ルーターとXPファイアーウォールのログについて

前へ 次へ
このQ&Aのポイント
  • ルーターとXPファイアーウォールのログについて
  • ルーターとXPファイアーウォールのログの内容は不正アクセスの可能性があるのか
  • 不正アクセスの場合、パソコンに進入されていた場合の対策方法はあるか
回答を見る
  • ベストアンサー

ルーターと、XPファィアーウォールのログについて

はじめまして。 TA(ルータータイプ)と電話は1階でつないで、パソコンは2階にあるので無線でつないでいます。 OSはXPで、セキュリティーソフトはシマンテックのアンチウイルス、パソコンは1台のみです。 フレッツISDNで接続しています。 先日ルーターのログを確認した所、1日100件ものアクセスがあるのに驚いてしまい、XPのファイアーウォールを設定しました。 そこで、今度はXPのファイアーウォールのログを見た所、ダーッと日付→時間→OPEN或いはCLOSE→TCP或いはUDP→ローカルIP→xxx.xxx.xx.xx等のIPが記載されている中で、所々日付→時間→DROP→TCP或いはUDP、そして先にxxx.xxx.xx.xx等のIP→ルーカルIP→1500(別の数字の時もあります)等の数字→AP(Aや、Rの時もあります)というアルファベット→10桁の数字→さらに10桁の数字(ここは”0”となっている時もあります)→5桁の数字(ここも”0”となっている時もあります)が記載されていました。 また、数箇所日付→時間→INFO-EVENTS-LOST - - - - - - - - - - - - 3(他の数字の時もあります)という表示もありました。 このx後者のxx.xxx.xx.xx等IPが先に記載されている所は、ルーターを超えて不正アクセスされたという事なのでしょうか? 不正アクセスならば、XPのファイアーウォールを設定してまだ数日でこれだけのアクセスがあるのに、設定前は無防備状態でかなりのアクセスがあったかもしれません。 もし、既にパソコンに進入されていたとしたら、それを確認&排除する方法はあるのでしょうか? また、ルーターに1日に100件という数は、平均よりかなり多いものなのでしょうか。 パソコンやルーターを乗っとられてしまうのでは…と心配です。 何かご存知の方がいらっしゃいましたら、どうか教えて下さい…! 長くなって申し訳ありませんでした。

質問者が選んだベストアンサー

  • ベストアンサー
回答No.2

>ええと、前者のパターンの1つは >2002-11-30 11:25:38 CLOSE TCP ローカルIP 64.71.155.34 3188 80 - - - - - - - - これはローカルIPのポート3188から64.71.155.34の ポート80へアクセスしていたのをCLOSEしたという 意味ですが、 >後者(不正アクセスかもしれないと記載した方です)は、 >2002-11-30 08:15:38 DROP TCP 64.71.155.34 ローカルIP 80 3188 1500 AP 1949212846 808063093 32120 - - - これは、64.71.155.34のポート80からローカルIPの 3188への通信をDROPしたという意味です。 何か気が付きませんか?そうです。相手のIPとポート 暗号が、最初とのログと同じでしょ? つまり、あなたが不正アクセスではと心配した相手に あなた自身がアクセスしていたわけです。 不正アクセスでは?と心配された例の残りも、 210.81.151.234 -> yahooのweb mail関係? 210.153.89.190 -> geocities 202.229.44.8 -> goo ですし、それも全てポート80からの通信です。 ポート80というのは、http,つまり、HomePageを見る 場合に使われるサーバ側のポートですから、gooや geocitiesのWebサーバがあなたに不正アクセスしてる ことになります。そうした可能性もゼロでは有りませ んが、それよりも、これらのログは、おそらく、あな たがgoo等をIEで閲覧した後、IEを終了するなどして webサイトとの通信を閉じた後に、遅れて届いたWebサ イトからの通信を遮断したことを示すログだと思われ ます。

koneko6
質問者

お礼

ご回答ありがとうございます! お礼が遅くなって申し訳ありません。 >つまり、あなたが不正アクセスではと心配した相手に あなた自身がアクセスしていたわけです。 なるほど…! 確かにそうですね^^;。 教えて頂いたサイトも、行った事のある所ばかりでした。 不正アクセスかなと、とても危惧していたので、honeorizonさんのお言葉を見て安心しました…! 本当にありがとうございました。

その他の回答 (1)

回答No.1

>ルーターに1日に100件という数は、平均よりかなり多いものなのでしょうか。 普通でしょう。 それよりも、ログの中身を、あれだけテキトーに記述され たんじゃ、何も分かりませんよ。伏せ字にするのは、自分 のグローバルIPぐらいにして、それ以外は「そのまま」 出さないと、誰も何も判断出来ないでしょう。

koneko6
質問者

お礼

ご回答ありがとうございます! 100件は普通なのですね。 はじめ、数に驚いてしまったのですが、勉強になりました。 それと誤字が多くてすみません! この場をお借りしてお詫び致します…!

