ルータのログに次のようなものが残っています。
これらは不正アクセスがあったということでしょうか?
また、それぞれの用語がわからないのでぜひ教えてください。
****の部分はIPアドレスです。

2001/12/01 20:14:23 Refused NATe P:6(TCP) SRC:**** DST:**** SPORT:2419 (unknown) DPORT:80 (HTTP)

2001/12/01 23:34:56 Refused NATe P:6(TCP) SRC:**** DST:****  SPORT:80 (HTTP) DPORT:63606 (unknown)

2001/12/02 00:29:47 Refused NATe P:6(TCP) SRC:**** DST:****     SPORT:1161 (unknown) DPORT:21 (FTP)

このQ&Aに関連する最新のQ&A

A 回答 (1件)

NATeということはNECのルータかな?


とりあえず、用語の解説から
 NATe :IPマスカレード、NAPTのNEC版。IPのアドレス&ポート変換ですね。
 Refused NATe :そのアドレス変換が拒否されたってことです
 P:6(TCP) :プロトコル番号 6のTCPを利用している ってこと
 SRC :Source 接続元 ここはIPアドレスかな?
 DST :Destination 接続先 上がIPアドレスならここもIPアドレス。ホスト名かも。
 SPORT :Source Port 接続元のポート番号。
       後ろの(xxxx)はそのポートのサービス名。unknownは未登録
 DPORT :Destination Port 接続先のポート番号

でもってこれが不正接続かどうか...。状況がわからないので不正かどうかはわかりません。
つまり、WebやFTPのサーバをたてているとか、SourceとDestinationのどちらが自分なのかがわからないので。

一般的にみたら、
1行目 SRCが外のアドレスなら、外から自分をwebサーバとし接続
     これはCodeRedかな?
2行目 SRCが外のアドレスなら、自分が外のwebに接続した応答かな?
3行目 SRCが外のアドレスなら、外から自分に対するFTP接続。
     ポートスキャンで貧弱なFTPサーバを探しているのかな?
いずれもSRCを外と仮定して、予想を書いてみました。

今回はログに残っている時点ではまだ安全なので、大丈夫だと思いますが、
ルータは単なるパケットフィルタリングだけではなく、ステートフル・インスペクションなんかの技術をもった
ファイアウォール搭載にするとか(ちょっと高くなるけど)
パソコンにパーソナルファイアウォールを入れておくとかの対策をしておけばちょっとは安心でしょう。

まぁ、gonta-11さんのように普段から監視の目を光らせている方であれば、大丈夫でしょう。
#心配なのはセキュリティに関心の無い方と、自分さえ良ければOKという方かな...^ ^;)


プロトコル番号やポート番号の内容、トロイの木馬で攻撃するポート一覧などは
検索するといろいろ見つかります。
例えば、sanakiさんのホームページなんかは初心者に役立つ情報がありましたよ。
http://isweb5.infoseek.co.jp/diary/sanaki/index. … この中の「初心者による TCP(UDP)/IP メモ 」

参考URL:http://isweb5.infoseek.co.jp/diary/sanaki/index. …
    • good
    • 0
この回答へのお礼

ありがとうございました。
ログに残っているのですから、あまり心配はしていないのですが、ちょっと気になったものですから。でもむずかしいですねえ。何回読んでもわからない言葉がいっぱいです。少しずつ勉強します。

お礼日時:2001/12/13 22:47

このQ&Aに関連する人気のQ&A

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

このQ&Aを見た人が検索しているワード

このQ&Aと関連する良く見られている質問

Qルーターのセキュリティログ

ルーターにアクセスをして、セキュリティログを見てみると
1分間に4,5回、不特定多数の様々な人(PC)が俺のグローバルIPアドレス宛に
何かを送信しています。送信元IPアドレスは実に様々だから、
特定の個人が俺に特定的に攻撃(?)を仕掛けている訳ではないと思っています。
具体的なセキュリティログの内容ですが、

・受付時間
・送信元IPアドレス/ポート :様々/様々
・あて先IPアドレス/ポート :俺のグローバルIP/135が80%,後は様々
・プロトコル        :TCPが大半、たまにUDP,ICMP
・アクション :NAT(廃棄)、アクセス制限(廃棄)

という状況です。
ルータ兼モデムのスイッチが入っている間は常にこういう
状態が続いています。

環境
OS:Windows XP HomeEdition SP2
接続形式:ADSL
ネットワーク環境:
ルータ兼モデム → スイッチングハブ → PC
(NTT ADSLモデム SVIII)
プロバイダー:@Nifty

1.これって何が送られてきているのでしょうか?(全部ウィルス?)
2.どうして俺のグローバルIPアドレスが分かるんでしょうか?
3.皆さんの環境もこういう感じ(1分間に4,5回)なんでしょうか?

よろしくお願いします。m(_ _)m

ルーターにアクセスをして、セキュリティログを見てみると
1分間に4,5回、不特定多数の様々な人(PC)が俺のグローバルIPアドレス宛に
何かを送信しています。送信元IPアドレスは実に様々だから、
特定の個人が俺に特定的に攻撃(?)を仕掛けている訳ではないと思っています。
具体的なセキュリティログの内容ですが、

・受付時間
・送信元IPアドレス/ポート :様々/様々
・あて先IPアドレス/ポート :俺のグローバルIP/135が80%,後は様々
・プロトコル        :TCPが大半、たまにUDP,ICMP
・ア...続きを読む

Aベストアンサー

1.これって何が送られてきているのでしょうか?(全部ウィルス?)
 →ポートスキャンだとおもいますICMP
2.どうして俺のグローバルIPアドレスが分かるんでしょうか?
→固定IPですか?掲示板とかでIP抜かれる可能性もあります
 →ISPですか?つなげっぱなしだとIPかわんないのでリブートす  るのもいいですよ
3.皆さんの環境もこういう感じ(1分間に4,5回)なんでしょうか?
 →固定だとルーターがLAN側全部にアクセスしているモノ全部検知  しているのでそんなものです。
  (現在の職場のFWがそんな感じです)

セキュリティーに自身があるなら→ほったらかし
セキュリティーに自身が無いなら→FWでも導入してみたらどうでしょう

Qルーターのセキュリティログにて

ADSLモデムSV3を使用しています。
そのセキュリティログに以下の内容が出ていました。

受信時間 送信元IPアドレス/ポート 宛先IPアドレス/ポート プロトコル アクション
2013/02/25 19:18:24 192.168.1.252/- 61.x.y.z/- ICMP 廃棄[パケットフィルタ]
2013/02/25 19:18:24 192.168.1.252/- 61.x.y.z/- ICMP 廃棄[パケットフィルタ]
2013/02/25 19:18:24 192.168.1.252/- 61.x.y.z/- ICMP 廃棄[パケットフィルタ]

実際は、一秒間に10件から20件くらいです。
宛先IPアドレスの61.x.y.zはルーターに割り当てられたグローバルIPです。
通常、送信元IPには相手先として、グローバルIPになると思うのですが、
何故か、ご覧のようにプライベートIPです。
パケットフィルタ設定には「プライベートアドレスを使用した外部装置との通信を禁止」項目があるので、これで廃棄されていると思います。
この送信元IPには心あたりがありません。
DHCPで振り出す範囲からも外れていますし、固定IPでも使用していません。

1.これは何が起きているのでしょうか?
2.秒間20件というアクセスは通常レベルでしょうか?
3.止めることはできますか?

どうぞ、宜しくお願いします。

ADSLモデムSV3を使用しています。
そのセキュリティログに以下の内容が出ていました。

受信時間 送信元IPアドレス/ポート 宛先IPアドレス/ポート プロトコル アクション
2013/02/25 19:18:24 192.168.1.252/- 61.x.y.z/- ICMP 廃棄[パケットフィルタ]
2013/02/25 19:18:24 192.168.1.252/- 61.x.y.z/- ICMP 廃棄[パケットフィルタ]
2013/02/25 19:18:24 192.168.1.252/- 61.x.y.z/- ICMP 廃棄[パケットフィルタ]

実際は、一秒間に10件から20件くらいです。
宛先I...続きを読む

Aベストアンサー

>1.これは何が起きているのでしょうか?

IPスプーフィングによる不正アクセスだと思います。
送信元IPアドレスは偽装されたものでしょう。

>2.秒間20件というアクセスは通常レベルでしょうか?

通常はこのような間隔でICMPを送信することは無いでしょう。

>3.止めることはできますか?

相手を特定するのが難しいため止めるのは難しいと思います。
プロバイダにセキュリティに関する窓口があればそこに連絡するのも良いかもしれません。

おそらく不特定のIPアドレスにオートで攻撃しているような感じです。
よくあるといえばよくあることです。
コンシューマ向けルータよりもう少し機能の高いルータでログを採取していると結構いろいろな攻撃が来ていてルータではじいているのがわかったりします。

ルータのセキュリティ設定で水際で防いでいると考えれば無視してもいいと思います。
一応、ルータのセキュリティ設定は見直しておくべきだと思います。

Qルータのログにものすごい勢いで不審なUDPパケットが流れている

ルータのログにものすごい勢いで不審なUDPパケットが流れています。以下、その一部です。ポート番号の右に自分でWhoisした結果を添えています。多すぎて全部調べられないのですが、これら接続先に共通する点などありますでしょうか?

このルータは私一人が個人で使用していて、ほかの利用者はいません。ルータには複数のPCが接続されていましたが、その中のひとつをシャットダウンするとこのパケットはなくなりました。しかし、そのPCのファイアーウォールのログにはこのトラフィックログは記録されていません。

どなたかお分かりになるかたおられましたらどうぞよろしくお願いいたします。

LAN IP Destination URL/IP Service/Port Number

192.168.1.1 83.148.97.169 20129 RIPE Network Coordination Centre
192.168.1.1 201.1.220.38 20129 Latin American and Caribbean IP address Regional Registry
192.168.1.1 201.69.133.185 20129 Latin American and Caribbean IP address Regional Registry
192.168.1.1 122.4.67.139 48510 Asia Pacific Network Information Centre
192.168.1.1 213.96.103.14 20129 RIMA
192.168.1.1 59.45.77.130 13165 Asia Pacific Network Information Centre
192.168.1.1 84.90.125.242 20129 RIPE Network Coordination Centre
192.168.1.1 10.0.3.154 5353
192.168.1.1 121.23.93.131 61401 Asia Pacific Network Information Centre
192.168.1.1 210.6.180.236 20129 EVERGREEN
192.168.1.1 162.39.190.162 62497 Windstream Communications Inc
192.168.1.1 72.137.99.155 20129 Rogers Cable Communications Inc
192.168.1.1 222.69.173.111 1964 Asia Pacific Network Information Centre
192.168.1.1 220.185.209.223 65037 CHINANET-ZJ-TZ
192.168.1.1 169.254.25.129 netbios-ns
192.168.1.1 164.77.109.193 60895 EU-ZZ-164
192.168.1.1 74.103.20.202 63526 Rogers Cable Communications Inc.
192.168.1.1 200.153.203.231 64573 TELECOMUNICACOES DE SAO PAULO S.A. - TELESP
192.168.1.1 82.52.103.78 13635 TELECOM-ADSL-5
192.168.1.1 189.13.33.68 20129 Latin American and Caribbean IP address Regional Registry
192.168.1.1 200.159.220.164 20129 Brasil Telecomunicacoes SA
192.168.1.1 200.163.149.225 20129 Brasil Telecom S/A - Filial Distrito Federal
192.168.1.1 201.68.102.240 20129 Latin American and Caribbean IP address Regional Registry
192.168.1.1 201.93.1.131 20129 Latin American and Caribbean IP address Regional Registry
192.168.1.1 71.103.145.219 60228 Verizon Internet Services Inc.
192.168.1.1 190.84.130.84 20129 Latin American and Caribbean IP address Regional Registry
192.168.1.1 77.123.150.154 20129
192.168.1.1 84.222.29.131 20129
192.168.1.1 61.229.34.145 20129
192.168.1.1 211.90.120.41 36235
192.168.1.1 189.10.151.172 20129
192.168.1.1 72.232.237.213 20129
192.168.1.1 200.191.185.241 20129
192.168.1.1 221.201.202.100 64529
192.168.1.1 200.149.87.233 20129
192.168.1.1 200.100.213.136 20129
192.168.1.1 87.10.134.223 20129
192.168.1.1 218.28.5.218 14340
192.168.1.1 10.0.3.154 5353
192.168.1.1 213.167.24.253 20129
192.168.1.1 201.41.173.19 20129
192.168.1.1 200.141.122.8 20129
192.168.1.1 200.149.87.233 20129

ルータのログにものすごい勢いで不審なUDPパケットが流れています。以下、その一部です。ポート番号の右に自分でWhoisした結果を添えています。多すぎて全部調べられないのですが、これら接続先に共通する点などありますでしょうか?

このルータは私一人が個人で使用していて、ほかの利用者はいません。ルータには複数のPCが接続されていましたが、その中のひとつをシャットダウンするとこのパケットはなくなりました。しかし、そのPCのファイアーウォールのログにはこのトラフィックログは記録されていません...続きを読む

Aベストアンサー

>このような組織にパケットを送ることの理由として、どのようなことが考えられますでしょうか?
>PCがDDNSクライアント化さ登録をしようとしているのでしょうか?

(1)コマンド「nslookup 83.148.97.169」にて、接続先ホスト名を確認してください。
   こちらでは「fiber-169.unexbg.com」と表示されます。

(2)次に、「http://whois.prove-wsc.com/」などのサイトで
   「unexbg.com」を入力すると情報が表示されます。

(3)たとえば、「www.unexbg.com」にアクセスすると、どうやら、自作パソコンのネットショップのようです。

(4)上記のサイトのIPアドレスは「RIPE Network Coordination Centre」の管理下にあるのでしょう。
   ただ、この組織にパケットを送信していたとは考えにくいです。
   なにかの理由でドメイン「unexbg.com」管理下のサーバ「fiber-169.unexbg.com」に送信していた
   と考えるのが妥当です。

(5)上記のIPアドレスが「偽装」でないとすると、問題のPCの何かのプログラム、サービスが
   送信していたことになります。

(6)ちなみに、whois情報のメルアド「ivan_boev@dir.bg」
   のドメイン「dir.bg」もwhoisに登録があるようです。
   また、「http://www.eastcourt-rokko.com/domain/tlddata.html」にて「bg」を検索すると
   「ブルガリア」だそうです。
   ただし、IPアドレスが「偽装」だったりすると上記の調査は意味がないです。

(7)あと、リモートポート 20129を、よく使うサービス?がインストールされてるんでしょうか?
   この番号は、全く知らないです。
   以下のサイトが参考になります。
   「http://ja.wikipedia.org/」にて「ポート番号」で検索。

(8)WindowsXPでは、コマンド「netstat -a -b」で、アクティブな TCP/UDP 接続の実行可能ファイルの一覧が出ます。
   あやしいファイルがありますか?

(9)ごめんなさい。これ以上のことはわかりません。
   (スパイウェア文化についても、まだ勉強中です。)

>このような組織にパケットを送ることの理由として、どのようなことが考えられますでしょうか?
>PCがDDNSクライアント化さ登録をしようとしているのでしょうか?

(1)コマンド「nslookup 83.148.97.169」にて、接続先ホスト名を確認してください。
   こちらでは「fiber-169.unexbg.com」と表示されます。

(2)次に、「http://whois.prove-wsc.com/」などのサイトで
   「unexbg.com」を入力すると情報が表示されます。

(3)たとえば、「www.unexbg.com」にアクセスすると、どうやら、...続きを読む


人気Q&Aランキング

おすすめ情報