DHCPのリースログに変なmacアドレスが入る。

バッファローのBLR3-TX4を使用して
パソコン３台、ハブ１台でインターネットをしています。

以前からルータのＤＨＣＰのリースログに家では使用していないmacアドレス(４代目のパソコン)が出てきました。
32:ff:b9:＊:＊:＊
82:FC:40:＊:＊:＊
00:0B:97:＊:＊:＊

など、上２つは偽装したものと思われるのですが、

１．これってパスワードがばれてしまっているのでしょうか？

２．パスワードは変えてみましたが、この場合、考えられる被害ってどういうものでしょう？
共有フォルダの内容などだけで済むでしょうか？(NetBEUIで共有しています)

３．パスワードを変えるしか、方法はないでしょうか。

４．あと、このルータはIDを替えることができないので、他の物に変えた方が良いでしょうか？

５．ハブにもmacが振られていてるのでしょうか？

そもそもどうやってこんなことをしているのか、理屈もわからないので、防御のしようがありません。

解らない事ばかりですが、よろしくお願いします。

No.16 ベストアンサー 回答者： HiddenMotive 回答日時： 2005/05/17 12:16

> >>CATV だとなぜ「ブロックする」にできないのですか？

>
> この設定項目が具体的に何をするものか私には解りませんが、「ブロックする」にするとＨＰの閲覧ができなくなってしまいます。
> BLR3-TX4 がローカルアドレスに使われるＩＰ番号すべてを無視してしまうために、ＣＡＴＶ側のＬＡＮに参加できないのかな？と推測しています。

(「ローカル」ではなく「プライベート」ですよね。) なるほど。するとやはり No.15 に書いた「プライベート IP …… DHCP …… BLR3-TX4 の IP spoofing ブロックの仕様 …… IP アドレスを取得できない」ということかもしれませんね。

> >>推定される原因
>
> ＷＡＮ側のＤＨＣＰクライアントというのは、具体的には、ＣＡＴＶの機器や、他ユーザの機器(モデム直結パソコン)などを指すのでしょうか？

そうです。他ユーザの機器にはモデム直結パソコンだけでなくモデムに繋いだルータも含みますが。

> 自分はそういった外側のＤＨＣＰクライアントというのは、まずＣＡＴＶの用意するルータに繋がっているものと考えていたのですが、普通に有り得ることでしょうか？

CATV の屋舎内のルータに繋がっているのは当然のことなのですが(そうでないと外界＝the Internet に出られませんよね。)、ご質問の趣旨は CATV 屋舎内の機器や他ユーザの機器が IP 的に同じネットワーク内に在るというのが一般的なことなのかということですね。

特殊というか、何も考えていないプロバイダでないと、そんなネットワーク構成にはしていないと思います。

No.13 で Pesuko さんが「ＣＡＴＶ使用なら、ＬＡＮ配線になっているから、遊び半分のアタックは大量に着ますよ。」と仰っていますが、それは CATV では他ユーザの機器が IP 的に同じネットワーク内に在るというのが一般的ということを言っているのかもしれませんね。(CATV 会社には何も考えていないところが多いということ？ 少し前まではたしか Yahoo!BB がそういうネットワーク構成で批判を浴びていたように記憶しています。)

> それから「確認方法」で教えてくださったことは、休みの日に一度試してみたいですが、どのように検証したら良いでしょうか？(^^;
> 「外パソコン ← ルータ ← 内パソコン」
> として、内パソコンから状態を確認すれば良いでしょうか？

「内パソコン」は繋いでも繋がなくてもいいです。「外パソコン」で ipconfig /all でもしてみて下さい。ああ、ルータのログは「内パソコン」からでないと見られないかもしれないですね。

No.15 で「ルータの WAN 側 IP アドレスを手動設定する(例：192.168.1.1(255.255.255.0))。」と書きましたが、ルータの LAN 側 とは別のネットワークになるようにご注意下さい。(同じネットワークにはそもそも設定できないかもしれませんが。) また、ルータの DHCP サーバはもちろん on に。

