攻撃を受けているのでしょうか？教えて！！

私は、coregaの無線ブロードバンドルーターを
使っているのですが、7月28日から下記のlogが
ブロードバンドルーターから頻繁に送られてくる
ようになりました。1度はsecurity alertが送られて
きました。内容は以下の通りです。

security alert ［3c:85:c6］
2005-07-28 23:17:18 - TCP Flood - Source:206.204.51.133,11543,WAN - Destination:***.***.**.**,1284,LAN

さまざまなsource address から1分間に
3回程度、私のIP addressの1284番port
に対してSYN アタックをしてきている
のではと思っているのですが違いますでしょうか。
ブロードバンドルーターから送られてくる
メッセージは、ブロードバンドルーターの
1080番portでblockedしましたよ。
ということだと思っているのですが。
ルーターでブロックされているのでPCまでは
来ていないので大きな影響は無いと判断しております。
しかし、急にアタックが始まった理由、このような
場合にはどうしたらいいのか。放っておいても問題は
無いのかなど、対処策、アドバイスをいただければ
と思い質問いたしました。

私は心配しており、防ぐ方法があれば防ぎたいと
考えているのですが、どうしていいのかわかりません
でした。

以上です。
よろしくお願いいたします。

------送られてくるlog一部抜粋--------------

[2005-07-30 17:41:13] | From:[58.0.236.146] | Port:[1080] | [Blocked]
[2005-07-30 17:41:17] | From:[218.226.93.235] | Port:[1080] | [Blocked]
[2005-07-30 17:42:13] | From:[218.182.240.254] | Port:[1080] | [Blocked]
[2005-07-30 17:42:22] | From:[218.187.101.83] | Port:[1080] | [Blocked]

No.6 ベストアンサー 回答者： hoihence 回答日時： 2005/08/02 13:44

#4です。

今のインターネットというのは、悪意のある不正なパケットが日常的にビシバシ飛び交ってるので、備えが甘いとやられちゃいます。

で、ルーター+PFW(パーソナルファイアーウォール)の構成は必須です。
正しく運用するのは言うまでもありません。

「急にアタックが始まった理由」は、はっきりとはわかりませんが、Botnetの可能性があります。指令を受けた所謂ゾンビPCが活動を始めたのかも。
接続を開始した時にアタックが始まってませんでしょうか。

その筋のコミュニティーなんかでは、BotやRATが人気があるらしいのです。

個人情報持ち出し系のMalwareもこの先バリバリ蔓延りそうな感じになってきてるので、バックグラウンドで密かに外と通信しようとするアウトバウンドトラフィックを確実にキャッチアップできるようになってないとだめだと思います。

この回答へのお礼

その通りです。接続を開始した時にアタックが
始まってます。Botnetだと思います。
ご解答ありがとうございました。
もしよろしければ、アウトバウンドトラフィックの
キャッチアップ方法など教えていただけると助かります。すいません。

お礼日時：2005/08/04 08:53

No.7 回答者： hoihence 回答日時： 2005/08/04 13:25

#4です。

お使いのセキュリティーソフトにPFWの機能がありませんでしょうか。
無ければ、OutpostやKerioをお勧めします。

最初、使い慣れるまでちょっと苦労するかもしれませんが。

http://eazyfox.homelinux.org/
↑
FireWallに詳しい。画面上の方の「製品紹介」をクリックしてみてください。

この回答へのお礼

返事が遅くなりました。
大変感謝しております。
ありがとうございました。

お礼日時：2005/08/11 00:44

No.5 回答者： xcrOSgS2wY 回答日時： 2005/08/02 13:29

#3です。

今回のポート1080へのアクセス試行の現象は、質問者さんのPCのIPアドレスに狙いを定めて行われたものではないと考えます。

同じPCに対して多数の同じ調査（今回であればポート1080へのアクセスが可能であるかどうか）を「ゆっくり」行っても意味がありません。これは同じPCに対して調査を多数回行っても調査結果が変わるものではないからです。（ごく短時間に「多数」行うのであれば調査ではなくDDoS攻撃である可能性がありますが、今回これはあてはまりません。）

おそらく、いわゆる「ボットネットワーク」に「ポート1080が空いているPCを探せ」という命令が送られ、それによってボットネットワークが一連のIPアドレスに対して順次（あるいはランダムに）、ポート1080へのアクセスが可能かどうか調査しているものと思います。

この回答へのお礼

ありがとうございました。大変参考になりました。
おっしゃるとおり、ボットネットワークの仕業
だと思いました。DDoS攻撃かと心配していましたので
少し安心？しました。現在はアクセスは止まっています。

お礼日時：2005/08/04 08:34

No.4 回答者： hoihence 回答日時： 2005/08/01 17:23

こんにちは。

Alertの方は、US カルフォルニア州のサンタクララにあるCONXIONというネットからのFloodみたいです。

logの上2つは利用されてるプロバイダだと思います。
3つ目のやつはYAHOOみたいです。
4つ目のやつは台湾みたいです。

で、一応、防いでくれてるようですので、大丈夫だと思いますけど。
攻撃の送信自体は、こちら側としてはコントロール出来ないです。
なにせ、あちら側が勝手にやってることですので。

この回答へのお礼

ありがとうございました。
nslookupで調べられたのでしょうか？
自分で出来ることは、防ぐのみということですよね。
ご返信に感謝いたします。

お礼日時：2005/08/02 11:15

No.3 回答者： xcrOSgS2wY 回答日時： 2005/08/01 12:38

security alertは、その日時、そのポートにTCP Floodが行われたという単発の警告でしょう。

ログのほうはポート1080へのアクセスで、security alertとは別の攻撃のようです。

ポート1080はSOCKS Proxyが使用しているポートなので、おそらく他のマシンへの攻撃の踏み台として使用できるProxyを探しているのでしょう。

いずれにしても、1分に数回程度の頻度であれば、それは普通のことなので気にする必要はありません。これが毎秒数回ということになれば話は別で、プロバイダ等に相談したほうがよろしいかと思います。

この回答へのお礼

なるほど、踏み台proxyを探しているんですね。
今までほとんどなかったのに、ある時から急に増える
というのは、どこかのproxy紹介サイトに私のIPが掲載されたとかなのでしょうか？
しかし、1分間に数回程度は問題無いと聞いて安心しました。
ありがとうございました。

お礼日時：2005/08/02 11:25

No.2 回答者： mokunjp_yahoo 回答日時： 2005/08/01 02:34

そのIPアドレスは晒すとちょ～っとまずぅーい

ような気がします。その人たちのプロバイダに
ウィルス対策をしているかどうかを告知して
あげたほうが良いかもです＾＾；ワームに感染
した人たちが知らずに発信してるのをブロック
しているような・・・

１２８４は聞いたことないです。１１５４３は
なんらかのデータベースサーバー・・なんで？＾＾；

無差別にアタックしてる子羊と思えばよいかもですね・・

この回答へのお礼

アドレス出すのはまずかったですよね。
気をつけます。プロバイダ-の対策に問題ありか。
なるほど。ありがとうございました。

お礼日時：2005/08/02 11:29

No.1 回答者： noname#135138 回答日時： 2005/08/01 01:37

専用線などの静的ＩＰを取得していない環境でしたら一度回線を切断し、

再度接続することでＩＰアドレスを変えることが出来ますので
この方法でとりあえず回避してはいかがでしょうか？

この回答へのお礼

ありがとうございました。
回線を切断して回避してみます。
具体的な対応を教えていただき感謝いたします。

お礼日時：2005/08/02 11:30