whoisでヒットしないIPアドレスへのアクセス

前へ 次へ
このQ&Aのポイント
  • Windows7ProfessionalSP1、KasperskyInternetSecurity2011を使用しています。KasperskyのFW設定で、DNS、Any network activity(許可するネットワーク、プライベートネットワーク)の他はアウトバウンド接続でHTTP、HTTPSのみを許可して、このルール設定の下に全て禁止のルール(ログ付き)を置いているのですが、詳細ログを見ていると禁止しているリモートポートへのアクセスが頻繁に記録されています。
  • 以前Kasperskyが内部から2001番に対して頻繁にudp通信を行っているのを発見したぐらいで、きちんと精査したことがなく、危険なのかこのまま使い続けていいのか判断付きかねるのですが、whoisで調べても出てこないIPアドレスへのアクセスというのは、通常使用している場合でも起こりうるのでしょうか?再インストールしてから1日も経っていないだけに、不審に思っています。
回答を見る
  • ベストアンサー

whoisでヒットしないIPアドレスへのアクセス

Windows7ProfessionalSP1、KasperskyInternetSecurity2011を使用しています。 KasperskyのFW設定で、DNS、Any network activity(許可するネットワーク、プライベートネットワーク) の他はアウトバウンド接続でHTTP、HTTPSのみを許可して、このルール設定の下に全て禁止のルール(ログ付き)を置いているのですが、詳細ログを見ていると tcp 自マシン : 58387 -> 74.86.XXX.XXX:2143 といった、禁止しているリモートポートへのアクセス(通信相手のIPアドレスはwhoisで調べても、地域ぐらいしか出てこない)が頻繁に(1時間に50回ぐらい)記録されています。 以前Kasperskyが内部から2001番に対して頻繁にudp通信を行っているのを発見したぐらいで、 きちんと精査したことがなく、危険なのかこのまま使い続けていいのか判断付きかねるのですが、 whoisで調べても出てこないIPアドレスへのアクセスというのは、通常使用している場合でも起こりうるのでしょうか?再インストールしてから1日も経っていないだけに、不審に思っています。

質問者が選んだベストアンサー

  • ベストアンサー
  • tomaju
  • ベストアンサー率76% (84/110)
回答No.1

74.86.0.0-74.86.255.255 は SoftLayer Technologies というアメリカテキサス州の データセンター事業者が割り当てを受けているようですね。 http://whois.arin.net/rest/nets;q=74.86.0.0?showDetails=true&showARIN=true TCPの2143番ポートは、LiveVault という遠隔バックアップのサービスで 使われるようです。そのようなソフトが動いていませんか?

xdfsa11a
質問者

お礼

回答ありがとうございます。投稿前に調べていたwhoisにも、同じ記載がありました。情報量が少ないからといって、何も記載されていないわけではないのですね。 LiveVaultというサービスは入れたことがありませんし、Process Explorerで調べてみてもそれらしい名前のサービスは見当たりませんでした。おそらく探し方がよくないのだと思いますが、何か良い検索方法はありますでしょうか?

その他の回答 (2)

  • tomaju
  • ベストアンサー率76% (84/110)
回答No.3

#1 です。 コマンドプロンプトから netstat -on と打ち込むと、 アクティブなTCPの接続と、プロセスのPIDがわかります。 問題の通信が発生しているときには、以下のようなコネクションの行が 現れると思います。 Proto Local Address Foreign Address State PID TCP 自マシン:58387 74.86.xxx.xxx:2143 ESTABLISHED 2234 インターバルをつけて、netstat -on 1 のようにすれば、 1 秒おきに再表示します。 (Ctrl + c で停止します) これを監視して、怪しい通信が発生したらPIDを読み取り、 Process Explorer の Find -> Find Handle or DLL で そのPID (上の例では2234) を検索すれば、Process が つきとめられるのではないかと思います。 netstat -h を打ち込むと netstat コマンドのヘルプが見られます。 ちなみに、XPだと -b オプションが使えて、接続している 実行ファイル名まで表示できるのですが、Windows 7 で 使えるかどうかわかりません。