この回答へのお礼

なかなか時間がとれませんで、すいませんでした。
教えていただいた方法で試してみましたが、DHCPの割り当てはもらえませんでした。

どうも手詰まりになってきましたが、皆さんからいただいた情報によって、自分の中で曖昧だったものがはっきりした物になったりと、やはりココで質問してみて良かったです。

しばらくは、パスワード管理とログのチェック、共有フォルダは一時的に利用するのみにして、再発するようでしたら、DHCP機能をOFFにするか、ルータの買い替えも考えてみようと思います。

相談に乗っていただいた皆様全員に感謝致します。
本当にありがとうございました。

お礼日時：2005/05/25 10:44

No.15 回答者： HiddenMotive 回答日時： 2005/05/16 14:39

これまでの質問と回答で得られていることを(勝手に)整理しますね。

Q. LAN 内の機器のものではない MAC アドレスが、ルータの DHCP のリースログにある。WAN 側からの何らかの攻撃でこのようなことが起こるか？

A. なぜそんなことになっているのかわからない。LAN 側に何かを繋がない限り、(ルータのバグでもなければ)そんなことは起こらない。

で、少し確認させて頂きたいのですが、

> 設定画面をみていて気づいたのですが、「アタックブロック」の項目で「IP Spoofing」をブロックするというのがあります
> が、よくよく調べてみると今回はこの攻撃を受けたのでしょうか？
> そう仮定すると、うちはＣＡＴＶでこの項目を「ブロックする」にできないため、ちょっと困りますが。。。

CATV だとなぜ「ブロックする」にできないのですか？ プライベート IP アドレスを割り当てるプロバイダ(CATV に限らない。)を利用している場合、BLR3-TX4 の WAN 側 IP アドレスを DHCP で自動取得にしていると、BLR3-TX4 の IP spoofing ブロックの仕様により、DHCP の通信が IP spoofing だとみなされ WAN 側 IP アドレスを取得できない、という話ですか？

なお、今回の現象の理由が IP spoofing であるとは思われません。

> 仮に自分のLANが 192.168.0.1～ でしたら
> 「WAN(インターネット)、 無視、 ----、 送信元IPアドレス192.168.0.0/24 、全て」
> という設定でも問題ないでしょうか？
> こちらから見えるケーブル側の割り当ては、違う番号の系列になっています。

「こちらから見えるケーブル側の割り当て」の意味がわからないのですが、おっしゃる設定で問題ないはずです。ただし、これで今回の現象が起こらなくなるというわけではありません。問題ないというのは、今まで通りインターネットを利用できるという意味です。

> 例えばトロイのような物が私のパソコンに入っていれば、今回のようにローカルエリア内の一員になるなことが可能なのでしょうか？(なりすましパソコン？、なりすましnic？)
> そうすることでどんな利益があるか見当がつきませんが。^^;

可能だと思います。

最後に、今回の現象の原因を推定します。

推定される原因： ルータの WAN 側に DHCP のクライアントが存在する。その WAN 側からの IP アドレス割り当て要求に対し BLR3-TX4 が割り当てを行ってしまった。いわば BLR3-TX4 の(ひどい)バグ。
確認方法： CATV の設備(モデム？)からルータを切り離し、ルータの WAN 側 IP アドレスを手動設定する(例：192.168.1.1(255.255.255.0))。IP アドレス自動取得に設定した PC をルータの WAN 側に繋ぐ。

でも、この推定があっていたら CATV の他のユーザに迷惑がかかっていることになりますね。

この回答への補足

今まで慌てて言葉足らずな箇所が多かったことに気づきました。ちょっと補足します。

・リースログにあった３つのmacアドレスは、ここ２，３年の間に起こったことで、頻度としては１年に一件(見つけただけで、ですが)。

・前２件のmacアドレスは普通には有り得ないもので、偽装したもの(だろうこと)

・そのたびにパスワードを変えただけでＤＨＣＰ機能はそのままでしたが、すぐさま同じことが起こった事はなかった。
（ルータがハッキングされていたのであれば、リースログを消すのはボタン一つですので、簡単な事だと思われますが・・。）

・現在、またＤＨＣＰ機能ＯＮにしてみましたが、今のところ変なリースはしていない。

補足日時：2005/05/17 04:23

この回答へのお礼

具体的なご回答ありがとうございます。

>>CATV だとなぜ「ブロックする」にできないのですか？

この設定項目が具体的に何をするものか私には解りませんが、「ブロックする」にするとＨＰの閲覧ができなくなってしまいます。
BLR3-TX4 がローカルアドレスに使われるＩＰ番号すべてを無視してしまうために、ＣＡＴＶ側のＬＡＮに参加できないのかな？と推測しています。
そこで「ＷＡＮ側ＩＰアドレス」に表示されているＩＰとかち合わない、192.168.0.0/24(自ＬＡＮ内で使う番号)だけを無視する設定はどうかと考えました。

>>「こちらから見えるケーブル側の割り当て」の意味がわからないのですが、

ルータの「ＷＡＮ側ＩＰアドレス」の意味で書きました。
ケーブルと書いたのはＣＡＴＶのことです。紛らわしい書き方をしてしまいました。

>>推定される原因

ＷＡＮ側のＤＨＣＰクライアントというのは、具体的には、ＣＡＴＶの機器や、他ユーザの機器(モデム直結パソコン)などを指すのでしょうか？
自分はそういった外側のＤＨＣＰクライアントというのは、まずＣＡＴＶの用意するルータに繋がっているものと考えていたのですが、普通に有り得ることでしょうか？

それから「確認方法」で教えてくださったことは、休みの日に一度試してみたいですが、どのように検証したら良いでしょうか？(^^;
ルータの外にパソコンをつないだ経験がないもので、、、申し訳ありません。

「外パソコン ← ルータ ← 内パソコン」
として、内パソコンから状態を確認すれば良いでしょうか？

お礼日時：2005/05/17 04:27

No.14 回答者： mii-japan 回答日時： 2005/05/15 11:32

＃９さんへ

リピータHUBは単純に全てのポートへ転送する

スイッチングHUBの場合、Ethernetヘッダーのあて先MACアドレスとアドレス管理テーブルから転送先ポートを判断し、そのポートへ転送する
あて先不明とブロードキャストは全ポートへ転送します
エラーデータは転送しないで破棄する

と言うことでしょうか

No.13 回答者： Pesuko 回答日時： 2005/05/14 15:50

＞IP Spoofing

IP Spoofingの説明。
http://www.ipa.go.jp/security/fy12/contents/crac …


(2) IP Spoofingの原理のところにある図でアタッカーが最初にする
「ダミーの接続で初期シーケンス番号を要求」してきても、
「ＷＡＮからの接続を無視」にしておけば、何も反応がないから対応できなくなるのです。

相手が通常その前にＰＩＮＧで使用アドレスをサーチしてきますが、「無視」するので、使用しているかどうかもわからないのです。

ですから必ず「ＷＡＮから何か要求があったら無視する」にしておくべきなのです。

ＣＡＴＶ使用なら、ＬＡＮ配線になっているから、遊び半分のアタックは大量に着ますよ。

この回答へのお礼

ありがとうございます。
仮に自分のLANが 192.168.0.1～ でしたら
「WAN(インターネット)、 無視、 ----、 送信元IPアドレス192.168.0.0/24 、全て」
という設定でも問題ないでしょうか？
こちらから見えるケーブル側の割り当ては、違う番号の系列になっています。

ご指摘を無視するようで申し訳ないのですが、以前から「動作」のところには「wan」「無視」が表示された状態でやられたものですから、心配で。f^^;

お礼日時：2005/05/14 19:17

No.12 回答者： Pesuko 回答日時： 2005/05/13 19:51

＞設定画面ではセレクトボックスで「ＷＡＮ(インターネット)」と「無視」するという表示になっていますが、何をか設定するためには「宛先IPアドレス」「送信元IPアドレス」「プロトコル」などを入力しなければならないのではないでしょうか？

無いもいらないです。
ＷＡＮから何か要求があったら無視する（返事しない）設定です。


拒否する＝アタッカーに拒否信号が帰る
許可する＝許可されます
無視する＝拒否信号も帰らないから、アタックが有効なのかも解らないのです。

この回答へのお礼

「動作」のところに「ＷＡＮ(インターネット)」と「無視」出ていればＯＫと言う事でしょうか。知りませんでした。

設定画面をみていて気づいたのですが、「アタックブロック」の項目で「IP Spoofing」をブロックするというのがありますが、よくよく調べてみると今回はこの攻撃を受けたのでしょうか？

そう仮定すると、うちはＣＡＴＶでこの項目を「ブロックする」にできないため、ちょっと困りますが。。。
ありがとうございました！

お礼日時：2005/05/13 21:00

No.11 回答者： hoihence 回答日時： 2005/05/13 17:42

NetEnumを試してみたらどうでしょうか。

http://www.forest.impress.co.jp/lib/inet/servern …

インストールした後、「ファイル」→「検索」を選択して、「MACアドレス取得」にチェックを入れて「検索」をクリック。

この回答へのお礼

便利なツールですね。
「windowsネットワークが認識しているホストの列挙」では自機しか出て来ないのですが、これはNetBEUIで共有しているからでしょうか？(なんか違う気がしますが^^;pingでやるとホスト名不明で列挙されます。)
面白そうなので、もう少しいじってみます。
ありがとうございました！

お礼日時：2005/05/13 20:52

No.10 回答者： hoihence 回答日時： 2005/05/13 16:21

大変申し訳ないことをしてしまいました。

kind-jokeさん、mii-japannさん　ごめんなさい。
先の発言を撤回するとともにお詫びいたします。
勉強しなおします。

この回答へのお礼

いえ、話に乗って頂いて感謝しています。
ここで質問する前は、ひとりで考えて煮詰まってしまうだけでしたから。

引き続きアドバイスいただけたら嬉しいです。
よろしくお願いします。

お礼日時：2005/05/13 16:52

No.9 回答者： hoihence 回答日時： 2005/05/13 16:04

#8さんへ

単に中継するだけといってもEthernetヘッダーの情報を参照しながら通信を行ってるんですよ。わかってます　？

この回答への補足

混乱させて申し訳ないです。
メーカーＨＰです。
http://www.corega.co.jp/support/faq/search/faqR5 …
私の使っている機種もここに入っています。

補足日時：2005/05/13 16:07

No.8 回答者： mii-japan 回答日時： 2005/05/13 15:31

＃７の方へ

HUBにMACアドレスは必ずしも必要ではありません

MACアドレスを必要とするのは、そのポートを持っている機器そのものとデータの送受信を行いたい場合です

HUBは（スイッチングHUBを含めて）HUBそのものとのデータの送受信は行いません、単にデータを中継するだけです、ですから、MACアドレスが無くても動作します

インテリジェントHUBで、HUBに固有の設定を行うことやlogその他のデータが見られる機能がある場合、その機能を利用するためにMACアドレスが付与されています、IPアドレスを設定することができるものもあります

なお、余談ですがMACアドレス変更できるものもあります（MACアドレスにもIPアドレスのプライベートアドレスに相当するものがあります）
10年位前のNICはほとんどがMACアドレス変更が可能でした（近頃のは知りません）

この回答への補足

例えばトロイのような物が私のパソコンに入っていれば、今回のようにローカルエリア内の一員になるなことが可能なのでしょうか？(なりすましパソコン？、なりすましnic？)

そうすることでどんな利益があるか見当がつきませんが。^^;

補足日時：2005/05/13 16:09

No.7 回答者： hoihence 回答日時： 2005/05/13 14:55

まずですね、「５．ハブにもmacが振られていてるのでしょうか？」の文章がおかしいです。

プライベートIPを割り振るのであって、MACアドレスを割り振るわけではないです。MACアドレスは機器一台一台にユニーク(一意)になってるので変更できないです。IPアドレスとMACアドレスの対応付けが可変になってるだけです。
Ethernet内ではMACアドレスによって最終的な通信相手を判断してます。ハブも当然MACアドレスを持ってます。持ってないという人やあやふやな事を言う人がいますが間違いです。もし、持っていないというのであれば、ハブを経由した通信は確立しないということになってしまいます。従って、MACアドレスは全部で4つ。なんら問題ありません。具体的に何か被害等が生じたのでしょうか。個々の機器のMACアドレスを知りたいのであれば、「GET MAC」コマンドを使ってください。

この回答への補足

ネットワーク系の知識が乏しい物で申し訳ありません。
#8さんがフォローしていただいている通りですが、getmacコマンドは自分のOS(XP home) にはないようです。
有用なコマンドは残しておいてもらいたいものですが。^^

補足日時：2005/05/13 15:29