こんにちは。「ウィルスバスター2001」を導入して2週間程ですが、侵入活動ログに規則性を発見して、それが何を意味するのか、早急に対処すべき危険なことなのか分からず悩んでいます。
環境は、マンション全戸に引かれている専用線接続、固定IPアドレス、Win98、IE6、OE6。使用状況は常時ONに近い状態です。
ログですが、
(1)日時/ランダム。
(2)侵入活動/全て「入力」。
(3)プロトコル/ほとんどTCP、1日に何回かICMP。
(4)送信元IP/(3)がTCPの場合はランダム。ICMPの場合は全て同じ。
(5)送信先IP/全て、ICMPの場合の(4)のIP元と、同じ会社のIP。IPサーチで、海外の企業と判明。
(6)送信元ポート/初日のみ120有り。あとは全て80。(但し、(3)がICMPの場合は「なし」)
(7)送信先ポート/1120、または1243。(但し、(3)がICMPの場合は「なし」)
(8)TCPコントロールビット/0×10、0×12、0×14のいずれか。
ICMPの場合の送信元IPと、全ての送信先IPが、海外のある会社のものであるという規則性が気になっています。毎日数10回~100回以上のアタックがあるということは、ファイアーウォールを入れる以前もそうだったのでしょう。
今は、念のため別のプロバイダでダイヤルアップ接続している状態で、とても不便な思いをしています。
この場合もアタックはされますが規則性はなく、送信先IPは自分の接続IPになっています(送信元/送信先ポートについては専用線へのアタックと同じ状況)。
過去ログやyahooのサーチで色々調べてみましたが、どうしても分かりませんでした。
どなたか、お分かりになる方に、このログの意味、危険性、なすべき処置を教えて頂けたら、とても助かります。
長文になってしまい申し訳ありません。最後まで読んで下さってありがとうございました。
A 回答 (1件)
- 最新から表示
- 回答順に表示
No.1
- 回答日時:
何点か矛盾していますね。
(2)が正しいなら(4)は自身の端末のIPアドレスのはずですね。
(5)は海外の企業ではなく登録上は「IANA(IANA-CBLK-RESERVED)」になっているはず。
これ(192.168.x.x/16)はIPのプライベートアドレスブロックなので、マンション内のどこからかになります。
(8)TCPコントロールビット
0x10...ACK
0x12...SYN+ACK
0x14...RST+ACK
なので、どれもACKビットが立っているので、(6)(7)(8)と合わせて考慮すると、自身(あなたのマシン)が発行したパケットの戻りのパケット(応答パケット)がログに残っているのでしょう。
これらから考えられることは、「あなたのマシンがVirusに感染している」可能性があります。
(6)(7)の記述が正しいとすると、あなたのマシンがマンション内の他のマシンに対して攻撃をしていてその返信パケットがログに残っている可能性が考えられます。
(6)と(7)が逆の場合は「攻撃を受けている」可能性があります。
いちど、完全なVirusチェックを行ってください。
Port 80なのでCodeRed/Nimdaあたりに感染している可能性が考えられます。
ちなみに、ログの内容ではなく、ログに残った「パケットの処理をどうしたか?」が
大切です。きちんと「破棄」されていますか?
お答えありがとうございます。
そうなんですよ。自分のIPだったらいいのですが、やはり、
(A)送信元IPはICMPの場合全て「海外の某会社」、
(B)送信先IPは、送信元IPの違いに関わらず、全て「海外の某会社」です。
(A)と(B)のIPは異なります(似てるけど)が、IPサーチ検索すると、どちらも
「海外の某会社」になるので、これはどういうこと? と悩んでいるわけです。
ちなみに、質問(1)~(8)の内容に間違いはありません…。
定期的にウィルスチェックはしていますし、ファイアーウォールの導入を契機に、
ハードディスクのフォーマットまでしたのですが…。
ファイアーウォールを入れるまで1年ほどのブランクがあったので、
それ以前もこんな状態だったのでしょう。
アタックはよくあることのようですので、あまり気にならないのですが、
この規則性(某海外の会社)の意味することが分からず困っています。
いったいこれは、どういうことなんでしょうね。はぁ~。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- その他(コンピューター・テクノロジー) 「プロトコル」の定義について 5 2023/04/16 13:13
- VPN 無料のwifiはなぜ危険性高い? VPN プライベートDNSモードにすれば安全? 2 2022/06/04 18:23
- Windows 10 リモートデスクトップ接続 1 2022/07/12 14:30
- Wi-Fi・無線LAN ローソンで wi-fi 接続できませんでした スマホは OPPO A 73です 何がいけなかったか 4 2022/05/31 03:53
- C言語・C++・C# TCP/IP通信時のサーバーからの受信 2 2022/11/23 09:11
- ルーター・ネットワーク機器 10Gbpsの恩恵 5 2022/11/16 15:48
- ネットワーク 一台のサーバーに複数個のIPアドレスを追加出来る事は知っていますが、具体的にどうやるのでしょうか? 4 2022/11/03 20:12
- ネットワーク DHCPのリース期限が半分になった時、WindowsPCはリースの延長をリクエストするかと思います。 2 2023/01/17 09:12
- UNIX・Linux Ubuntuサーバーでメールを受信できない 7 2022/08/23 20:55
- 固定IP Win11 アダプター設定変更にイーサネットが表示されない 1 2022/12/03 18:31
関連するカテゴリからQ&Aを探す
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
Air-H"
-
毎日、不正アクセスの集中攻撃
-
ルーターへの外部からの不正ア...
-
ノートン
-
SWのストームコントロール機能...
-
ICMPは通るのにTCP/UDPが通らない
-
IPアドレスが10.212.***.***
-
独立記念日の米軍基地一般開放...
-
telnetの時にタイムアウトが発...
-
VH-100<3>E<N>
-
ポートが閉じてることと、フィ...
-
不正と思われるアクセスがたく...
-
PCから直接FAXを送受信する方法
-
自動ポート開放
-
I/Eの送受信について
-
UPnP ポート開放とは
-
ワイヤレススイッチの場所について
-
IOデータのダイナミックDNSサー...
-
netstatをしてみたら身に覚えの...
-
Outlookの自動受信とツイッター...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
「239.255.255.250:1900」宛の...
-
同セグメント内に流れているパ...
-
マルチキャストのExcludeモード...
-
NT Kernel System(ntoskrnl.exe...
-
ルータとブリッジの違い?
-
ログを取るソフトはあるのでし...
-
Overlapping Fragment Attackに...
-
DHCPで0.0.0.xxのアドレス取得
-
侵入検知
-
シーケンス番号の許容範囲について
-
基本的なことですが、『ポート...
-
ルーターへの外部からの不正ア...
-
ブラウザからのSSL通信の動きに...
-
tracetコマンド
-
ルータのファイヤウォール機能...
-
IPマスカレードのセキュリティ
-
tracerouteコマンドとポート番号
-
WEBサーバーなど公開しているサ...
-
スイッチングハブ
-
Dummy Hub について教えてください
おすすめ情報