ログの見方

ルータのログに次のようなものが残っています。
これらは不正アクセスがあったということでしょうか？
また、それぞれの用語がわからないのでぜひ教えてください。
＊＊＊＊の部分はＩＰアドレスです。

2001/12/01 20:14:23 Refused NATe P:6(TCP) SRC:**** DST:**** SPORT:2419 (unknown) DPORT:80 (HTTP)

2001/12/01 23:34:56 Refused NATe P:6(TCP) SRC:**** DST:****　 SPORT:80 (HTTP) DPORT:63606 (unknown)

2001/12/02 00:29:47 Refused NATe P:6(TCP) SRC:**** DST:****　　　　 SPORT:1161 (unknown) DPORT:21 (FTP)

No.1 ベストアンサー 回答者： noname#41381 回答日時： 2001/12/04 09:39

NATeということはNECのルータかな？

とりあえず、用語の解説から
　NATe　：IPマスカレード、NAPTのNEC版。IPのアドレス＆ポート変換ですね。
　Refused NATe ：そのアドレス変換が拒否されたってことです
　P:6(TCP)　：プロトコル番号　６のTCPを利用している　ってこと
　SRC　：Source　接続元　ここはIPアドレスかな？
　DST　：Destination　接続先　上がＩＰアドレスならここもIPアドレス。ホスト名かも。
　SPORT　：Source Port 接続元のポート番号。
　　　　　　　後ろの(xxxx)はそのポートのサービス名。unknownは未登録
　DPORT　：Destination Port 接続先のポート番号

でもってこれが不正接続かどうか...。状況がわからないので不正かどうかはわかりません。
つまり、WebやFTPのサーバをたてているとか、SourceとDestinationのどちらが自分なのかがわからないので。

一般的にみたら、
１行目　SRCが外のアドレスなら、外から自分をwebサーバとし接続
　　　　　これはCodeRedかな？
２行目　SRCが外のアドレスなら、自分が外のwebに接続した応答かな？
３行目　SRCが外のアドレスなら、外から自分に対するFTP接続。
　　　　　ポートスキャンで貧弱なFTPサーバを探しているのかな？
いずれもSRCを外と仮定して、予想を書いてみました。

今回はログに残っている時点ではまだ安全なので、大丈夫だと思いますが、
ルータは単なるパケットフィルタリングだけではなく、ステートフル・インスペクションなんかの技術をもった
ファイアウォール搭載にするとか（ちょっと高くなるけど）
パソコンにパーソナルファイアウォールを入れておくとかの対策をしておけばちょっとは安心でしょう。

まぁ、gonta-11さんのように普段から監視の目を光らせている方であれば、大丈夫でしょう。
＃心配なのはセキュリティに関心の無い方と、自分さえ良ければＯＫという方かな...^ ^;)


プロトコル番号やポート番号の内容、トロイの木馬で攻撃するポート一覧などは
検索するといろいろ見つかります。
例えば、sanakiさんのホームページなんかは初心者に役立つ情報がありましたよ。
http://isweb5.infoseek.co.jp/diary/sanaki/index. …　この中の「初心者による TCP(UDP)/IP メモ 」

参考URL：http://isweb5.infoseek.co.jp/diary/sanaki/index. …

この回答へのお礼

ありがとうございました。
ログに残っているのですから、あまり心配はしていないのですが、ちょっと気になったものですから。でもむずかしいですねえ。何回読んでもわからない言葉がいっぱいです。少しずつ勉強します。

お礼日時：2001/12/13 22:47