ハッカーはルーターのファイヤー・ウォールを通過するの？

タイトルにどうつければよいのかわからないのでこう書きましたが状況は以下のとおりです。

まずルーターのファーム・ウェアーは最新のものにしてあり、そこに複数のＰＣを接続してあります。
このハブ機能搭載ルーターに接続してある各ＰＣのフォルダーには共有フォルダーを設定してあり、お互いのＰＣ間でデータのやりとりができるようになっています。この共有フォルダーには個人的に大事なファイルなどが入れてあります。第三者に見られたら困るような仕事類のファイルなどです。

そして各ＰＣには更にセキュリティのためにファイヤーウォール(Zone Alarmの最新版）を入れてあります。　ノートンなどの「ファイヤーウォール機能搭載のアンティ・ビールス」ではなくて、うちの場合はアンティ・ビールスとファイヤー・ウォールとふたつのプログラムを各ＰＣに入れてあります。ファイヤー・ウォールの警告はしない設定になっています。

各ＰＣにファイヤーウォールは要らないかな？（ルーターに既に入っているので）とも思いましたが念のために入れてあります。

ところが最近、ある日突然、この「警告をしない」設定になっているファイヤー・ウォールがいきなりアラートを出してきてなんだろう、と思ったらどこかの誰かがうちのパソコンに侵入を企んで、それをファイヤー・ウォール（ZA）がブロックした、という警告でした。

そこで慌ててＺＡのログを見てみたら、あるわ、あるわ、外部からのアタック・ブロックの記録が。

これらはみんなハッカーさんからではなくて、単なるポート・スキャンであろうから、そんなに心配する必要もない、ということも知っています。

－－－－－－－－

長くなりましたけど質問は以下の二点です。

１　ルーターのファイヤーウォールがあるのに（ルーターのポートは空けていません）なぜ、それをくぐり抜けてＰＣのファイヤー・ウォールまで到達することができるのでしょうか？　もし、単なるポート・スキャンであればルーターのファイヤー・ウォールでブロックされてＰＣのファイヤー・ウォールまでは到達しないはずです。　どうしてこのようなことが起こるのでしょうか？

２　ＰＣのＺＡの調子が悪かった時にＰＣのファイヤー・ウォールなしの状態だったことがしばらくありました。　これって・・・　外部からのものがルーターのファイヤー・ウォールを通過してきていた、ということは、彼らは私の「共有フォルダー」に入っていた個人ファイルを見たり、盗めていたりしていた、ということでしょうか？？

共有フォルダー内のものを見るには、同じグループとしてログインしないと見れないはずなのですが、ルーターを通過したら同じグループでなくても見れてしまうことは可能なのでしょうか？

なお、ＷｉｎｄｏｗｓはＵＰＤＡＴＥをかけて常に最新のものにしてあります。　よろしくお願いします。

No.14 ベストアンサー 回答者： dora7075 回答日時： 2008/12/03 19:42

No.9の回答者です。

No.9の回答でかなりのことが判明しました。後はルータの機種名がわ
かればもっと確実に回答できますが、不明なので、推測の域で回答し
ます。
-------------------------------------------------------------
Belkin製のルータにはファイアウォール機能として、UDP flood攻撃
を検知できないものがあります。さらに、パケットフィルタレベルの
検知しかできないと仮定すると、Dos攻撃の一種であるUDP flood(厳
密にはUDP frangement packet flood)攻撃を検知できなかった。また、
断片化されたfrangement packetのためUDP port情報が正しく見えな
いことによりパケットを遮断できなかった。
-------------------------------------------------------------

これがルータ上のファイアウォールを突破した理由と推測されます。

上記文中のUDP frangement packet floodについての簡単な説明は参
考URLをご覧ください。

UDP flood攻撃を検知するルータもありますので、質問者様のルータが
対応製品であれば上記は誤りですので、その時はご容赦ください。

参考URL：http://jvnrss.ise.chuo-u.ac.jp/csn/index.cgi?p=% …

この回答へのお礼

ありがとうございます。　この直ぐしたのお方にも書いたのですが、このお二人の回答がまさに、私が知りたかったこと、の理由です。

ここまではっきりと書かれますと「たしかに！」と納得します。　まさにこのような回答をお待ちしておりました。　ありがとうございました。

最後に・・・　すみません、当方よりの質問２についてもご考察いただけますともう、思い残すことはないのですが。　あまえついでに申し訳ございません。　でも本当にこういう簡単明快・明瞭な回答を最初から待っておりました。　ありがたく思います。

