREWALL UDP connection denied from 61.25.16.49:67 to 255.255.255.255:68 (eth0) 2014/11/15 11:49:09 FIREWALL UDP connection denied from 61.25.16.49:67 to 255.255.255.255:68 (eth0) 2014/11/15 11:49:08 FIREWALL UDP connection denied from 61.25.16.49:67 to 255.255.255.255:68 (eth0) 2014/11/15 11:49:07 FIREWALL UDP connection denied from 61.25.16.49:67 to 255.255.255.255:68 (eth0) すいませんが、ご指導お願いします。 ※OKWaveより補足:「J:COMのサービス」についての質問です。

  • Atermのログについて

    ADSL50M(e)で、ルータAtermWD701CV(K)を使用してインターネット接続しております。 気になるログがあったので教えて欲しいのですが、『NAT TX-INFO TCP Synchronize Flag OFF ~』というログが頻繁に出ていて困っています。 インターネット等で調べてみたら、外部からポートスキャンされている可能性のあるログだということがわかったのですが、わたしの場合、送信元のIPアドレスの部分が、ローカルIPつまり内側から送信されているようなのです。ちなみにそのローカルIPの機器は無線のルータです。 タイミングとしては、Atermを再起動したり、IPアドレスを手動で再取得した際に、一連のPPPの処理が終わったあと、必ずこのログが記録されます。 以下のようなログが20個ぐらい並びます。 2007/05/28 06:16:12 NAT TX-INFO TCP Synchronize Flag OFF : TCP 192.168.0.30 : 1441 > 68.90.63.92 : 38829 (IP-PORT=6) 2007/05/28 06:16:14 NAT TX-INFO TCP Synchronize Flag OFF : TCP 192.168.0.30 : 1455 > 71.76.203.153 : 6348 (IP-PORT=6) 2007/05/28 06:16:15 NAT TX-INFO TCP Synchronize Flag OFF : TCP 192.168.0.30 : 1449 > 201.95.43.38 : 43703 (IP-PORT=6) 詳細をご存知の方、ご教授願います。

  • NXSM-4BRUでポート開放が出来ない

    Minecraftのサーバーを建てようと思い、早速開放君でポート開放してサーバーを起動させても http://www.akakagemaru.info/port/tcpport.php ではポートが開かれていないと怒られ、設定がおかしいのかなと思い http://www.akakagemaru.info/port/nxsm-4bru.html を見たのですがいまいち設定がわかりません。どうすればいいですか? ルーターの状況 NXSM-4BRU V6.0.0.0 リンク設定 LAN1ポート 自動 LAN2ポート 自動 WANポート 自動 LAN側IPアドレス設定 インタフェース名 LAN IPアドレス 192.168.1.1 サブネットマスク 24bit PPPoE設定 WAN1 有効 XXXXXXXX@one.ocn.ne.jp (Xは伏せ字) WAN2 有効 登録なし WAN3 有効 登録なし WAN4 有効 登録なし WAN5 有効 登録なし IPoE設定 StaticIP 無効 IP固定設定 DHCP 無効 IP自動取得 UPnP設定 UPnP機能(IGD) WAN1 UPnP機能(CP) 無効 ブリッジ設定 PPPoEブリッジ接続 しない IPv6ブリッジ接続 しない NAT設定 WAN1 端末型変換 WAN2 端末型変換 WAN3 端末型変換 WAN4 端末型変換 WAN5 端末型変換 StaticIP しない DHCP しない 静的NAPT設定 1 TCP 80 80 192.168. 1. 50 2 TCP 25565 25565 192.168. 1. 50 固定割り付けテーブル 1 192.168.1.50 XX:XX:XX:XX:XX:XX

  • ポートスキャンされた。大丈夫?

    FIREWALL のログに珍しく"Severity :High"の記録がありました。 以下その際の記録です。 Date/Time :2007-03-10 10:54:37Severity :HighReporter :Network MonitorDescription: UDP Port ScanAttacker: 218.176.xxx.xx Ports: 43526, 31238, 31494, 32006, 32774, 33286, 33798, 34310, 34822, 35334, 35846, 36358, 36870, 37382, 37894, 38406, 38918, 39430, 39942, 40454, 40966, 41478, 41990, 42246, 43014, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0 The attacker has been temporarily blocked このハッカー?の残したIPアドレスは、218.176.xxx.xx で、 調べたところYAHOO BBのDNSサーバとまでわかりました。 (IDアドレスははっきりわかっています。ここでは伏せさせて 頂きました) 気味悪いことこの上もありません。 こうした場合、yahooに調査依頼をした方が良いのでしょうか。

  • アクセスログで不正アクセスを解明するには?

    不審な動きがあったので、不正アクセスを疑いログを調べました。 パソコンはMacです。コンソールにて調べています。 でも、コンソールの解読方法がよく分かりません。 Firewallのログにてよく分からないものが出てきました。 Stealth Mode connection attempt to UDP 192.***.0.5:64750 from 192.***.0.1:** Stealth Mode connection attempt to UDP 192.***.0.5:65419 from 192.***.0.1:** Connection attempt to UDP 240f:0006:9966:0001:803e:4758:dff0:4322:62743 from 2001:0268:fd07:0004::0 とあります。 UDPとTCPの違いは何でしょうか? また、異なる様々なIPアドレスがある場合は不正アクセスではないのでしょうか?どのような場合が不正アクセスに該当するのでしょうか?

    • ベストアンサー
    • Mac