参考URL:
http://itpro.nikkeibp.co.jp/article/COLUMN/20100308/345506/
xdfsa11a
質問者

お礼

回答ありがとうございます。#1のお礼を書いた後、ルータとKasperskyのFWでIPアドレス群74.86.0.0/24を弾くように設定していた(書いている時に気づいたのですが、/24でなく/16でした)のですが、それから30分ほどしてからふっつりとネットに繋がらない状況になり試行錯誤して、にっちもさっちも行かなかったので、再インストールすることになってしまいました。 ので、怪しい通信の元は把握できずじまいですが、教えていただいたやり方でブラウザのPIDを探してみたところ、あっさりとプロセスをつきとめられました。netstatの-bオプションは管理者権限が必要でしたが、7Proでも実行ファイル名は表示されています。 ファイルの救出だけでなく、システムドライブ全体もバックアップしておけば通信を試みているプロセスを特定できたのですが...やり方を学ぶ事ができましたし、また同じようなケースに遭ったら活用したいと思います。 @ITの記事、関連記事も併せて読んでみます。 tomajuさん、回答ありがとうございました。

  • tomaju
  • ベストアンサー率76% (84/110)
回答No.2

#1 です。 コマンドプロンプトから netstat -on と打ち込むと、 アクティブなTCPの接続と、プロセスのPIDがわかります。 問題の通信が発生しているときには、以下のようなコネクションの行が 現れると思います。 Proto Local Address Foreign Address State PID TCP 自マシン:58387 74.86.xxx.xxx:2143 ESTABLISHED 2234 インターバルをつけて、netstat -on 1 のようにすれば、 1 秒おきに再表示します。 (Ctrl + c で停止します) これを監視して、怪しい通信が発生したらPIDを読み取り、 Process Explorer の Find -> Find Handle or DLL で そのPID (上の例では2234) を検索すれば、Process が つきとめられるのではないかと思います。 netstat -h を打ち込むと netstat コマンドのヘルプが見られます。 ちなみに、XPだと -b オプションが使えて、接続している 実行ファイル名まで表示できるのですが、Windows 7 で 使えるかどうかわかりません。 参考URL http://itpro.nikkeibp.co.jp/article/COLUMN/20100308/345506/ http://www.atmarkit.co.jp/fwin2k/win2ktips/234netstat/netstat.html

xdfsa11a
質問者

お礼

もう5年も前の質問ですが、お礼を言いにやってきました。回答ありがとうございました!ちょっとはスキルが身につきました…

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. ネットワーク

関連するQ&A

  • グローバルIPアドレスについて

    社内のネットワーク管理者が休みなんです。助けて下さい。 うちの会社のルーターはCISCO2600シリーズ ケーブルは物理的に下記のように繋がっています。 プロバイダー--->f0/0(CISCO 2950)f0/1--->ファイヤーウォール さて、今自分のPCからYahooにtracertを試すと、xxx.xxx.xxx.xx7と出ました。 次にhttp://whatismyipaddress.com/ で調べたIPアドレスはxxx.xxx.xxx.xx8と出ました。 このときうちの会社のグローバルIPアドレスはどっちなんでしょう。取引先のサーバーにアクセスするのにIPアドレスを伝えないといけません。 どっちをいえば言いのでしょうか? また、f0/0 f0/1はそれぞれどっちのIPアドレスですか?

  • IPアドレスのドメインを調べたいです

    xxx.xxx.xxx.xxxのアドレスからアクセスがあり、nslookupで調べると  Non-existent domain が返ってきて、DNSに未登録のホストからのアクセスのようです。 IPアドレスの範囲から割り当てられているドメインを知ることは可能でしょうか。 また地域、国名を知ることはできますでしょうか。 ネットワークに詳しい方、よろしくお願いします。

  • このIPアドレスは何でしょう?

    このIPアドレスは何でしょう? ネットをしていると以下のIPアドレスからしつこくアクセスがある事があります。 「61.8.212.116」 whoisで調べるとstarhub.comというシンガポールの企業?なのでしょうか。 どなたか御存知方、いらっしゃいますでしょうか。

  • IPアドレスがちがう!

    プライベートなサイトの公開範囲を特定のIPアドレス(自分)だけにしようと.htaccessで order deny,allow deny from all allow from xxx.xxx.xxx.xxx allow from xxx.xxx.xxx.xxx allow from xxx.xxx.xxx.xxx というふうにしていたのですが、仕事場のPC(IPアドレス)だけ許可できません。 で調べてみると、「ipconfig/all」で得られたIPアドレスとPHPの「$_SERVER['REMOTE_ADDR']」で得られたIPアドレス(実際にサーバーにアクセスしてきたクライアント)が違うのです。 なでに(.ŏωŏ.)? 結局、「$_SERVER['REMOTE_ADDR']」で得られたIPアドレスで無事制御できましたが、原因は分からずじまいです。 どなたか原因がお分かりの方、ご教授の程お願い致します。 OS: WindowsXP SP3 仕事場のPCは無線LANで接続されています。

  • 「IPアドレス」「IPネットワークアドレス」の違い

    PHPで書かれた「アクセス解析」コードを見ているのですが、IPアドレス部分に関して内容が理解できせん。何をしようとしている(と予想できる)か、教えて下さい ■前提 ・IPアドレスの一番下の桁を0にして保存しています ・「123.45.678.93」→「123.45.678.0」 ・「220.30.220.912」→「220.30.220.0」 ■質問1 ・ホスト部を0にしているので、「IPネットワークアドレス」を保存している、という理解で合っているでしょうか? ・算出方法。ビット(「IPアドレス」✕「サブネットマスク」) … long2ip( ip2long( $_addr ) & ip2long( $_mask ) ); ■質問2 ・またこの際、算出結果が、'0.0.0.0'だったら空を返す、という条件が入っているのですが、ビット(「IPアドレス」✕「サブネットマスク」) は、'0.0.0.0'になったりするのでしょうか? ■質問3 ・IPネットワークアドレス自体、よく分からないのですが、例えば、「192.168.1.0」=「192.168.1.XXX ネットワークそのもの」、と言う理解で合っているでしょうか? ・つまり、アクセス解析時に、「192.168.1.0」を登録することは、「192.168.1.1」「192.168.1.2」も全て同じアクセスとみなす、ということを意味するのでしょうか? ■質問4 ・「IPアドレス」と、「IPネットワークアドレス」って、何が違うのでしょうか? ・例えば、同じ「192.168.1.2」でも、所属する「IPネットワークアドレス」によって、異なる対象を指す、ということなのでしょうか? ・それは、「サブネットマスク」を見なければ分からない、ということなのでしょうか? ・もし、そうだとすると、所属が違うだけで、同じ「IPアドレス」はたくさん存在するのでしょうか?

  • IPアドレスについて

    ネットワークの勉強を始めたばかりなのですが IPアドレスについて教えてください。 192.168.XXX.XXX このパターンはクラスCだと思うのですが 何故、192.168から始まるアドレスが多いのですか? 理屈が分からなくて次に進めません。 よろしくお願いします。

  • IPアドレス、アクセスログとは?

    初歩的な質問で恐縮です。 よく、「IPアドレス」とか「アクセスログ」という言葉を聞くのですが、これはどういう仕組みになっているのでしょうか? 工場出荷時に既にそれぞれのパソコン一台一台に既に備わっているものなのでしょうか?それともプロバイダーに入会したときに決められたもので、プロバイダーを変えたとするとIPアドレスやアクセスログなども一切変わってしまうようなものなのでしょうか?

  • 特定のIPアドレスからのアクセスに困っています。

    ソースネクストのウィルスセキュリティZEROを使用中。 2006からZEROに乗り換えたところ、特定のIPアドレス「239.255.255.250」から無限アクセスが継続中。 ブロックはされていますが、ネットワーク通信の履歴が鰻登りで煩わしいことしきり。 完全にカットできないものでしょうか。

  • Whoisの見方について教えてください。

    自社ドメイン(CO.JP)でホームページはレンタルサーバーに置いていますが、 今度自社サーバーを立ち上げようと考えています。 グローバルIPアドレス取得の有無の確認が必要とおもいましたので、 Whoisで[ドメイン情報]を見ると[ネームサーバ]が違うホスト名で3つ出てきます。 それぞれのネームサーバをクリックし[ホスト情報]を見ましたがそれぞれに別のIPアドレスが出てきます。 そのIPアドレスをクリックすると、オープンコンピュータネットワーク (Open Computer Network)[サブアロケーション]とレンタルサーバー業者名とそれぞれにIPアドレスが表示されます。オープン・・・をクリックすると[ネットワーク情報]が表示され何社かの社名が表示されますがその中には私のところの名前はありません。 これってどのような状態だと解釈すればいいのでしょうか?グローバルIPアドレスは取得済なのでしょうか? お願いします。

  • IPアドレスを変更してもフォルダが共有できるようにするには

    パソコンAとパソコンBがネットワーク上にあります。 AのIPアドレスは仮にxxx.yyy.55.123とします。 BのIPアドレスは仮にxxx.yyy.55.456とします。 この場合はAのフォルダを共有にした時に、 Bからちゃんとアクセス出来ます。 ここで、Bのアドレスを xxx.yyy.50.456とすると、 Aを認識することは出来るのですが、 アクセスしようとすると権限がないと言われてしまいます。 50.456にした場合でもアクセスできるような方法があれば 教えてください。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する