- 締切済み
このようなウィルスが・・・
現在管理しているネットワークがウィルスだと思われるものに犯されているのですが、ウィルスチェックにもかからないし、発生源も突き止められないため、現在困っていう状態です。 以下の状況です。 1.WANネットワーク上からブロードキャストでパケットが送られてくる。 →これが何らかの方法で内部に侵入したようです。 2.感染したパソコンから、近くのスイッチングハブに向けて偽のarpを送りつけ、テーブルをオーバーフローさせる(IP-MACの関係を破壊) そのため、フローした後にハブが聞きにいくのですが、このときに嘘の情報を流し、WANからのルートを確定させます。 3.これを何度か繰り返し、感染を進めていきます。 4.その後、ICMP(ping)パケットをPCに送りつけるのですが、このパケットも改変されています。 パケットの状態なのですが、まず返信先のアドレスが変更されていること、返信をUDPでやるように変更されていること。などが主な特徴です。 つまりICMPを送り、送り先のPCから帰ってきた情報を送り元ではなく別にUDPで送信しようとします。 5.またメールを大量に送ろうとしています。 ちなみにFTPサーバーなどは、構築していないようです。 現在以上のような状態になっていて、ネットワークを完全に封鎖している状態です。 ウイルスをインターネット上で検索しているのですが、該当するものが見当たりません。 以上と似たようなハックをするツールは見つけたのですが、ウイルスは見つかっていないので、現在は頭を抱えている状態です。 切羽詰っている状態です、誰か助けてください。 よろしくお願いしいます。
- hiroto_noda_love
- お礼率6% (19/302)
- ネットワーク
- 回答数2
- ありがとう数0
- みんなの回答 (2)
- 専門家の回答
みんなの回答
- murachan
- ベストアンサー率26% (49/186)
WANということは法人でのネットワークと考えますが、法人であればセキュリティソフトの法人契約を結んでいると思われます。 サポートの範囲内だと思いますので、御社と契約しているSYMANTECかTRENDMICROか、はたまたMCAFEEなどに問い合わせてみるのが一番だと思いますが。。。
- emden
- ベストアンサー率34% (148/425)
脅威が何であるかわからないのであれば、感染している(異常な挙動をしている)PCを特定して、ファイアウォール、Windowsパッチ、セキュリティソフトを適用していくしかないと思います。それでも出るとしたら未知の脅威ですので対応手段はないと思います。
補足
もちろん感染しているPCはわかっているのですが、大本が判明しないので困っています。 また、現在はネットワークを完全に封鎖し(物理的に)再インストール・リカバリ・再構築をやっている最中です。 しかし原因がつかめないことには、以上のことをやってもどうしょうもありませんので・・・という感じです。
関連するQ&A
- WANからのブロードキャストパケットを遮断する方法
社内LANではDHCPサーバを使用しているため、LAN内でのブロードキャストパケットは良いのですが、現在特に何も制御していないため、WANとの間のブロードキャストパケットが垂れ流し状態になっています。 社内LAN側のブロードキャストパケットは許可し、WAN側のブロードキャストパケットのみ遮断する方法を教えてください。
- ベストアンサー
- その他(ITシステム運用・管理)
- ブロードキャスト転送できるかはルータによりますか?
WHR-HP-G300N ブロードキャスト転送できるかはルータによりますか? 【ポート変換】 プロトコル:UDP ポート:2304 LAN側IPアドレス:192.168.1.255 を指定すると ※LAN側ブロードキャストアドレスは使用できません となり、WAN側に届いたパケットをブロードキャストすることができません。 このようなルーターで、すべての端末へブロードキャストを行わないといけない 状況のパケット転送設定をすることは機器的に無理なのでしょうか? 方法としてあきらめるしかないですかね?
