自分のPCが自分のルータへDOS攻撃してます。

Question

ルータのログを見て発見しました。
ZooneAlermを入れれば、ルータへは届かなくなりましたが、
ZooneAlermのログには「外部へ向かう不正パケット」がブロックされた旨、出ています。
ウイルス対策は、AVG、AD-Aware　でしていますが、何も出ません。
これで、３台目です。
２台目の時は、販売店に頼んでディスクの物理フォーマットをしてみましたが、
状況は、変わりませんでした。
で、知りたいのは、１台目はまぁいいとして、２台目から３台目に移った経路です。
２台目と３台目をLANで繋いだことはありません（そもそも常に１台の構成）
ネットに繋ぐ前には、ちゃんとAVG、AD-Awareを入れてからにしています。
共通なのは、ルータと、AVG等がいったフラッシュメモリデスクやCDです。
侵入者によって、BIOSが書きかえられるというのは聞いたことがあります。
で、ルータやメモリデスクのファームウエアが書き換えられる可能性は、
あるのでしょうか？
わざわざマカフィーを購入して、サポートに聞いてみましたが、
「最新のマカフィーで検出されないのだからウイルスではない＝サポート対象外」と言われました。

semikuma · Accepted Answer

>> コレガに10.0.0.Xのパケットが見える筈がないからです。
> 逆に、PCからコレガも見えないと思いますが

いいえ。
コレガの設定をNo.5のようにすると、コレガの配下のネットワークアドレスは192.168.1.0となるので、NetGearのWAN側には192.168.1.Xのアドレスが与えられます。
(DHCPで取得する場合、Xは11から60までのどれか。)
(NetGearのWAN側に手動で設定する場合は、Xは2から254までのどれかでないと通信できない。)
NetGearのNATが正しく機能しているなら、PCから送出されるパケットの送信元IPアドレスは192.168.1.Xに変換されるので、コレガにはPCの10.0.0.Yのアドレスは見えません。
(つまりコレガには、NetGearが送信しているようにしか見えない。)
このときルータ(今の場合、NetGear)は、送信元ポート番号(つまり返信先ポート番号)もIPアドレスとセットで変換して記憶しているので、インターネットからの応答パケットは、返信先ポート番号から元のIPアドレス(10.0.0.Y)に変換して、PCに届きます。

従って、PCからインターネット(今の場合、コレガ)を見ることができます。

逆に、インターネット側から192.168.1.Xや10.0.0.Y宛のパケットが届いても、対応するポート番号がないので、PCには届きません。
これが、ルータが簡易ファイアウォールとして機能する所以です。

また、コレガには届く筈のない10.0.0.Yからのパケットが届いているので、コレガはIP Spoofing(IP偽装)と判断しています。

> さきほど、PCとNetGearを192.168.５.XXXに変えましたが

21時36分51秒のICMPと、20時42分の3発のバケットかな？
いきなり10.0.0.21がいなくなったので、NetGearも戸惑っているようですね。

> 「イントラネットをインタネットに見せかける設定」

意味が分かりません。
ルータの基本的な働きは上に説明した通りで、ルータにとってはWAN側に接続されたネットワークは全てインターネットです。

ところで、どうしてもPCにBackDoorが仕込まれたと思いたいようですが、どうしてそう思いますか？
これまで示されたログを見る限り、BackDoorの兆候はありません。
もしもあなたが、リンクをクリックした時間以外や接続したい以外のサイトのIPアドレスが記録されているなら話は別ですが。
気になるならIPアドレスの管理者をこちらから検索してください。
http://whois.ansi.co.jp/

また最近の市販ウィルス対策ソフトはマルウェア検索機能も備えているので、AVGを一旦アンインストールしてこれら試供版をインストールして検索してみるといいでしょう。
更に、AD-Awareは検索削除機能しかありませんが、AD-Awareと並んで定評のあるSpybotは防御機能もあるので、両方インストールしておくといいでしょう。
http://enchanting.cside.com/security/spybot1.html

semikuma · Answer

気を悪くさせたようでごめんなさいね。
私にはコレガのログがどうしても信じられなかったので。
ネットワークの接続や設定が正しいとすると、NetGearのNAT機能がおかしいとしか思えません。
なぜなら、コレガに10.0.0.Xのパケットが見える筈がないからです。
だからコレガもIP Spoofingと判定しています。
WGR614CはVPNパススルー機能を持っているので、無線LANパケットをVPNと誤判定しているのかもしれません。

まさかPCのネットワーク接続を「仮想プライベートネットワーク」なんかにしてませんよね？
http://www.aterm.jp/function/guide7/list-data/com-all/details/m01_m34xp.html
(一番下の図)
それとも、(これで誤判定が出るかどうか知りませんが)PCにPPPoE接続ソフト(フレッツ接続ツールなど)とかソフトイーサとか入れてませんよね？

もし可能なら、コレガとNetGearと入れ替えて見ると面白いかもしれません。
NATが壊れているなら、今度はモデムがコレガから攻撃されているように見えることでしょう。

NetGearを外して、コレガにPCを接続して異常がなければ、NetGearの異常で決まり！
念のため、NetGearを初期状態にリセットするか、可能ならファームウェアを上書きしてみてください。
それでもだめなら、NetGearを捨てるか、気にせず使い続けるかですね。

semikuma · Answer

悪いけどあなたの書き込みが信じられません。
No.3ではPCのアドレスは192.168.103.XXXと書いていて、No.4では10.0.0.XXですか。
(1.0.0.XXはありえない。先頭は10の間違いでしょ。)
それはいいとしても、No.2のログで別セグメントのブロードキャストパケットが漏れているのも変だと思ったけど、今度はこんなに漏れている？？？
それがことごとくブロックされたら通信できんでしょう！？
一体どんなつなぎ方をしているのですか？
もしかして無線ルータのNAT機能が壊れてませんか？
(無線をブリッジとして使っているなら、通信できない筈！)
或いは、どこかのIPアドレスがNo.4に書いたものと違います。
コレガのルータも、どうもLAN同士をつないでいるような気がしてなりません。

