- ベストアンサー
不正アクセス?ICMP too large
ルータのレポートの不正アクセスにICMP too largeが内部アドレスから内部アドレスに多数検出されています。 不正アクセスなのでしょうか? 単なる誤検出なのでしょうか? 見分けるポイントをご存知の方、ご教授願います。
- chinamini3
- お礼率100% (10/10)
- その他(インターネット接続・通信)
- 回答数2
- ありがとう数4
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
結論から言うと判断はつきません。 どんなことをすれば、このメッセージが出るかと言えば、 pingなどでテスト電文の長さを1025以上を指定すると その電文を通過したファイアウォールの機能がある機器 (ルータ?)で出すメッセージとなります。 指定の内部アドレス間で、例えば下記のコマンドを打てば メッセージが出続けると思われます。 ping 相手IPアドレス -l 1400 -t ネットワークの性能などを確認する時にこうしたコマンドを 打つことは時々あります。 可能性としては機器の間で生き死に相互監視をしている時に 自動的にicmpを発行することはありますが、こうしたサイズの 大きい電文(1025以上)を流すケースは聞いたことはありません。 該当のアドレスの機器を確認する。 その機器を操作している人に訊いてみる。 ネットワークキャプチャソフト(Wiresharkなど)で 電文の中身や頻度を確認する。 といったことで、把握するしかないかなと考えます。
その他の回答 (1)
- blueskydan
- ベストアンサー率50% (1/2)
Windows環境のようなので、ActiveDirectoryに関係があるのでは?
お礼
本件の原因が判明しましたのでご報告致します。 ActiveDirectoryのグループポリシーの低速リンク接続検出を無効に設定したところ、 ルーターログへの不正アクセス検知がほとんどなくなりました。 端末への設定が反映されれば、検知されるパケットはなくなると思われます。 不正アクセスではなかったので、一安心です。 ネットでいろいろ調べたところ、この結論に至りました。 ActiveDirectoryではクライアントからドメインコントローラに対してICMPパケットを送出し、 その平均応答時間を計測して接続している回線を判断する機能があるようです。 本件について、いろいろとご支援を頂きました Moryouyouさん、blueskydanさんありがとうございました。
関連するQ&A
- 不正アクセスについて
不正アクセスされるとどうなるんですか? データの破壊などですか. 不正アクセスされたかどうかはどうやって分かるのですか? また、不正アクセスを防げためにルーターを通しておけば 大丈夫ですか?ルーターがなければIPアドレスを入れたら 不正アクセスされるんでしょうか.
- 締切済み
- ネットワーク
- 不正アクセスでしょうか?(RIPpacketとは?)
お世話になります。 バッファローのルータを使い、パソコンにウイルスバスター2005を入れてインターネットに接続しています。 ルータのアタックブロックのログに、RIP packet <WAN in>と表示されIPアドレスが『二つ』表示され、片一方からもう片一方へ不正アクセスが行われているという感じに表示されています。 確認くんというサイトで自分のIPアドレスを調べるとこの『二つ』のIPアドレスとは違っているのです。 ルータが不正アクセスをアタックブロック機能でブロックしたという事なのに、自分のアドレスでないというのはどういうことなのでしょうか? yahooBBのADSLでXPです。 ウイルスバスターのパーソナルファイアウォールログにはAB Rceiverというアプリケーションでルータからログがたくさん残っていますがこれはルータがパソコンに不正アクセスを検出したいことを通知しているのをウイルスバスターがブロックしているのかな?と思うのですが・・・ ご存知の方教えてくださいませんでしょうか? よろしくお願いいたします。
- 締切済み
- ネットワーク
- ICMPパケットで隠しチャネルの脆弱性
セキュリティでESETをインストールしているのですが ここ最近、「ICMPパケットで隠しチャネルの脆弱性が検出されました」というのが度々出るようになりました。 見慣れないIPアドレスも表示されています。 こちらにはどう対応すれば良いか、ご教授をお願いします。
- ベストアンサー
- ネットトラブル
- icmp attackとは?
当方 PLANEXのBRL-04FWという ブロードバンドルーターを使用してます。 そのルーターのブラウザからの設定画面から、 ファイアーウオール設定→イベントログの個所を見ると 次のようなになっています。 Tue Aug 12 18:59:37 2003 - icmp attack - icmp [wan,220.**7.***.6,220.***.**.***:0] - [discard] Tue Aug 12 19:00:17 2003 - icmp attack - icmp [wan,220.**3.42.***,220.***.**.***:0] - [discard] Tue Aug 12 19:00:27 2003 - icmp attack - icmp [wan,220.2**.1.***,220.***.**.***:0] - [discard] まだありますが、長いので省略します。 上の中に「icmp attack」なるものがあり不安でしかたありません。 wanの方のIPアドレスをサイバーエリアサーチという、 サイトで調べましたが全然身に覚えの無いIPアドレスでした。 この機種のルーターはファイアーウオールが付いてるのですが、これらの症状はやはり誰かからハッキングされてるのでしょうか? ちなみに、上のログは日にちが変ですが、すべて今日の記録です。 今日一日で30件ほどありました。
- ベストアンサー
- ネットワーク
- 不正アクセスについて
最近ウイルスバスター2001をインストールしたのですが、 パーソナルファイアウォールのログを見ると、 パソコンを立ち上げて、インターネットにアクセス するたびに侵入検出されているようです。 ちなみに、ダイヤルアップ接続のため、IPアドレスは 接続の度に変わるようですが、これは、いわゆる、 不正アクセスなのでしょうか? どなたか、同じソフトをインストールしている方で、 同じような疑問を持ち、解決された方はいらっしゃいませんか?
- 締切済み
- ネットワーク
- 侵入しようとする不正アクセス
こんにちは。不正アクセスに関して質問があります。背キュリーティーに詳しい方にお答えをいただければと思います。 現在、XP Proで、ルータ(WHR2-G54)、F-secure(F-secure anti-virus client security)を利用しています。 前まではルータで殆ど不正アクセスをブロック出来ていたのですが、最近になってルーターを突き抜けて、F-secureのFirewallがブロックをするようになりました。ということは、この不正アクセスしている者がルータを破ったというわけですよね。 ルータを入れていて(ファームウェアも最新版にしています)つい安心していたのですが、F-secureのファイアーウォールが反応するようになって、かなり心配しています。 ルータはそんなに簡単に破られるのでしょうか。ルータは買ってからは、特にセキュリティー設定(フィルター)などはしていません。なにか今の状態より高度なセキュリティー設定ができる方法が在れば、教授して頂けませんか。
- 締切済み
- その他(インターネット・Webサービス)
- カナダからの不正アクセス!
前にも同様なことで書き込みしましたが、今回はその後の経過と言うことで質問します。 質問は三点です。 まず第一に、前にもポートスキャンで「24.64.~.~」のIPアドレスからの不正アクセスがあったのですが。 こちらで質問後IPアドレスを変えたり切断を頻繁に試みるようにしました。 その後来なくなったらいいなと思っていたのですが。 相変わらずこのアドレスからの不正アクセスが絶えません。 前ほど頻繁ではないものの様子をみながらアクセスしてる感じです。 気にしなければよいのでしょうが何度も以前頻繁にあっただけにウザイ感じです。 それに同様にアクセスして来るって事は私のだけ狙われてるのでは?と気になります。 接続先のプロバイダーが狙われてるのなら自分だけではなく他の人も居ると言うことで少しは心強いのですが。 ちなみにプロバイダーはOCNです。 第二に、以前にモデムの電源を切ってIPアドレスを変えればよいと何処かで見たのですが。 私の場合Bフレッツで専用のモデム以外にNTT専用のルーターとGatelockX400Vを使用しています。 NTTが言うにはモデムの電源を切る際他のルーターも切って入れるときはモデム→ルーター→GatelockX400Vの順に電源を入れるように言っていました。 ちょっと電源を落とす場合でもこの順序は守った方がいいのでしょうか?それともこのくらいなら別に問題はないでしょうか? 最後三点目、モデムで電源を落とし再度入れるまでの時間はどのくらいでIPアドレスは変えられるでしょうか?以上です。 わかる方や同じ様な思いをされた方がいましたらお願いします。 (同じようにカナダからの不正アクセスをされてる方が居りましたら意見をお聞きしたいです。) いろいろすみませんが宜しくお願いします。
- ベストアンサー
- ネットワーク
- 連続不正アクセス
