攻撃されているログの見方

Question

初めまして。ネットワーク管理初心者のものです。

最近あるIPアドレスから頻繁にアクセスがあります。
プロトコルはUDPで、送信先が161です。
UDPの161とは、snmpだと調べましたが、このツールがなんなのか、
一体何をしに、何のために自分へアクセスしているのかがわかりません。
ただ、毎日かなりの回数のアクセスログがあり、気になってはいます。

自分のパソコンは誰かから攻撃されているのでしょうか？
全然知識がないため、ただログを見ていることしかできません。
どなたか詳しい方、教えて下さい。

namachu · Accepted Answer

SNMP はネットワークに接続されている機器等の管理を行うためのプロトコルです。
安価なものにはありませんが、ルーターやネットワークプリンターなどによく使われています。
数年前に SNMP の実装にセキュリティの脆弱性が見つかりました。この問題を
突かれると、システムがダウンしたり、乗っ取られたりする可能性があります。
現在、販売しているものは基本的に修正されたもので安全ですが、世の中には
古いものをそのまま使い続けている人もいますし、そういう機器を探し出して悪用しようとしている人もいます。
今回のアクセスがそれなのかは不明ですが、FW等で不必要なアクセスは遮断するようにしたほうが良いでしょう。
取りあえず、その IP が誰に割り当てられているものか調べましょう。

noname#9381 · Answer

その会社の方のＰＣに何かありそうですね。あなたのネットワーク管理の権限がそのセグメントにもあるなら、本人に事情を話してＰＣをチェックしましょう。また、あなたに権限がないならそこのセグメントの権限を持っている担当者に話しましょう。

　あなたの会社でsnmpによる管理をされていないなら不必要に帯域を狭めるものですので、止めるべきです。また、snmpによる管理をしていなければ、ルータをその通信がすり抜けていることも問題ですので、ルータの設定も変える必要があります。

e-marimo · Answer

snmpはサーバ監視の為に使います。
いきなりインターネット側からパケットが飛んでくるようになったのなら、たぶんどこかの業者などから来てると思います。
IPを逆引きしてみるなりしてどこから来てるか判断できるかもしれません。ネットワーク管理者ならばその後どうしたらいいかちょっと考えてるといいかもしれません。勉強になると思います。

しかし問題はこのアクセスがどこで検知されたかです。ルーターかPCかで大きく違いますがもしPCに直接接続しにきてるのならかなり危険です。
不必要なパケットはルーターやFWでシャットアウトするようにしましょう。

noname#9381 · Answer

アクセスがあるのは自ネットワークのどこに（ファイアウォール？）どこから(WAN側?LAN側?)来るのでしょうか？

　そのIPアドレスの発信元はどこのドメインか調べられました？グローバスアドレスです？プライベートアドレスです？

　かなりの回数は定期的でしょうか？そもそもかなりって何回でしょう？

　ちょっと状況が分かりにくいです。どういうネットワークかも分からないし．．．

攻撃されているログの見方

SNMP はネットワークに接続されている機器等の管理を行うためのプロトコルです。

その会社の方のＰＣに何かありそうですね。

snmpはサーバ監視の為に使います。

アクセスがあるのは自ネットワークのどこに（ファイアウォール？）どこから(WAN側?LAN側?)来るのでしょうか？

似たような質問が見つかりました

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング

　その会社の方のＰＣに何かありそうですね。

　アクセスがあるのは自ネットワークのどこに（ファイアウォール？）どこから(WAN側?LAN側?)来るのでしょうか？