netbios-ssn(139)について

win2000の環境下でNorton Internet Security 2003を使用しています。たまにInternet Securityのイベントログをチェックしたりするのですが、10日程前からファイヤーウォールのログに、
----------------------------------------
規則「Windows ファイル共有を遮断」が @@@@@@@@(xxx.xxx.xxx.xxx),netbios-ssn(139) を隠しました。
----------------------------------------

※　@@@@@@@@は自Computer名 xxxは自IP

のメッセージが呆れるほど出てくるようになりました。この一年ほどこんな事は無かったのに少し困惑しております。ここ最近でした事と言えば、HPにFileMakerで作製されたDBを公開したぐらい…。
今の所、大体1分に1件のペースでアラートされてます。PCを立ち上げるとすぐにログがあがってき、PCを終了するまで絶え間なく出てきます。

博学な技術者の方、教えて下さい。これは定期的にアタックされているだけなのでしょうか？

No.1 ベストアンサー 回答者： WindowsUpUp 回答日時： 2004/01/14 11:52

こんにちは。

「博学な技術者」ではありませんが、的外れ覚悟で回答させていただきます。

「NetBIOS over TCP/IP が有効になっていると、自ＰＣのNetBIOSが一定時間ごとに外部への送信を行う」とどこかで聞いた覚えが・・・（自信は全くありません）。

私はＬＡＮを組んでいないので、安全性向上のためにも

１）NetBIOS over TCP/IP 無効化
２）「Microsoftネットワーク用クライアント」「Microsoftネットワーク用ファイルとプリンタ共有」は２つともチェックを外す（削除はしていない）

としています。これで、ＦＷのログにNetBIOS関係の通信が表示されることはありません。win2000用の設定例は参考ＵＲＬの通りです。

また、”netbios 通信　一定”でgoogleをサーチ、以下のページを見つけました。
http://doppo.no-ip.com/j-serv/win_share/win_shar …

「遮断」されているので心配はされていないと思いますが、上記の方法で余計なメッセージは消えるかもしれません。「この一年ほどこんな事は無かった」については、残念ながら想像もつきません・・・。

参考URL：http://bb.softbankbb.co.jp/support/tech/windows/ …

この回答へのお礼

回答ありがとうございました。
私はYahooBBですが、その設定ガイドにも確かに「NetBIOS over TCP/IP 無効化」が謳われておりました。にも関わらず、「DHCPサーバーからNetBIOS設定を使う」にチェックを入れてたのですが…。
確かに「この一年ほどこんな事は無かった」のです。がNORTON君のUPDATEの一環でnetbios絡みのメッセージをログ出力するように書き換えられたのかも知れませんね。

お礼日時：2004/01/16 03:54

No.2 回答者： mochiketsu 回答日時： 2004/01/15 12:50

博学でも技術者でもありませんが。

>最近でした事と言えば、HPにFileMakerで作製されたDBを公開したぐらい
ということですが、
FileMakerを/で使うスクリプトやプログラムがport139で通信しているのでなければ、
当該HPからの接続要求とも思えません。

ソースアドレスがプライベートアドレスでなければ、
外部のパソコンが手当り次第にマウント(ネットワークドライブの割当て)を
試みているだけの様な気がします。

No.1>自ＰＣのNetBIOSが一定時間ごとに外部への送信を行う」とどこかで聞いた覚えが・・・
これ、port137/138の話ですね。
ネットワークドライブをマウントしようとしなければ、port139での接続要求はない筈です。

結論としては、No.1さんと同じく、
「遮断されている」のであれば、問題なし。です。

この回答へのお礼

回答ありがとうございます。
何故いきなりログに上がるようになったのかは謎ですが、NetBIOSの無効化を選択しましたのでしばらく様子を見たいと思います。ちなみにFilemakerではPort80を使用です。私もFilemakerは関係無いように思います。

お礼日時：2004/01/16 03:59