ルータのログにものすごい勢いで不審なUDPパケットが流れている

ルータのログにものすごい勢いで不審なUDPパケットが流れています。以下、その一部です。ポート番号の右に自分でWhoisした結果を添えています。多すぎて全部調べられないのですが、これら接続先に共通する点などありますでしょうか？

このルータは私一人が個人で使用していて、ほかの利用者はいません。ルータには複数のPCが接続されていましたが、その中のひとつをシャットダウンするとこのパケットはなくなりました。しかし、そのPCのファイアーウォールのログにはこのトラフィックログは記録されていません。

どなたかお分かりになるかたおられましたらどうぞよろしくお願いいたします。

LAN IP Destination URL/IP Service/Port Number

192.168.1.1 83.148.97.169 20129 RIPE Network Coordination Centre
192.168.1.1 201.1.220.38 20129 Latin American and Caribbean IP address Regional Registry
192.168.1.1 201.69.133.185 20129 Latin American and Caribbean IP address Regional Registry
192.168.1.1 122.4.67.139 48510 Asia Pacific Network Information Centre
192.168.1.1 213.96.103.14 20129 RIMA
192.168.1.1 59.45.77.130 13165 Asia Pacific Network Information Centre
192.168.1.1 84.90.125.242 20129 RIPE Network Coordination Centre
192.168.1.1 10.0.3.154 5353
192.168.1.1 121.23.93.131 61401 Asia Pacific Network Information Centre
192.168.1.1 210.6.180.236 20129 EVERGREEN
192.168.1.1 162.39.190.162 62497 Windstream Communications Inc
192.168.1.1 72.137.99.155 20129 Rogers Cable Communications Inc
192.168.1.1 222.69.173.111 1964 Asia Pacific Network Information Centre
192.168.1.1 220.185.209.223 65037 CHINANET-ZJ-TZ
192.168.1.1 169.254.25.129 netbios-ns
192.168.1.1 164.77.109.193 60895 EU-ZZ-164
192.168.1.1 74.103.20.202 63526 Rogers Cable Communications Inc.
192.168.1.1 200.153.203.231 64573 TELECOMUNICACOES DE SAO PAULO S.A. - TELESP
192.168.1.1 82.52.103.78 13635 TELECOM-ADSL-5
192.168.1.1 189.13.33.68 20129 Latin American and Caribbean IP address Regional Registry
192.168.1.1 200.159.220.164 20129 Brasil Telecomunicacoes SA
192.168.1.1 200.163.149.225 20129 Brasil Telecom S/A - Filial Distrito Federal
192.168.1.1 201.68.102.240 20129 Latin American and Caribbean IP address Regional Registry
192.168.1.1 201.93.1.131 20129 Latin American and Caribbean IP address Regional Registry
192.168.1.1 71.103.145.219 60228 Verizon Internet Services Inc.
192.168.1.1 190.84.130.84 20129 Latin American and Caribbean IP address Regional Registry
192.168.1.1 77.123.150.154 20129
192.168.1.1 84.222.29.131 20129
192.168.1.1 61.229.34.145 20129
192.168.1.1 211.90.120.41 36235
192.168.1.1 189.10.151.172 20129
192.168.1.1 72.232.237.213 20129
192.168.1.1 200.191.185.241 20129
192.168.1.1 221.201.202.100 64529
192.168.1.1 200.149.87.233 20129
192.168.1.1 200.100.213.136 20129
192.168.1.1 87.10.134.223 20129
192.168.1.1 218.28.5.218 14340
192.168.1.1 10.0.3.154 5353
192.168.1.1 213.167.24.253 20129
192.168.1.1 201.41.173.19 20129
192.168.1.1 200.141.122.8 20129
192.168.1.1 200.149.87.233 20129

No.5 ベストアンサー 回答者： WildBoar 回答日時： 2007/03/30 15:46

＞このような組織にパケットを送ることの理由として、どのようなことが考えられますでしょうか？

＞PCがDDNSクライアント化さ登録をしようとしているのでしょうか？

（１）コマンド「nslookup 83.148.97.169」にて、接続先ホスト名を確認してください。
　　　こちらでは「fiber-169.unexbg.com」と表示されます。

（２）次に、「http://whois.prove-wsc.com/」などのサイトで
　　　「unexbg.com」を入力すると情報が表示されます。

（３）たとえば、「www.unexbg.com」にアクセスすると、どうやら、自作パソコンのネットショップのようです。

（４）上記のサイトのIPアドレスは「RIPE Network Coordination Centre」の管理下にあるのでしょう。
　　　ただ、この組織にパケットを送信していたとは考えにくいです。
　　　なにかの理由でドメイン「unexbg.com」管理下のサーバ「fiber-169.unexbg.com」に送信していた
　　　と考えるのが妥当です。