koneko6
質問者

補足

情報がたりなくて申し訳ありません…! 不正アクセスなのかもまだ分からず、何をそのまま書いたらいいのか、いけないのか判断できずにいました。 ええと、前者のパターンの1つは 2002-11-30 11:25:38 CLOSE TCP ローカルIP 64.71.155.34 3188 80 - - - - - - - - というもので、後者(不正アクセスかもしれないと記載した方です)は、 2002-11-30 08:15:38 DROP TCP 64.71.155.34 ローカルIP 80 3188 1500 AP 1949212846 808063093 32120 - - - 2002-11-30 11:35:38 DROP TCP 210.81.151.234 ローカルIP 80 4482 40 A 3076358913 3601632629 65535 - - - 2002-12-01 22:015:15 DROP TCP 210.153.89.190 ローカルIP 80 3655 1095 AP 1306414625 571416830 8760 - - - 2002-12-01 22:50:25 DROP TCP 202.229.44.8 ローカルIP 80 3496 40 R 797536875 0 0 - - - 等です。 もし、他にも公開すべき事がありましたら、お手数お掛けして申し訳ありませんが、ご指導下さい…! どうか宜しくお願い致します。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. ネットワーク

関連するQ&A

  • ルータの設定の仕方が解りません。

    CTU┬ルータ1┬サーバ(グローバルIP)    └光電話 ├サーバ(グローバルIP)            ├サーバ(グローバルIP)            └ルータ2┬(VPN)クライアント              ├クライアントPC              └クライアントPC 上記のようにネットワークを構築したいと思っております。 グローバルIPが8つです。(xxx.xxx.xxx.xx1~xxx.xxx.xxx.xx8) ルータ1をPPPoEでCTUに接続し、unnumbered設定。 WAN側は未設定で、ルータ1にデフォルトゲートーウェイとして、xxx.xxx.xxx.xx2を割り振ります。 サーバに(xxx.xxx.xxx.xx3~xxx.xxx.xxx.xx5)を割り振り、 ルータ2のWAN側に(xxx.xxx.xxx.xx6)を割り振り、 LAN側のクライアントPCには、プライベートIPを振りたいと思っております。 但し、クライアントPCのうち1つは、VPNを使って外部からアクセスできるようにしたいのですが、このような構築をする場合、 ルータ2はどのように、設定すれば良いでしょうか? ただ普通にWAN側に(xxx.xxx.xxx.xx6)を振ってDHCPを無効にし、 手動でプライベートIPを振れば、一つだけVPNでアクセスできるものなのでしょうか? いまひとつ、ルータの事が分かっていないので、 宜しくお願い致します。

  • ファイアウォールのログ、UDPについて

    ソースネクストのウイルスセキュリティーを使用しています。 ファイアウォールのログを見ますと、以下のように同じメッセージが永遠に続いています。 ネット上で調べてみましたが、私には理解できませんでした。 これは何を意味しているのでしょうか?またこのままで良いのでしょうか? それとも、何らかの対策(設定)をすべきなのでしょうか?お教え願います。 ユーザー:SYSTEM 方向  :受信 アクセス:拒否 説明  :ルール・規定 プロトコル:UDP(17) 受信元 :XXX.XXX.XXX.XXX リモートIP:XXX.XXX.XX.X 受信ポート:1900 リモートポート:4903、4904、4905~~ と、リモートポート以外は同じで、リモートポートのみ順々に大きくなっていきます。 (表示上では1秒に13回、さらにこれを30秒ごとに永遠に行っているようになっています) この表示が出る(今書き込みしている)PCはOSがXPで、もう1台は98SEで、ルーターを使用しLANを組んでいます。 ルーターの設定に問題があるのでしょうか?それともウイルスセキュリティーの設定に問題があるのでしょうか? どうかお教え願います。