お礼日時：2008/12/04 03:52

No.16 回答者： dora7075 回答日時： 2008/12/04 18:20

No.9,No.14の回答をした者です。

ご懸念の２の共有フォルダー内のファイルの見たのか？盗んだのか？という問題についてですが、限りなく０だと思います。

今回はルータ上のファイアウォールの脆弱性を利用して、PCに対してUDPでポートスキャンしただけだと思います。

もしPC内にアクセスをできるようになっていれば、ポートスキャンを続けてはいないでしょう。足跡をいつまでも残しているとは考えにくいです。あるとしたらボットプログラムやバックドアプログラムをＰＣ内に仕込ませるのが次のステップです。

質問者様は既にスパイウェアやトロイの木馬系の検知を終えて、異常がなかったことから、ボットプログラムやバックドアプログラムが無いといえます。

クラッカーが侵入プログラム＋手動コマンドを駆使して苦労してＰＣやサーバに侵入するケースはあらかじめ侵入するサーバが重要データがあるとわかっている時だけです。

クラッカーにとって金になるような大事なデータがあるかどうかわからないＰＣやサーバに対しては、侵入プログラムやボットプログラムを使うだけです。手動でケースバイケースに応じた対応をとるような苦労はしないでしょうね。

この回答へのお礼

これで本当にすっきりしました。本当にありがとうございました。私としてはこの質問に対して最後にいただいた回答4つ（お二人からいただいた回答2つずつ）、全てに「最大のお礼」をしたいのですが、最高2つまでしかお礼ができません。ですのでいろいろと考えてこのようなお礼の形とさせていただきましたが、本心は甲乙つけがたいし、どちらが上、という意味ではありません。私の知らないことをこのように、ご親切に詳しく教えていただき、本当にありがたく思っております。本当に今回は、superside0さん、dora7075さんのお二人に心よりお礼申し上げます。本当にありがとうございました。

お礼日時：2008/12/05 01:16

No.15 回答者： superside0 回答日時： 2008/12/04 09:09

一般論ですが、

ファームウェアが最新＝告知されたすべての問題が解決
ではないので、注意です。
ハード的な制約でファームでは解決できない問題もありますし
解決するために犠牲になる機能があるとそれとのトレードオフもありますし
エンジニアの技量の問題もありますから。
また、メーカーからは告知されてないが、知られているセキュリティーホールもあります。
(Windowsアップデートしても１００％安全でないのと同様です）

漏洩の可能性ですが
ZoneAlarmでのレポートを信じるならばUDPによる攻撃のみなので
古いbind(DNS)を使っているなどがなければ、
これでWindowsにボット感染させたり、直接ファイルを取り出されるという
可能性はかなり低いと思われます。
（ボット感染経路はそれだけではないですが）

ただし、これ以外のアタックや侵入が過去になかったかというと
それについては不明です。
たとえば、ルータの管理画面に外部侵入できる問題があるいうことであれば、
なんでもありになりますし、その痕跡をルータのログから消すことも出来ます。

この回答へのお礼

ありがとうございました。これで知りたかったことが全てわかりました。本当にありがとうございました。

確かにかなりの一般の人が想像できないようなハイスキル（アメリカの国防省に入り込んでしまえるような）の方だったら、かなり、なんでもあり・・・　勝手に進入して、痕跡まで消して、もありかもしれません。ですので絶対になにもない、とは思えないのですけど、一般論として、という形だけでもこのような、理由、及びそれによっての結論「かなり低いと思われる」をいただき、本当にありがたく思います。

昔、もう７年ほど前、まだダイヤルアップをしていた頃。当然、その頃はまだＦＷの必要性などは知らず、アンティ・ビールスだけを入れていたのですが、ある時、ＦＷの誤動作が原因でＦＷを切って数時間ネットに接続していた事がありました。　そしてなんと！　数時間後、またＦＷを入れて、たまたまウィルス・スキャンをかけたら・・・　共有フォルダーにビールスを仕込まれていました！　という実体験をしたこともあります。　信じられませんが本当にそのようなことがありました。

ですので今回、このような質問もさせていただいたわけです。　本当にありがとうございました。

お礼日時：2008/12/05 01:13

No.13 回答者： superside0 回答日時： 2008/12/03 15:27

ルータのログでは、実際に外部からのアクセスがあるようですね。

もしかして、NAT/NAPTのテーブルがいつまでも生き残っていて、それを通じて、ICMPとUDPがフィルタリングされずに、内部に転送されているとか、
そういうことがおきているのかもしれません。
（どういう現象がおきているのかまでは分からないですが、クラッキングというよりルータの機能的な問題のような気がします。想像ですが）

ルータの型番が分かりませんが、以下のセキュリティー情報がありました。
（いまのファームでどれが対策済みなのかまでは、探してませんが）

・Belkin F5D7230-4ルータは、細工されたリクエストを送信されることが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にDNSサーバ設定を修正される可能性がある。
・Belkin F5D7632-4 Routerは、細工されたHTTPポストリクエストを送ることでセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアドミニストレーションのインタフェースにアクセスされる可能性がある。
・Belkin G Plus MIMO Router F5D9230は、SaveCfgFile.cgiの認証プロセスが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にルータへ不正アクセスされ設定情報を変更される可能性がある
・Belkin Wireless G Router F5D7230-4は、SYNパケットを適切に取り扱わないことが原因でDos攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデバイス上の利用可能な全てのリソースを消費される可能性がある。
・Belkin製のF5D7232-4およびF5D7230-4無線ルータは、Webアドミニストレーションインタフェースの認証プロセスが原因で無許可のアクセスを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にルータの設定を変更される可能性がある。
・Belkin製の「belkin54g」無線ルータシリーズは、空のパスワードによってデバイスのWeb管理インタフェースにアクセスされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアドミニストレーションアクセスを実行される可能性がある。
・Belkin G Plus Routerは、アドミニストレーションWebインタフェースがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
・Belkin 54G（F5D7130）無線ルータは、セキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に機密情報を奪取される可能性がある。
・Belkin製のF5D7232-4およびF5D7230-4無線ルータは、Webアドミニストレーションインタフェースの認証プロセスが原因で無許可のアクセスを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にルータの設定を変更される可能性がある。


試しに、別のルータにして実験してみると
絞り込めるのではと。

この回答へのお礼

ありがとうございます。
ここにルーターの機種名をわざと書いていないのには理由があるのですが、その理由についてはご勘弁ください。

おそらく、お書きになられたことが理由かもしれませんし、私もそれを疑っていました。　ただ、当方の使用している機種は既に発売されて数年は経つ機種であり、その間にファーム・ウェアがアップデートされたことはありますが、その最新のものを使用していたのにも関わらずこのようなことが起こったので、？？？というものだったのです。

確かにこれは理由としてはルーターのＦＷにセキュリティ・ホールがあり、そこを通過してＰＣまで入り込んできた、というのが（私もそうではないのかと思ってはいたのですが、確証はありませんでした。よって、今回、この質問として出させていただいた次第です）、このお書きになられたセキュリティ項目を拝見して、そうではないかと強く思うようになりました。　本当にありがとうございました。　とても参考になりました。

そうなると・・・　というか、そこまでの技術をもつ人間なら（日本語で書かれたファイルがなにか、はわからないにしても）質問2である、「共有ファイル内のものをＺＡがかかっていなかった時に見たりコピーしたりすることはできたのでしょうか？　という質問の回答としては・・・「ありえるかもしれない」となりますでしょうか？

それさえわかればすっきりとするのですが。　お忙しいところ、大変申し訳ございませんがこの点についてもご教授いただけますとさいわいに思います。　よろしくお願いします。

お礼日時：2008/12/04 03:48

No.12 回答者： 774danger 回答日時： 2008/12/02 21:46

> 12/01/2008 22:48:07 **UDP flood** 219.78.186.79, 16616->> 192.168.1.2, 21643 (from ATM1 Inbound)

このルータ、ATMのインタフェースを持っていて、その回線経由でInternetにつながっているんですよね?
そうなると確かに内部からではなく外部から21643/UDPにアクセスがあったというログに見えます
ルータの機種名がわからないので何とも言えませんが、ルータのファイヤウォールの機能が単純な静的パケットフィルタリングではない気がします

この回答へのお礼

はい、サポートしているプロトコルはPPPoE　PPPoA　Multiple Protocols over ATMですのでご指摘の通りです。

でもルーターの設定にはきちんと「通過を許可する」という欄があり、サーバーなどはTCP UDP TCP&UDPから選択できるようになっています。　今回お尋ねしているものはなにも許可を与えていません（全てのＰＣは192.168.から始まる固定IPを与えています）。

今までルーターのＦＷを信じていましたので（ＸＰのＦＷは信じていませんでしたが）かなりショックです。　というか、ＸＰのＦＷだってぼろくそに言われてはいますが、あれは「外部から遮断するけど内部から外部への通信は遮断しない」ということでぼろくそに言われているだけで、外部からかかってきた通信についてはきちんと動作する、と認識しています。　ですので今回のルーターのＦＷも外部からの通信はきちんと処理してくれていたものだと思っていたのに、それを飛び越えて入ってきている？　そんなことがほんとうにあるの？　ということを知りたかったのです。

ついでに入って来ていたということは、ＺＡがなかったときに私の共有フォルダーのものを見られたり持ち出されていたりしたの？　ということも、です。　どんなものでしょうか？

お礼日時：2008/12/02 23:58

No.11 回答者： noname#111804 回答日時： 2008/12/02 21:16

ルータにはファイヤーヲールがあるので

ハッカーはそれを通過できません。

しかし、外国のアメリカとかイギリスとか
中国とかのグローバルIPアドレスでアクセスがあり
ノートPCのZoneAlarmがそれをBlockしたログ記録
があるわけですね？

グローバルIPアドレスは、ある程度調べることはできたような。。。。

この回答へのお礼

当方からの質問をよく読んでください。　他のみなさんへの追伸もよく読んでから書き込んでください。

当方の質問はルーターのＦＷを通過した、という事実が現実として発生した、どうしてそんなことが起こるの？　ということを問い掛けています。　あなたの体験談である「ハッカーは通過できません」が、私の現実問題として起きて驚いた、、という記録も下にあげています。　その証拠に下にルーターの記録他、いろいろと挙げているのに全く御覧になっていないのでしょうか？

なにも読まれないで、これまた全然関係ないグローバルＩＰの調べ方、といったことは今回の質問には関係ありませんし、そのようなことは当方は一切、尋ねてはおりません。質問はあくまで1と2だけです。

GIPの調べ方は複数知っていますし、ＺＡの警告を出した時の（ＺＡの普通のブロックでは効かず、ＺＡが警告まで発したというのは先にも後にもそれ一回だけです）そのかなり入り込んできたときの相手は、複数の追跡手段を使って調べた結果、カナダ東海岸部の小さな街からだった、というところまでも突き止めています。　しかしそのようなことは今回の質問には一切関係ありませんので割愛しております。

お礼日時：2008/12/03 00:07

No.10 回答者： superside0 回答日時： 2008/12/02 13:52

なんで噛みつかれてるのか、よく分からないですが・・・

TCPとちがってUDPはコネクションレス型の通信なので、
IPアドレス情報だけでは、送信元が確定できないのです。

例えば・・・
LAN内のある端末（ＰＣに限らず）にブラウザやメールやアタックで侵入されて、ワームが仕込まれた。
ワームはネットワークにUDPのクエリを投げて次の踏み台を探す。
このとき、クエリの戻し先の指定となるパケットヘッダの送信元IPアドレスは、
踏み台リスト回収サーバーである外部IPアドレスとしている。

これで、ZoneAlarmの送信元IPアドレスをみる限りは、
「外部からのアタック」に見えてしまいます。
（あくまでも例えばで、確実に内部感染しているということではありません）

ルータに侵入されるかどうかの件は可能性は０％ではないですが、
折角侵入できたのに、ICMPとUDPだけというのが、奇妙です。
仮に、ルータに侵入されたのであれば、情報漏洩の可能性はあります。
ただし、ルータやファイル共有から侵入されていなくても、ボッドに感染させれば同じことは可能です。

この回答への補足

ありがとうございます。
まず、すぐ下の方に回答させていただきましたので、ここに更に詳しい情報を掲載しましたのでご確認いただけますか？


いろいろと失礼をば・・・・
（ここには「いろいろなひと」がいるのでその類の方かと思いました。　ごめんね）

補足日時：2008/12/02 20:27

No.9 回答者： dora7075 回答日時： 2008/12/02 11:40

情報不足のため、推測で判断することになりますので、あらかじめお断りしておきます。

情報不足と言いましたのは、質問者様が「外部からのアクセス」だと言われていますが、その根拠は何を元にされたものでしょうか？他の質問者の方もそれがはっきりしないため、内部からの信号だと推測されているのです。

ログのグローバルアドレスについては
66.177.97.63：アメリカ合衆国
83.73.54.114：デンマーク
99.248.104.126：カナダのトロント
と各国からのアクセス(と思われる)だとわかります。

このログの時刻情報がなければはっきりとは言えませんが、特定の外部の人が集中してクラッキングしようとした場合、各地から1個人のＰＣを狙い撃ちにした可能性は低いでしょう。

しかし、各地に分散してあるボットＰＣに上記情報を吸い上げようとした可能性は残ります。

質問者は外部からルータ上の簡易ファイヤウォールを越えてアクセスしたことを懸念されていますが、現時点で最もあやしいのは、
ボット、スパイウェアが一時的に侵入したことです。つまり内部に何か感染し、あたかも外部からアクセスしたように振舞っている可能性があります。

次に懸念されるのが、ルータ上の簡易ファイヤウォールの情報の書き換えですが、Zone Alarmのログ情報からこの可能性は０だと思われます(ルータのファイヤウォール情報を書き換えられていれば、Zone Alarmにもっとログが残っているでしょう）

質問者様の不正ログが書き出された前後のルータ上の簡易ファイヤウォールのログがあるともう少し絞りこめると思います。

また、最初にも書きましたが、質問者様が「外部からのアクセス」だと思われた根拠があれば補足願います。それとルータの機種名を教えていただけませんか？

この回答への補足

ありがとうございます。
ＺＡについてはログの書き出しができませんでしたので、ルータの記録のみ、いかに貼り付けたいと思います。

12/02/2008 11:11:15 192.168.1.2 login success
12/02/2008 09:40:53 NTP Date/Time updated.
12/02/2008 03:40:53 NTP Date/Time updated.
12/01/2008 22:48:09 **UDP Flood Stop** (from ATM1 Inbound)
12/01/2008 22:48:07 **UDP flood** 219.78.186.79, 16616->> 192.168.1.2, 21643 (from ATM1 Inbound)
12/01/2008 22:48:07 **UDP flood** 192.168.1.2, 3555->> 193.70.152.15, 53 (from ATM1 Outbound)
12/01/2008 22:48:06 **UDP flood** 85.55.18.123, 13663->> 192.168.1.2, 21643 (from ATM1 Inbound)
12/01/2008 22:48:06 **UDP flood** 192.168.1.2, 3548->> 193.70.152.15, 53 (from ATM1 Outbound)
12/01/2008 22:48:06 **UDP flood** 122.118.8.214, 9653->> 192.168.1.2, 21643 (from ATM1 Inbound)
12/01/2008 22:48:06 **UDP flood** 212.214.188.78, 25072->> 192.168.1.2, 21643 (from ATM1 Inbound)
12/01/2008 22:48:06 **UDP flood** 218.175.73.94, 21232->> 192.168.1.2, 21643 (from ATM1 Inbound)
12/01/2008 22:48:05 **UDP flood** 89.174.32.1, 24684->> 192.168.1.2, 21643 (from ATM1 Inbound)
12/01/2008 22:48:05 **UDP flood** 118.171.87.120, 14224->> 192.168.1.2, 21643 (from ATM1 Inbound)
12/01/2008 22:48:05 **UDP flood** 192.168.1.2, 3544->> 193.70.152.15, 53 (from ATM1 Outbound)
12/01/2008 22:48:05 **UDP flood** 201.172.225.4, 27299->> 192.168.1.2, 21643 (from ATM1 Inbound)
12/01/2008 22:48:05 **UDP flood** 81.227.3.231, 13275->> 192.168.1.2, 21643 (from ATM1 Inbound)
12/01/2008 22:48:05 **UDP flood** 124.156.100.116, 41317->> 192.168.1.2, 21643 (from ATM1 Inbound)
12/01/2008 22:48:05 **UDP flood** 68.81.107.79, 62433->> 192.168.1.2, 21643 (from ATM1 Inbound)
12/01/2008 22:48:04 **UDP flood** 121.115.207.77, 22314->> 192.168.1.2, 21643 (from ATM1 Inbound)
12/01/2008 22:48:04 **UDP flood** 192.168.1.2, 3539->> 193.70.152.15, 53 (from ATM1 Outbound)
12/01/2008 22:48:03 **UDP flood** 77.249.111.88, 21592->> 192.168.1.2, 21643 (from ATM1 Inbound)

ルーターの種類ですが、BELKINというアメリカのメーカーのものです。

アンティ・ビールスプログラム(NOD)でビールスの確認、及びSpybot Adaware AVG Anti-Spyware の3種においてスパイプログラムの検査は完了してあり、外部と内部と繋がっていることはないのは確認しています。
（実際にはまだあと数種類のアンティ・スパイプログラムでも確認しています）

上記のように、外部からのアタックは基本的にルーターのＦＷでブロックされている・・・　はずなのですが（現にこれ以降の記録が入っていない）、今時点でＺＡを見ましたところ12/2にもかなりのブロックが記録されています。

サンプル
プロトコルUDP 発信元IP 96.252.36.187:20026 送信先IP 192.168.1.8 外部から　ブロック1 で、ここに発信元のＤＮＳが書いてありますが長いので割愛

UDP 発信元IP 61.171.119.103:18166　以下略
UDP 発信元IP 24.67.49.47:7723　以下略

などになっています。　昨日は「生IP」とも書きましたが、今の（今日はぬアタックが少ない）停まっている記録を見た限り、上記のようにいろいろなポートから発信されています。

外部からのアクセス、の根拠はＺＡの記録で外部からのアタックをブロック、と出ていて発信もとのＤＮＳもわかるものは書かれているから、です。　またＺＡは内部からの通信はその旨、出ますので外部から、と内部から、ではきちんと違いがわかるようになっているためです。

まだ必要な情報がありましたらお知らせできる範囲でさせていただきたいと思います。

補足日時：2008/12/02 20:11

No.8 回答者： onosuke 回答日時： 2008/12/02 00:57

ログに挙げていた3種類の通信について。

>ICMP (種類:3 / サブタイプ1)
>ICMP (種類:3 / サブタイプ3)
以上２つは、ICMPによる「Destination Unreachable」エラー通知なので気にする必要はありません。

「Destination Unreachable」とは、「あなたのPCが通信しようとしている相手先はいませんよ」と相手先や見知らぬルータがお知らせしてくれる親切なエラー通知です。

>UDP　発信人99.248.104.126:52281　宛先192.168.1.8:21643
注意が必要なのはコレですが、もしかしたら全く問題無いかもしれません。さて、全く「問題無い場合のシナリオ」とは如何なるものなのでしょう？

僕が想像する「問題無い場合のシナリオ」は以下のようなものです。
　元々はPC上でとあるアプリが上記の通信を行っていました。
　あなたはそのアプリを終了させました。
　なんと、ここでZoneAlarmとルータとでFWの動作に食い違いが発生してしまったのです。
　その原因は、ZoneAlarmとルータが「一度許可した上記通信の遮断を開始するタイミングの違い」。

では、何故、遮断を開始するタイミングに違いが発生してしまうのでしょうか？タイミングの違いに対する両者の主張は次の通り。
　....ZoneAlarmの主張.......
　ZoneAlarmは、上記通信を行っていたアプリが終了した瞬間、FWで上記通信の遮断を開始します。ZoneAlarmは、PC上でアプリが終了する瞬間を把握できますから！！
　....ルータの主張.......
　ルータは最後のUDP通信から180秒経過後にFWで上記通信の遮断を開始します。だって、ルータには、アプリが終了したのか、通信が停滞しているだけなのか、判断がつきませんから…

こんな違いがZoneAlarmとルータとの間で存在した場合
　問1：アプリ終了から180秒間はZoneAlarmとルータのFWの許可/遮断ルールはそれぞれ、どのようになっているでしょう？
　問2：通信の相手先があなたのPC上でアプリが終了したことを検知せず、「返事してくれよ～～」的な通信を送り続けた場合、ルータのFWの許可/遮断ルールはそれぞれ、どのようになっているでしょう？

問1、問2ともに
　ZoneAlarm⇒上記UDP通信を遮断する。
　ルータ⇒上記UDP通信を許可する。
が答えです。

つまり、「全く問題が無い」のに「ZoneAlarm警告が表示される」結果となる分けです。

この回答への補足

うーん・・・
具体的には特に通信用のソフトは入れてはいないので、ご説明はかなり近いけど、決してその通りではないけど、遠からずかな・・・という気もします。

といいますのは上記しましたように、例えば普通にネットでサイトを（断じていいますが、エロサイトではありません！）見て検索して廻っていたときに突然、ＺＡが外部からの進入をブロックしました、と出たことが発端です。　その時には決して特に通信用のソフトは使ってはいませんでしたし（ブラウザは除く）、このときのＰＣは本当に他にはなにもしないＰＣでした。

ところで下にサンプルとして書いた通信サンプルは別のＰＣ(192.168.1.8)で今日、使っていたときにおきたＺＡのログを書き出したものです。
今日も特に通信用のソフトは使ってはいませんでしたので、どうしてルーターのＦＷを遮断しているのにUDPが？状態です。

いただきましたご説明でかなりわかったところもありますが、上記のようにいまいち、すっきりしない（トイレでまだ残っている感じに近い？）なのです。　お手数ですが、このような状況でも（つまり、ルーターのＦＷは断じて開いていない（ましてや間違えてＯＮにしているなどはありません）状態で起こりえるものなのでしょうか？

また私の質問２に関してはいかがなものでしょうか？
ネットワークは本当によくわからない部分が多過ぎます・・・

補足日時：2008/12/02 01:49

No.7 回答者： 774danger 回答日時： 2008/12/02 00:32

> ICMP (種類:3 / サブタイプ1) 66.177.97.63 DNS 前略comcast.net

> ICMP (種類:3 / サブタイプ3) 83.73.54.114　DNS 空白

ちなみにこのICMPはHost UnreachableとPort Unreachableですから、上記のホストにアクセスしようとして接続できなかったときに返ってくる可能性があります
http://www.atmarkit.co.jp/fnetwork/netcom/netcom …

内部からか外部からかは、WiresharkなどでパケットキャプチャしてMACアドレスを見ればある程度判断ができるはず
MACアドレスが他のPCのものであれば内部から、ルータのものであれば外部からの可能性が高いでしょう

この回答への補足

ありがとうございます。
上の方に返信とさせていただきましたが、ICMPについてはとてもよくわかりました。
とても参考になりますが、でも、なぜ、ルーターでは通過許可をしていないものがＰＣのＦＷまで入ってこられるのでしょうか？

補足日時：2008/12/02 01:57