ポートスキャン攻撃の原因として考えられませんか？

Question

ルーターの警告としてポートスキャン攻撃について教えてください

ネットワーク管理者なのですがルーターの警告ログをチェックすると
以前は存在しないプライベートアドレスに対してだったり
攻撃元も不定で１ヶ月に１度程度の頻度であったため気にしなかったのですが
最近になって攻撃元、攻撃先が固定され、１日に数回警告が表示されます。

その中でも気になるのは
・警告がでるのは出勤日のみでさらに休憩時間に多く発生する。
・攻撃先のPCは自宅から持ってきていたり、管理者としてあまり管理されて
　いないパソコンでファイル交換ソフトなどが入っている可能性がある。
　（本当は繋ぎたくないのですが、そこまで権限力なくて・・・）
なところです

そこで質問なのですが
アプリケーション、特にファイル交換ソフトを使うことによりルーターに
攻撃として警告がでるようなことはあり得るのでしょうか？
またスパイウエアや何らかのウイルスが入っているパソコンでもそういう
警告が出るような現象は考えられるのでしょうか？

その辺と結びつけることが出来ればそのパソコンを使っている人に対して
警告を出すように改善できるのですが知識が不足しています。

ja4pu · Accepted Answer

ネットワーク管理者としてとても辛い立場にいらっしゃるようですね。
お話の様子から、個人としてどころか組織としてモラルや責任を問われるようなことにならないよう、
早めの対応が必要かと思います。

１．組織の上層部にネットワークの導入責任者がいらっしゃいますよね、
　　先ずはその方に強い味方になってもらう事だと思います。
　　普段から状況報告や組織としての考え方の話などを積み重ねるとよいでしょう。

２．ネットワークに接続するマシンは登録制にし、IPアドレスを管理する。
　　一時的にやむを得ないマシンだけ申し出てもらい DHCPで接続する。

３．運用規則を作ってオーソライズし、啓蒙活動を怠らない。

４．ヘルプデスクなどを充実して皆さんに喜ばれるように努力する。

かつて、私の場合はこのようにしてやっていましたが、
それでも定着させるまでには随分と苦労しましたね。

kuma-ku · Answer

◆Ethereal でのHTTP キャプチャ
http://www.geocities.co.jp/SiliconValley-Oakland/5924/win2000/ethereal/filters.html

◆HTTP ヘッダ情報について
http://www.atmarkit.co.jp/fnetwork/rensai/netpro01/netpro01.html
http://www.atmarkit.co.jp/fwin2k/win2ktips/479httphview/httphview.html


------------
カスピアンの”Aperio”はチョッと。。。
定価で1400万するようなシャーシルータ

こちらのほうが価格的には現実的かと。
◆One Point Wall
http://www.netagent.co.jp/onepoint/detail.html

ただ、これを導入したからと言って、効果のほどはグレーですが。。。


結局のところ、今回の被疑者の通信を調査し、それを正したところで、新たな利用者が出た場合に繰り返す羽目になるので、今回の証拠を持って上司や然るべき社内部署に下記の整備を訴えます。

・社内LAN の利用規約を明確化
・怪しいトラフィックはPC ごと排除
・NW 監視していることを社内にアドバタイズする

raze · Answer

P2Pトラフィックの監視でしょ　？
こんなのあったよ。
http://www.rbbtoday.com/news/20041112/19598.html
http://www.hc.uec.ac.jp/~yoshiura/y_iwaki/research040930.pdf
あと、これはクライアントPC向けなんだけど
アンチウイルスソフトのAvastはP2Pシールドってのが
あるみたいだね。
これは余談なんだけど、ってことはこれから社会的に普及しそうなSkypeなんかもある意味厄介な存在になるかも。ウイルス等がバンバン来るかも。なんたって
Kazaaだから。

kuma-ku · Answer

＞不要なポートは指摘された通り遮断しているのですが詳しい人に聞いた所、交換ソフトの方でポート80でも使えると聞いています。

確かにWinny はPort の変更が可能です。

証拠を掴みたい場合、パケットをキャプチャして見てはいかがでしょうか？
通常のWEB 通信であれば、平文での通信が行われ、内部にHTTP ヘッダなどの情報が含まれますが、Winny であれば異なった文字列が見られます。

◆パケットキャプチャソフト
http://www.ethereal.com/
http://netgroup-serv.polito.it/winpcap/
[Ethereal]と[WinPcap]の両方をインストールする必要がありますが、WinPcapのサイトが繋がりません。。。

◆使い方
http://www.space-peace.com/ethereal/

raze · Answer

ルータ配下にあるPCでも一台一台パーソナルファイアーウォール入れてアプリにしろバックグラウンドで
動くプログラムにしろしっかりチェック出来るように
しないといけない。たぶん、社内ユーザーが休憩時間を利用してP2Pやりたいもんだから「開いてるポート
ないかなァ」ってポートスキャンなんじゃないの　？
P2Pソフトは大抵ポート指定できるよ。

kuma-ku · Answer

こんにちは
正直なところ、どのような理由でPort スキャンが働いているか、特定するのは困難です。

なので、ルータのIP フィルタを使用し、必要なPort 以外はたとえローカルからInternet への通信であっても、止めてしまうのが正解だと思います。

基本的には、以下のアプリだけを通すのが手っ取り早い課と思います。

TCP
20-21：FTP
25：SMTP
53：DNS
80：WEB
110：POP
113：ident

UDP
53：DNS

その他、業務用のアプリがあれば通す必要があります。

参考までに、、、
WinMX：6699
Winny：7743

Aruku-20030515 · Answer

管理者として脅威なのは
不明（管理対象外のコンピュータ）のコンピュータを
接続されることによって、社内の端末が
乗っ取られたり、ウイルスに感染する事です。

貴方が思われている疑問と疑いは、確かなことで
よく新種のウイルスによって、社内の端末やサーバが
汚染させられる事はたたあります。

また、不明な端末に備えられているスパイウエアにより
極秘情報がながれる危険性も十分考えられますので

その旨を上層部に伝え、貴方の権限を上げるのも良いかとおもわれます

ポートスキャン攻撃の原因として考えられませんか？

ネットワーク管理者としてとても辛い立場にいらっしゃるようですね。

◆Ethereal でのHTTP キャプチャ

P2Pトラフィックの監視でしょ ？

＞不要なポートは指摘された通り遮断しているのですが詳しい人に聞いた所、交換ソフトの方でポート80でも使えると聞いています。

ルータ配下にあるPCでも一台一台パーソナルファイアーウォール入れてアプリにしろバックグラウンドで

こんにちは

管理者として脅威なのは

似たような質問が見つかりました

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング

P2Pトラフィックの監視でしょ　？