  • ルータのログのうち、ポートスキャンを受けた場合のパターンは

    ブリッジ(NTTのSV3をブリッジ化しています) -ルータ(buffalo製) -内部LAN という具合にネットワークを組んでいます。 最近、以下のようなログが残り、疑問を感じています。 (IPは一部伏せてあります) 2006/07/06 00:13:28 NAT TCP connection accepted from 192.168.XX.XX:1138 to 220.110.42.XX:80 (br0) 2006/07/06 00:13:28 NAT TCP connection accepted from 192.168.XX.XX:1137 to 220.110.42.XX:80 (br0) (以下、ポートが1136,1135,1134...と続く) 192.168.XX.XXというのは、自分の使っている、内部LANのPCです。内部のLANのPCから、br0(ブリッジ?)のマシンへコネクションを張るということが解せないのですが、よくあることなのでしょうか。また、br0のIPアドレスも頻繁に違うものになっています。buffalo製ルータのサービス検索機能などでポートスキャンを受けていたりするのでしょうか。なお、LAN内PCはwindows2000で、windowsUpdate状況は最新、ウィルスも検出されません。変わったものといえば唯一、VNCサーバが起動しています。 外部インターネットからの接続を弾く場合は以下のようなログで、これは理解しているつもりです。 2006/07/06 00:13:09 FIREWALL TCP connection denied from 133.205.201.XXX:4055 to 133.205.239.XXX:135 (ppp0) 内側から外へポートスキャンしているような風に見える、上記ログについてなにかご存知の方、ご教授いただければ幸いです。 よろしくお願いします。

  • ルーターとポート開放について

    AOC(age of empaire)というゲームをしています。 マルチプレイをしたいのですが、 ポートの開放がよくわかりません。 いろいろなサイトをみて、下記を設定しなきゃいけないようなのですが、いまいち理解できません。 yahooのトリオ3Gplusモデムを使用していて、 ポートの転送のセットアップメニューまでは見れるのですが、 そこをどう設定すればいいかがわかりません。 セットアップメニューにあるのは以下のものです。 ---ルーターセットアップ画面) プロトコル(3つから選択式)  TCP  UDP  TCP/UDP WAN側ポート番号 (Xは任入力ボックス(桁は正しくない)) XXX-XXX LAN側ポート番号 (Xは任入力ボックス(桁は正しくない)) XXX-XXX 転送先IPアドレス(Xは任入力ボックス(桁は正しくない)) XXX-XXX-XXX-XXX -------------- --サイトで調べた開放するポート--- DirectPlayで使うポートが UDP:2300-2400 TCP:2300-2400、 DirectPlayでホストをするときに使うポートが TCP:47624 AoCで使うポートは UDP:28800-28830 --------------- よろしくお願いします。

  • 無線LANルータのアクセスログの見方を教えてください

    こんにちは。 今、古い無線LANルータを使用しています。 バッファローのエアステーションWLAR-L11-Lです。 アクセスログを見ていて、知らないIPアドレスが載っていましたので、これはどういうことだろうとあれこれ調べましたが、わかりませんでした。 このように記載されています。 2009年3月4日 01時04分00秒 アドレス変換 60.254.154.74 --> 192.168.3.2 TCPポート:53744 FLAG:0x12 これは、60.254.154.74のアドレスの人が、ポート53744を通って入ってきた、ということなのでしょうか? (パソコンにはウイルスバスターを入れていますので、もし侵入された場合でもファイアーウォールは効いていると思います。) 詳しい方にアドバイスいただければ幸いです。 よろしくお願いします。

  • 【ウイルス?】デスクトップに謎のlog.txtが作成される【駐在ソフト?】

    最近になって気づいたのですが、いつの間にかデスクトップに、謎のlogファイルが作成されるようになっていました。 タイトルは同じで【0724.log】【0724.log.old】の二種類。 消しても消してもマシンを起動するたびに作成され、どうやらどこにインターネットでアクセスしたのかを保存して行っている様子?です。 両方とも内容は同じで 最初に #Version: 1.5 #Software: Microsoft Windows Firewall #Time Format: Local #Fields: date time action protocol src-ip dst-ip src-port dst-port size tcpflags tcpsyn tcpack tcpwin icmptype icmpcode info path と記入があり、それから 日時、TCPのOPEN/CLOSE、IPやポート?を記載して言っている様子です。 EX. 2009-11-14 09:15:21 OPEN TCP 192.168.xx.1 xx.x6x.112.1xx 1xx1 80 - - - - - - - - - 2009-11-14 09:15:41 DROP UDP 192.168.xx.1 x3x.xxx.xxx.25x xx8x xxx0 xx5 - - - - - - - RECEIVE 2009-11-14 09:16:27 CLOSE TCP 192.168.xx.2 xx.xxx.xx2.xx9 xxx1 80 - - - - - - - - - たまたま入れていた[Unlocker]という紐付け遮断ソフトで見た所、0724.logはsvchost.exeと紐付けされていたので、Process Explorerでどのsvchost.exeかを見てみましたが、svchost.exeにどれも反応が無くて紐付けがどうされてるのか判りませんでした。 気持ち悪いのでウイルススキャン(avast!最新)やspybotやspywareguardなどで全て行ってみましたが、何も検出されず、rogテキスト自身を個別にウイルススキャンしても反応ありませんでした。 ファイルの名前からして、恐らく0724に何かしらの監視ソフトでも入れたのかなぁ?とも思いましたが、思い当たりません。 なぜなら、今年の7月24日の頃は引越しが決まったので、ネットを解約していた時期だからです。 一応、ウイルスや可能な限りの単語で検索もして見ましたが、特に該当する内容が無く……。途方にくれております。 これは一体なんなんでしょうか。思い当たる方いらっしゃいましたら、ご指導のほど宜しくお願いいたします。