それを無視すれば、このログ自体も不審な点はありません。
ポート80はHTTPです。
いくつかのグーグルを除けば全てYahoo関係で、ｈttp://に続けてIPアドレスを入力すれば分かりますが、フレームや(宣伝の？)画像を要求するものです。
(オプションの指定がないので意味のある内容は出ませんが。)

サブネットマスクも、もしかしてモデムとコレガは255.255.0.0じゃないですか？
192.168.X.XのクラスCのプライベートアドレスは少なくとも左2オクテッドはマスクする必要がありますが、右は255.252まで許されます。
同様にクラスAの10.X.X.Xは(使っている例は初めて見ましたが)、255.0.0.0から255.255.255.252までです。

semikuma · Answer

なんだか妙なことになってきましたね。
ZoneAlarmログのポート番号自体は全然怪しくありません。
すべて宛先ポート53ですから、DNSを要求しているだけです。
複数のDNSを同時に要求しているので、発信元、つまり返信先ポートは現在使われていないポートを指定しています。
http://www.atmarkit.co.jp/fwin2k/network/baswinlan013/baswinlan013_04.html

但し、IPアドレスが、発信元10.0.0.13、送信先10.0.0.1となっているのが私にはよく分かりません。
proxyソフトかVPNでも使っているのですか？

尚、svchostは昔から訳分からんプロセスとして有名ですが、
http://www.atmarkit.co.jp/fwin2k/win2ktips/236portcheck/portcheck.html
同時に3,4個ずつ起動して全てDNSを要求しているので、何かの自動更新ではないでしょうか？
例えばMS updateとか、インターネット時刻とか、AVGやJAVA、acrobatその他のソフトの自動アップデートなど。
或いは単にDHCPサーバやデフォルトゲートウェイを探しているのかもしれません。

このDNS要求を遮断すると、ルータの遮断ログもなくなるのなら、ルータへのアタックに見えたのはDNSの応答か、或いはモデムからDNS要求元が見えなくなったことによるARP探索ではないですかね。
LANからWANへ向かっているように見えるのが依然奇妙ですが、ここは各端末(ルータを含む)の接続とネットワークアドレス(サブネットマスクを含む)がはっきりしないと何ともいえません。

semikuma · Answer

#2です。その後どうなったでしょうか？

しかし、(多分ADSLモデムにもルータ機能がついているだろうから)ルータ3段重ねにファイアウォールを(XPとZoneAlarmの)2段入れて、余計なサービスは全て切っている筈なのに、変なログを見つけてびっくり仰天なんて、まるで昔の私のようだ。(笑)
当然、無線LANは暗号化してMACアドレスフィルタも掛けているでしょうね？

ログの提示ありがとうございます。
しかしこれだけでは決定的なことは分かりませんね。
192.168.103.101がコレガで、192.168.3.34がPCのIPアドレスかな？
192.168.3.255はブロードキャストアドレスだから、ルータを攻撃しているとはいえませんね。
103のセグメントに3のセグメント宛のパケットが来たら、そりゃIP Spoofingと判定されるわ。
もしかしてNBT(NetBIOS over TCP/IP)も切ってないのではないですか？
もし切っているなら、今度はZoneAlarmのログを見せてください。

semikuma · Answer

PCに、定期的に外部との接続を確認するソフトが入っているのでしょう。
例えばメッセンジャーとか、p2pとか、オンラインゲームとか。
ウイルスやスパイウエアなどがUSBメモリを通して感染した可能性はありますが、AVGやAD-Awareをきちんと動作させているなら可能性は低いですね。

意外と、UPnPとかMSMメッセンジャーとかリモートデスクトップとかではないですか？
これらを無効にしていますか？
ルータの型番と、ルータやZooneAlermの代表的なログを提示してもらえるとはっきりするでしょう。

LC575 · Answer

自分の経験ですが、Buffalo製のルータを使っている際、
ルータ管理画面のアタックブロックのログを見ると、自分のＰＣが
「SYN FLOOD パケットが検出された」というように、何かの攻撃を
外部のサーバに対して行っているというログが残っていることがたまにあります。

その時の外部のサーバというのは、自分がよく見に行くだけの
普通のＷＥＢサイトで、そのサイトを攻撃する目的のウィルスがつくられるほど有名なサイトでもないので、
たんにルータの誤検出だという風に考えて特になにもしていません。

自分の場合は投稿していただいているような詳細なウィルス検知は
行ってはいませんが、今でもウィルスに感染しているとは思っていません。

ひょっとしたら同じようにBuffaloのルータを使っている、とかではないでしょうか。

自分のPCが自分のルータへDOS攻撃してます。

>> コレガに10.0.0.Xのパケットが見える筈がないからです。

この回答への補足

気を悪くさせたようでごめんなさいね。

悪いけどあなたの書き込みが信じられません。

この回答への補足

なんだか妙なことになってきましたね。

この回答への補足

#2です。

PCに、定期的に外部との接続を確認するソフトが入っているのでしょう。

この回答への補足

自分の経験ですが、Buffalo製のルータを使っている際、

この回答への補足

似たような質問が見つかりました

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング