特定のＩＰアドレスから何度もアクセスがある場合

不正アクセスという言葉とか、ネットセキュリティなどが気になったので調べてファイアーウォールをインストールしてみました。英語はできませんがZoneAlarmというソフトを入れました。それにしても自分のパソコンにこんなにアクセスがあると思いませんでした。
相談の本題ですが、インストールした当日にしばらくZoneAlarm AlertのProtected表示を見ていたら、あるＩＰアドレスのアクセスが特に目立ちました。その後も一日数十回のアクセスがあります。ちなみにそのＩＰアドレスは202.219.63.253(DNS)と表示されています。この相手が一体どういう意図で自分のパソコンにアクセスしているのかわかりません。非常に気になります。相手が気になった場合、みなさんは相手をどう調べて、どのような処置をしてるのでしょうか。ZoneAlarmでProtectしているのだから、めでたしめでたし・・・ということなのでしょうか。

No.6 ベストアンサー 回答者： cellorist 回答日時： 2003/03/18 00:33

Ｎｏ．４です。

　Niftyのサービスセンターに連絡するのがよいかとおもいます。

http://www.nifty.com/support/madoguchi/madoguchi …

この回答への補足

大変なものを見つけてしまいました。Outlook Expressを立ち上げる際に、ZoneAlarm Alert RepeatProgram　の　Technical Infomation　の表示に　
Destination IP:202.219.63.253:DNS
Application :MSIMN.EXE
と書かれているではありませんか。この表示は一体・・・。usapoのプロバイダはＮＩＦＴＹじゃないのになぜっ。MSIMNといえば、この間「COMCTL32.DLLにエラー Msimnが原因」という表示が出てOutlookが終了したことがあったりしました。

補足日時：2003/03/18 05:56

この回答へのお礼

celloristさん。丁寧にアドレスまで教えてくださって有難うございます。しかし、どうやら原因は自分のコンピュータにありそうなので問い合わせる前にもう少し調べてみたいのですが、Outlook起動時のこの動作は一体どういうことなんでしょうか。

お礼日時：2003/03/18 06:07

No.8 回答者： honeorizon 回答日時： 2003/03/18 13:30

>大変なものを見つけてしまいました。

Outlook Expressを
>立ち上げる際に、ZoneAlarm Alert RepeatProgramの
>Technical Infomation　の表示に　
>Destination IP:202.219.63.253:DNS
>Application :MSIMN.EXE
>と書かれているではありませんか。

MSIMN.EXEとは、Outlook Expressのプログラムファイル
そのものです。Outlook Expressは起動時に、DNSサーバに問い合わせを行いますから、

>202.248.37.74というＮＩＦＴＹからのアクセスもあ
>り、２０分間で１０回アクセスがあり、1338から1434
>番のポートに番号を少しずつ増やしてアクセスしてま
>す。

これは、202.248.37.74(これもNiftyのDNSサーバ)から
アクセス"されている"んじゃなくて、あなたのPC(つー
か、outlook Express)が、その1338から1434までのポー
ト"から"Niftyの"DNSへアクセスしに行っている"記録
です。

# 何を問い合わせてるのかは知りませんが、多分、
# メールサーバのIPアドレスとか、そんなところで
# しょう

>Destination IP:202.219.63.253:DNS

Destinationとは辞書を引けばすぐ分かりますが、
"宛先"という意味です。ですので、そのIP"から"
アクセスされているんじゃなくて、そのIP"へ"
アクセスしに行っているということです。

>この表示は一体・・・。usapoのプロバイダは
>ＮＩＦＴＹじゃないのになぜっ。

プロバイダがNiftyじゃなくても、DNSサーバは
Niftyの物を使っているんじゃないですか？もしくは
あなたのISPがプライマリのDNSとしてNiftyのDNS
を使っているとか、そんなとこでしょう。

この回答への補足

>これは、202.248.37.74(これもNiftyのDNSサーバ)から
>アクセス"されている"んじゃなくて、あなたのPC(つー
>か、outlook Express)が、その1338から1434までのポー
>ト"から"Niftyの"DNSへアクセスしに行っている"記録です。
>Destinationとは辞書を引けばすぐ分かりますが、
>"宛先"という意味です。ですので、そのIP"から"
>アクセスされているんじゃなくて、そのIP"へ"
>アクセスしに行っているということです。

なるほどー。ログを見るとOutlookを起動した際に表示される
Destination IP:202.219.63.253:DNS
この場合DirectionがOutgoingですから自分から問い合わせていると思いましたが、ZoneAlarm Alertで表示されたものはDirectionがIncomingとなっているため、てっきり今回の1338から1434番のポートに番号を少しずつ増やしてのアクセスは宛先がusapoのパソコンとなり、SourceIP（nifty）からDestinationIP（usapo）にアクセスしていると思ってしまいました。Directionに関係なくDestinationは自分のパソコンから相手への宛先ってことなんですね。勉強になりました。

>プロバイダがNiftyじゃなくても、DNSサーバは
>Niftyの物を使っているんじゃないですか？もしくは
>あなたのISPがプライマリのDNSとしてNiftyのDNS
>を使っているとか、そんなとこでしょう。

そうそう。usapoもそう思いました。しかし、確かめないで済ませるのは良くないので自分のプロバイダに確かめてみます。

補足日時：2003/03/18 15:55

この回答へのお礼

詳しい説明有難うございました！
プロバイダに問い合わせてみますのでそれまで回答を締め切らずにいたいと思います。よろしくお願いします。

お礼日時：2003/03/18 17:33

No.7 回答者： cellorist 回答日時： 2003/03/18 09:17

ウイルスではなさそうですね。

下記のＵＲＬに対処法（英語）ですがのっています。ＤＯＳモードで　csinject.exe を無視させて　レジストリから削除する方法がのっています。

参考URL：http://support.microsoft.com/default.aspx?scid=k …

この回答への補足

どうやら誰かの悪さではないのですね。
ご心配かけました。

補足日時：2003/03/18 15:44

この回答へのお礼

celloristアドバイス有難うございます！毎度具体的な対処法を提案してくれて有難うございます。ちょっと思い当たる節があるのでプロバイダに問い合わせて見たいと思います。

お礼日時：2003/03/18 15:54

No.5 回答者： feininger 回答日時： 2003/03/17 21:35

アタックされているポートは何番ですか？

ポート80であれば単に（というのもなんですが）CodeRedやNimdaかもしれませんよ。

アタック先に偏りがあるらしく、時折、集中的なアタックがあります。
（本日も特定のアドレスから集中的なアタックがありました。困ったもんです）

この回答への補足

202.248.37.74というＮＩＦＴＹからのアクセスもあり、２０分間で１０回アクセスがあり、1338から1434番のポートに番号を少しずつ増やしてアクセスしてます。前述したＩＰアドレスからも同様にあります。どうもメールの送受信をした時に発生しているような・・・。でもusapoのプロバイダはＮＩＦＴＹではないのですよ。
話は変わりますが、対応するホスト名がないＩＰアドレスからのアクセスもけっこうあります。中国や韓国がダントツです。

補足日時：2003/03/18 05:26

この回答へのお礼

アドバイスありがとうございます！

お礼日時：2003/03/18 05:55

No.4 回答者： cellorist 回答日時： 2003/03/17 18:03

１月２５日のウイルス騒動を思い出します。

　１月１５日から２４日にかけてセクリティーホールをサーチするためのアクセスが事前にあって　当日ＭＳのセキュリティー対処をしていないコンピューターを狙ってウイルスを送りつけ、世界中のインタネットを一時的に麻痺させました。
そのときのＩＰは　xx.x6.109.94 (NHKニュース１・２９）と割り出していましたがもちろん偽装ＩＰだろうとのことでした。
今回の202.219.63.253はＮＩＦＴＹのもののようですが相手に聞けば偽装かどうかわかるのでは？　偽装でしたらまたウイルス騒ぎの前兆かも知れません。　自衛手段をとリましょう。

この回答への補足

そうそう。相手に聞きけばすっきりするんですよね。
でもＮＩＦＴＹのどういうところに問い合わせたらいいのかわかりません。ＮＩＦＴＹのページをチョロリと見たのですが、会員サポート以外の連絡方法が見当たりません。
みなさんはプロバイダに連絡するにはどういう手段をとってますか？

補足日時：2003/03/17 18:30

この回答へのお礼

アドバイスありがとうございます！やっぱ自衛が大切なんですね。

お礼日時：2003/03/17 18:34

No.3 回答者： honeorizon 回答日時： 2003/03/17 17:39

>ちなみにそのＩＰアドレスは202.219.63.253

そのアドレスは、Niftyというプロバイダが運用してい
るDNSサーバです。そこから"不正"アクセスが多いのな
ら、

1. NiftyのDNSサーバが乗っ取られて、クラッキングに
　使用されている。
2. 単に、DNSへの"あなたの問い合わせ"の通信を、
　ZoneAlarmが誤検知している。

のどちらかの可能性があります。まぁ、個人的には、
2番だと思いますが、これ以上は、あなたの通信環境
や、ファイアーウォールのログの内容が分からないこ
とには判断できません。

この回答への補足

なるほどー。
「あなたの問い合わせ」とはたとえば何なのでしょうか。
このソフトでファイアーウォールのログを見るにはどうしたらいいのでしょうか。
ファイアーウォールのログのどこを見れば何がわかるのでしょうか。それをここに載せて意見を求めてもusapoのプライバシーは守られるのでしょうか。
質問ばっかりですみません。

補足日時：2003/03/17 18:28

この回答へのお礼

アドバイスありがとうございます！

お礼日時：2003/03/17 18:30

No.2 回答者： pcunix 回答日時： 2003/03/17 17:11

ども。

usapoさんのプロバイダってNIFTYですか？
参考ＵＲＬに行ってＩＰアドレスorドメインを入力すれば
ある程度の情報も得られます。

特に攻撃とかじゃなくブロードキャストかなんかだと思いますが・・・・・

参考URL：http://www.mse.co.jp/ip_domain/

この回答への補足

そうそう。そう思われると思ってたんですよ。でも、usapoのプロバイダはＮＩＦＴＹじゃないんですよぉ。このＩＰアドレスを調べても、他のアクセスとは違って情報が少ないので気持ち悪いです。

補足日時：2003/03/17 17:33

この回答へのお礼

アドバイス有難うございます！

お礼日時：2003/03/17 17:36

No.1 回答者： bernstein 回答日時： 2003/03/17 17:07

JPNIC　whoisでは、ニフティからアクセスしか出ていませんでした。

参考URL：http://whois.nic.ad.jp/cgi-bin/whois_gw

この回答への補足

こんにちは！
usapoも相手のＩＰアドレスを調べたのですが、同様でした。むーん・・・謎です。

補足日時：2003/03/17 17:30

この回答へのお礼

アドバイスありがとうございます！

お礼日時：2003/03/17 17:32