- ベストアンサー
- その他(インターネット接続・通信)
- ルータがある場合のARPの動き
ARPの動作についてご教示お願いいたします。 ホストAからホストBへデータを送信する際にホストBのMACアドレスが不明な状態で ケース1:ホストAとホストBが同一のネットワークにある場合。 ケース2:ホストAとホストBが異なるネットワークにありルータで繋がっていた場合 ケース1の場合には、ホストAは、ホストBのIPアドレスを設定してブロードキャストしますが、ケース2の場合には、ホストAは、デフォルトゲートウェイ(ルータ)のIPアドレス当てにのみARPパケットを送るのでしょうか? それともARPパケットをブロードキャストするのでしょうか? ご教示宜しくお願いいたします。
- ベストアンサー
- その他(ITシステム運用・管理)
- ファイアウォールにおけるネットワーク分割
・ISPからの割り当て IPアドレス:202.xxx.xxx.96~111 ネットマスク:255.255.255.240(28ビット) 各ゾーンのアドレス ・WAN側:202.xxx.xxx.96/28(グローバル) 97~102をホストで利用可能 96はネットワークアドレス、103はブロードキャストアドレス ・DMZ側:202.xxx.xxx.104/29(グローバル) 105~110をホストで利用可能 104はネットワークアドレス、111はブロードキャストアドレス ・LAN側:192.168.1.0/24(プライベート) (1)ルータのNIC(ファイアウォールに対向する側)とファイアウォールのWAN側NICは、ISPから指定されたIPアドレスとネットマスクをそのまま使用 (2)DMZのネットワークアドレスは、WAN側よりマスクが1ビット長いものを設定。→割り当てられたネットワークの後半部分をサブネットとして切り出すため。 (3)ファイアウォールには、WAN側(96~103)宛てとDMZ側(104~111)宛てのパケットについて、それぞれルーティング設定をしておく。 (4)ルータには、202.xxx.xxx.96~111宛てのパケットについて、ファイアウォールのWAN側NICをゲートウェイとして転送するルーティング設定をしておく。 (4)は、ルータとDMZ側が同一ネットワークアドレスに属する(アドレスが同一とはどういうことか?)にもかかわらず、実際には同一ネットワークに存在しないために必要。この設定がないと、ルータは202.xxx.xxx.96~111宛てのパケットを直接転送する(直接とはどういう意味か?)ために、ARPによって転送先のMACアドレスを得ようとするが、これはDMZ側アドレスに関しては失敗する(なぜ失敗するのか?)ため、通信不能になる。 ()の疑問について教えていただけると助かります。
- ベストアンサー
- ネットワーク
- ブロードキャストアドレスについて
理屈上は255.255.255.255にパケットを発信するとルータを越えて全てのネットワークに送られると思うのですが、実際はそうではなく『自ノードと同一のネットワークに接続している全てのノードにブロードキャストされる。ルーターが 255.255.255.255 に送信されたパケットを受信した場合、他のネットワークに転送してはならない。』と解説されています。 と言うことは、例えば自宅で1台のルータの下に192.168.0.×××というネットワークがあり、この中にあるPCからブロードキャストアドレス255.255.255.255にlPパケットを送信した場合、このLAN内の全てのノードにパケットが送られるが、ルータを越えてWANには送られない、と言うことですよね? でも、これって192.168.0.255宛てに送ることと同じではないでしょうか? 192.168.0.×××内のパソコンから ・lPパケットを192.168.0.255に送る ・lPパケットを255.255.255.255に送る この両者の違いが分りません。 どなたかこの違いが分る方、違いを教えて下さい。
- ベストアンサー
- ルーター・ネットワーク機器
- L3SWの内部機構がわからない
ネットワーク関係仕事に関わっている者(まだ1年目)で、現在L3SWの導入を行っています。とある事情から、L3SWを導入した場合、代理ARPを多用することが分かりました。先日メーカーに「代理ARPを使うと、L3SWの負担がかなり重くなる」と言われました。 そもそも通常のパケットはL3SW内部のLSI(?)で処理されている、ARPやICMP(pingなど)のパケットはL3SWのCPUで処理されているというのを何かの本で読みました。 代理ARPはL3SW内部のどういう機構(LSI/CPU)で処理されているのでしょうか。 また代理ARPもLSIで処理させるようなことは不可能なのでしょうか? そのようなL3SWの内部機構について書かれているサイト、本などありましたら教えてください。
- 締切済み
- ネットワーク
- ARPに失敗したときの動作
あるノードがパケットを送信するとき、送信先のIPと自分のIP・ネットマスクを比較し、自分と同じネットワーク内なら直接、また外ならデフォルトゲートウェイに送信します(と読みました)。 次に、それらのMACを取得するためにARP要求を送信しますが、ここで、ARPへの応答がなかった場合はどうするのでしょうか。 このときの動作は規定されているのでしょうか(とりあえずブロードキャストアドレスに送信する、など)。
- ベストアンサー
- その他(インターネット接続・通信)
- UDPプロトコルについて
自分で調べればよいことなのでしょうが・・・ もし知っている方がいたら、教えてください。 TCP/IPでは、異なるサブネットのノードとは通信できないと思うのですが、例えば、192.168.0.0/24のネットワーク内のハブに、192.168.1.10というノードを接続してあるような場合に、192.168.0.10のホストからUDPプロトコルでブロードキャストすれば、互いに通信できるのでしょうか?
- ベストアンサー
- その他([技術者向] コンピューター)
- IDを盗むウィルス
さきほどある掲示板のページを閉じようとしたときに間違って 拡張子.exeのIDハックウィルスのURLをクリックしてしまいました。 情報によるとこのウィルスはPCのキー入力操作を盗み IDやパスワード情報を盗むもののようです。 誤ってクリックしたことは分かっていたのですぐにページを閉じました。 このようなウィルスの場合、URLをクリックしただけでは感染しないのでしょうか? パスワードなどの登録情報を変更しようにも そのときのキー操作を盗まれてしまうのではないかと思うと うかつに変更も行えません。 どのように対処すればよいのでしょうか?
- ベストアンサー
- ウィルス・マルウェア
補足
そうですね、問い合わせ・パッチは最新のものを使用しているのですが、解決が出来ていません・・・