（５）上記のＩＰアドレスが「偽装」でないとすると、問題のＰＣの何かのプログラム、サービスが
　　　送信していたことになります。

（６）ちなみに、whois情報のメルアド「ivan_boev@dir.bg」
　　　のドメイン「dir.bg」もwhoisに登録があるようです。
　　　また、「http://www.eastcourt-rokko.com/domain/tlddata.html」にて「bg」を検索すると
　　　「ブルガリア」だそうです。
　　　ただし、IPアドレスが「偽装」だったりすると上記の調査は意味がないです。

（７）あと、リモートポート 20129を、よく使うサービス？がインストールされてるんでしょうか？
　　　この番号は、全く知らないです。
　　　以下のサイトが参考になります。
　　　「http://ja.wikipedia.org/」にて「ポート番号」で検索。

（８）WindowsXPでは、コマンド「netstat -a -b」で、アクティブな TCP/UDP 接続の実行可能ファイルの一覧が出ます。
　　　あやしいファイルがありますか？

（９）ごめんなさい。これ以上のことはわかりません。
　　　（スパイウェア文化についても、まだ勉強中です。）

この回答へのお礼

ありがとうございます。非常に参考になりました。

お礼日時：2007/05/20 23:45

No.6 回答者： sei44 回答日時： 2007/05/17 13:51

参考までに

同じように20129に対するエラーメッセージが出ています
　　こちらの環境は　XP　光接続　で
　　ルーターではなくて　S社のFWが異常を検知して
　　メッセージが出てきました
　　
　　ポート開閉確認ツール（CureePorts）で確認したところ
　　検知しませんでしたが　再起動して再度確認したところ
　　画像等ダウンロードソフト（Orb＊＊）が使用していました
　　恐らく　このソフトを終了（画面にアイコンが出てきて
　　うるさかったので）してから　出るようになったのでは
　　ないでしょうか　
　　　　どなたか詳しい方　解説願います

この回答へのお礼

＞ダウンロードソフト（Orb＊＊）が使用していました

Oebit Downloader というソフトが確かにインストールされていたようです。

お礼日時：2007/05/20 23:44

No.4 回答者： WildBoar 回答日時： 2007/03/30 00:08

最近、ネットワークセキュリティに取り組んでいる者です。

ズバリの回答ではありませんが、情報をお知らせします。

(１）192.168.1.1 83.148.97.169 20129 RIPE Network Coordination Centre

192.168.1.1、からルータを通して、83.148.97.169のポート20129宛にアウトバンド方向で接続されていると思えます。
Linux、WindowsXPなどでは、コマンド「nslookup 83.148.97.169」にて、接続先ホスト名が確認できます。

Whoisドメイン名検索サイト
(たとえば、http://whois.prove-wsc.com/　あるいは　http://www.internic.net/ )にて、
マシン名を除いたドメイン名(abc.def.comならdef.com)を入力すると、そのドメインの登録者がわかります。
マシンの管理者がわかることがあります。
代理登録業者のときは、本当の管理者は読み取れません。

「RIPE Network Coordination Centre」は以下のサイトに情報があります。
（http://ja.wikipedia.org/wiki/RIPE_NCC）
ヨーロッパ、中東、中央アジアを管轄するIPアドレス管理組織のようです。

また、Whoisに関しては（ＸＰときは、スタート・ヘルプとサポートにて「Whois」で検索）
　[NT]InterNIC でインターネット ドメイン登録情報を確認する方法
　http://support.microsoft.com/kb/169213/ja?FR=1&P …
に詳しい情報があります。

（２）ＳＳＨのポート番号
＞ルータBのアクティブセッションのログに、
＞10.0.4.53:4569 TCP 0.0.0.10:22 57751 62298
＞というものがあるのですが、0.0.0.10.22とは何でしょうか？10.0.4.53はSSHサーバです。

２２は、SSHのポート番号のようです（使ったことはありません）。
「0.0.0.10」についてですが、もしかして、サブネットマスク「255.255.255.0」などと
関連があるのでしょうか？

（３）「Windows Defender」は御存知でしょうか？

http://www.microsoft.com/downloads/details.aspx? …

参考になれば幸いです。

この回答へのお礼

>ヨーロッパ、中東、中央アジアを管轄するIPアドレス管理組織のようです。

このような組織にパケットを送ることの理由として、どのようなことが考えられますでしょうか？PCがDDNSクライアント化さ登録をしようとしているのでしょうか？

＞「0.0.0.10」についてですが、もしかして、サブネットマスク「255.255.255.0」などと関連があるのでしょうか？

そうなのですか？サブネットマスクは255.255.255.0にしています。0.0.0.10というのはまったく初めてみるIPなので、どのようなものか木になっています。