アダルトグッズ販売サイトのサービスでのことです。 そのサイトに登録し、サイトに行くとポイントが貯まります。 貯めたポイントに応じた金額が支払われるというサービスです。 普通、最初以外はポイントは加算されません。 ですが、クッキー削除ツールを使い、再度サイトに行くとポイントが加算されることに気づいてしまいました。 それで、警告がないのをいいことに、調子にのって何度もアクセスしてしまいました。 その後、こんな文章が表示されました。 あなたのPCから連続不正アクセスを検出しました。 自動的にIPアドレスは保存されご使用のプロバイダ、及び神奈川県警本部ハイテク犯罪課まで通報させていただきます。 なお、あなたのIPアドレスは通報目的のみでの一時保存であり個人情報保護法は適用されません。 後日、ご自宅へ裁判所より内容証明が到着いたしますのでお待ちください。 これで、自分が不正アクセスをしていたことに気づき慌てました。 登録は解除すべきなのか? 内容証明とはどのようなものか? 不正アクセスへの刑罰は? など分からないことも多々あります。 一応、ネット詐欺、脅迫で金銭を払わせるなどの犯罪も考えましたが、法律に詳しくないので判断ができません。 不快に感じる方…申し訳ありません。 自分に非があるというのは、十分にわかっています。 プロバイダ契約者は自分ではありません。 契約者に迷惑をかける可能性大なのですが、なるべく自分だけで何とかしたいと思い、悩んでいます。 どう対処すべきかアドバイスがあれば、お聞かせください。
- 締切済み
- その他(法律)
- 不正アクセスについて
3時間前から急に、100件以上の不正アクセスを受け続けています。 PCゲートを使用してますが、次のような警告が出ます。 「PCGATE Personalは、外部ネットワークの(ここは相手のIPアドレスですが、ばらばらです) (UDP Port ここもばらばらです).からあなたのコンピュータへのアクセス(UDP Port 1434)をブロックしました.」 相手のIPアドレスはどれも違うようなのですが、すべて、UDPPort1434に対してです。 一応、UDPPort1434を検索してみたのですが、Microsoft-SQL-Monitorと書いてありましたが、何の事やらさっぱり分かりません。 この不正アクセスは、いったい何なのでしょうか。 このままほっといてもいいのでしょうか。 ちなみに、昨日まではflags:sと言うのが毎日数件ありましたが、今受けているものにはflag:sとは書いてません。 ヤフーBB12Mでルーターは使用してません。 何かご存知の事があれば教えていただけないでしょうか。 よろしくお願いします。
- ベストアンサー
- ネットワーク
- 自分のIPアドレスからのICMP
自分のPCのIPアドレスが送信元となってあるIPアドレスへ向けてICMPを実行しているようなのですが自分自身は意識してICMPを実行した覚えがありません。 その送信先のIPアドレスを調べると中国となっていました。中国(偽装IPかもしれませんが)からのポートスキャン、不正アクセスを受けることは日常茶飯事ですが自分のPCから送出されるということは何が原因でしょうか? FWを導入しているのですが既に何かのウィルスに感染してしまったのでしょうか?
- ベストアンサー
- ネットワーク
お礼
丁寧なご回答ありがとうございます。 ご回答にあったコマンドを使う人は社内にいないと思われ、 攻撃元アドレスに自分の使っているPCのアドレスもあり、 私自身が該当するような操作をした覚えがありません。 また、ここ2,3日で頻発しているので、 通常の状態でないことは確かです。 ただ、これらのことだけでは、ご指摘の通り、 不正アクセスかルーターの誤検出か判断がつかないです。 教えていただいたネットワークキャプチャソフトを使って調べてみます。
補足
Wireshakeを使い、ルーターのミラーポートでパケットをキャプチャした結果、 実際にパケット長1514のICMPパケットが捕捉されました。 誤検知ではありませんでした。 (Wireshakeの性能には感激しました。一昔前は数百万円したものが無償で入手できるとは時代が変わりました。ご紹介頂きありがとうございます。) ルーターのMTUに誤りがあったので修正しましたが、 依然としてICMP too largeの検知があります。 検知したパケットについては破棄されるため、実害はないようです。 また、Windowsに経路MTU探索という機能があり、ICMPパケットを出すこともわかってきました。 今のところ、ICMP too largeを発信する端末に共通しているのはOSがWindowsXpということです。しかもWindows7のXpモードのアドレスからも発信されています。 ウィルス対策ソフトはすべての端末に入っていて定義ファイルも更新していますが、Virusは検知されていません。 というところまではわかっていますが、これ以上どのような調査をすればよいのかわからなくなってしまいました。 何かよいお知恵はありませんでしょうか。