  • ルーターつけても不正アクセスのログあります

    ルーターとウイルスバスターを併用しています。ルーターを使用すると、外部からはルーターより先のパソコンのIPアドレスが見えなくなると説明書に書いてあります。それでも、ウイルスバスターのファイアウォールのログにはプライベートアドレス宛のログが残ります。そもそも、ルーターをつけたらファイアウォールソフトの不正アクセスログは無くなるものではないのですか?ルーターとファイアウォールソフト一緒に使っている方がいれば教えて下さい。

  • 一切ルーターのポートを開いていないのにスノートに警告ログがでる。

    お世話になります。 ルーター-------windows xp sp2 |----vine linux 3.2 という2台のネットワーク構成なのですが ルーターのポートは一切閉じています。 ですからvine linux 3.2の方にアクセスできるわけもないのですが、なぜかvine linux3.2のスノートに警告がでているんです。 危険度 シグニチャー 警告数 N/A (spp_frag3) Fragmentation overlap 2 N/A (spp_frag3) Short fragment, possible DoS attempt  6 3 ICMP Destination Unreachable Communication with Destination Host is Administratively Prohibite 3 というログが残っていました。 しかも不思議なことに Fragmentation overlapの着信先が僕のIPとはまったく違うIPで219.122.227.1XX というIPなんです。 Short fragmentは1つが219.122.227.1XX このIPで 5つが僕のIPの60.56.XXX.XXXなんです。 最後のICMP Destination Unreachable Communication でも219.122.227.1XXに着信していて3つ警告を受け取っています。 これって一体どういうことなんでしょう。 ルーターのポートは閉じているのに警告をうけとったり、まして違うIPに着信されている警告まで。。。 詳しい方、どう思われますか?

  • netログについて

    NETの質問ですが、エアーステーションの無線ルータを接続していますが、ログに以下のファイアーウォールのログが大量に出てます。接続し直しでIPを変更しても状況は変わりません。DDOS攻撃でしょうか? 日付時刻 種類 ログ内容 2014/11/15 11:49:10 FIREWALL UDP connection denied from 61.25.16.49:67 to 255.255.255.255:68 (eth0) 2014/11/15 11:49:09 FIREWALL UDP connection denied from 61.25.16.49:67 to 255.255.255.255:68 (eth0) 2014/11/15 11:49:09 FIREWALL UDP connection denied from 61.25.16.49:67 to 255.255.255.255:68 (eth0) 2014/11/15 11:49:08 FIREWALL UDP connection denied from 61.25.16.49:67 to 255.255.255.255:68 (eth0) 2014/11/15 11:49:07 FIREWALL UDP connection denied from 61.25.16.49:67 to 255.255.255.255:68 (eth0) すいませんが、ご指導お願いします。 ※OKWaveより補足:「J:COMのサービス」についての質問です。

  • アクセスログのとり方

    以前ここで二重ログインや不正アクセスについて相談して、パスワードやアドレスを変更したり、スパイウェア対策ソフトを入れました。でもそれでも変な症状が出るので、不正アクセスされているかチェックしたいので、プロバイダに連絡したら、↓のメールが来ました。マイクロソフトに聞いたら、プロバイダに聞いてください、と言われましたが、ADSLのアクセスログは個人では調べられないのでしょうか?ISDNの時はアクセスログが自分で見られました。 弊社では下記の情報から調査させていただいており、 アクセスログが無い場合は調査することができかねてしまいます。 ・アクセス者のIPアドレス ・アクセス者のアクセス日時(秒までお知らせいただければ幸いです) ・アクセス内容(ポート80番攻撃など) (記録した【セキュリティソフト等の】アクセスログがありましたら、 そちらをお知らせいただければと思います) <書き方の一例> ------------------------------ xx月xx日(x曜日) アクセス時間:xx時xx分xx秒 アクセス元IP:xxx.xxx.xxx.xxx ポート番号:xxxx アクセス先IP:xxx.xxx.xxx.xxx ポート番号:xxxx ------------------------------ なお、アクセスログの取得方法がご不明な場合には、お客様ご利用のソフトメーカー様へご相談いただきますようお願い申し上げます。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する