＞（３）「Windows Defender」は御存知でしょうか？

名前は聞いたことがあったものの使ったことがなかったので、使用してみようと思います。

お礼日時：2007/03/30 11:28

No.3 回答者： FMVNB50GJ 回答日時： 2007/03/26 22:21

たとえばこれ

192.168.1.1 200.149.87.233 20129

192.168.1.1＝LAN IP
200.149.87.233＝Destination URL/IP
20129＝(200.149.87.233の)Service/Port Number

ということですかね。Destinationを相手先としたら、あなたのパソコンから200.149.87.233の20129番ポートにパケットを送っていると思えますが。

「PCのファイアーウォールのログ」よりは、接続ログのほうが的確のように思えますが。ファイアーウォールログは、たいてい、遮断したものとかプログラム起動とか、だと記憶していますが。

ルーターとインターネット間のパケットはとらないと思いますが、ルーターとパソコンとのパケットは取れるので調べるならいいと思いますが。
http://www.wireshark.org/

当方XPしか使えない素人ですので当てにはなりません。
したがって「原因を突き止められる人」には該当しません。

192.168.1.1 169.254.25.129 netbios-ns
たしかにUDPですね。

この回答へのお礼

>ということですかね。Destinationを相手先としたら、あなたのパソコンから200.149.87.233の20129番ポートにパケットを送っていると思えますが。

そうです。

＞http://www.wireshark.org/​

たすかります。

お礼日時：2007/03/26 22:41

No.2 回答者： 123admin 回答日時： 2007/03/26 19:39

ＭＳサポートページで調べると

http://support.microsoft.com/kb/824866/ja

20019リモート アクセス サーバーのセキュリティ エラーです。コンピュータ名が見つかりません。GetComputerName の呼び出しに失敗しました。

なんてのがありますね。
ＸＰのリモートに接続してアクセス権を奪取し様としていたのかな？
海外の複数箇所からの接続ですのでボットの攻撃でしょう。
その引き金は停止したＰＣが何らかのスパイウェアにやられていた可能性がありますね。
攻撃が停止した途端になくなった事実からはね。
あくまで可能性ですので、出会い頭の攻撃かもしれません。

ウイルス対策ソフトを入れていてもスパムメールを興味本位で覗いてリンク先に行ったら感染なんて例が多いようです。


2006年の10大脅威 「脅威の“見えない化”が加速する！」
http://www.ipa.go.jp/security/vuln/20070309_ISwh …

仕事に使うのでしたら、最悪の事態を回避する為にセキュリティの見直しに行った方が宜しいかと。

尚、問題のPCの対策ソフトは何を使っていたのでしょう？
Ｓが付いても1980円又はVista終了まで無料なんてのを使っていたのなら、思わず納得してしまうんですが。

この回答への補足

ルータBのアクティブセッションのログに、

10.0.4.53:4569 TCP 0.0.0.10:22 57751 62298

というものがあるのですが、0.0.0.10.22とは何でしょうか？10.0.4.53はSSHサーバです。

補足日時：2007/03/26 21:47

この回答へのお礼

セキュリティソフトは、どちらもフリーのもので、FirewallはcomodoアンチウィルスはAvast Homeです。Firewallの方で、ルータが割り当てたローカルネットワーク全部をブロックしないように設定していました。そのためログが残らなかったのだと思われます。

また、ご指摘のとおり、リモートデスクトップを有効にしていました。ほかにも、SSHやSyslog等のサービスをそのPCで動かしています。

ネットワークの構成は以下のようになっています。上記はルータAの記録になっています。

インターネット
↑↓
ルータA　192.168.0.1 ←→ PC-1, PC-2, PC-3
↑↓
ルータB 192.168.1.1 ←→　MyPC-1（10.0.X.X）, MyPC-2(10.0.X.X).

少し怪しいことがあるのですが、そのトラフィックが流れた時はルータBが割り当てるIPを10.0.3.x にしていて、現在は10.0.4.xにしたのですが、それにもかかわらず、ルータWAN:192.168.1.1から10.0.3,154というアドレスにUDP5353への接続がルータAの記録にあります。この、10.0.3,154　は変更前のその問題のPCのIPです。

お礼日時：2007/03/26 20:27

No.1 回答者： athanasius 回答日時： 2007/03/26 17:31

マルウェアか、P2Pのような気がしますが。

この回答へのお礼

そのPCはXPなのですがシステムをリストアし、ルータでIPの割り当て範囲を変更すると止まりました。P2Pなどは入れていません。リストアをUNDOすることはできますが、ここにいる方で原因を突き止められる人がいらっしゃるなら、UNDOして原因を究明したいと思います。

ちなみに、そのPC、OSを入れなおしてから２日もたっていません。

お礼日時：2007/03/26 17:42