Macの簡易ファイヤーウォールのログの読み方

Macの簡易FWのログの記録のされ方の違いについて教えて下さい。
1.　ipfw: 12190 Deny TCP 220.221.139.***:1546
220.221.33.***:135 in via ppp0

2.　ipfw: Stealth Mode connection attempt to UDP 220.221.33.***:137 from 83.16.82.**:60685

１と２はどのように違うのでしょうか？
やっている方から見た場合です。相手はどのような事をしているのでしょうか？（例えば１はポートスキャンをしている、２は相手のPCがウィルスに感染している等）
このように記録のされ方が違うのは何に起因するのか教えて下さい。

No.3 ベストアンサー 回答者： kumaman 回答日時： 2006/04/20 22:19

こんばんは。

分かる範囲で回答出来ればと思いましたが、私はMac使いではありませんので
間違いでしたらどうぞご容赦下さい。

1.は 220.221.139.*** (Port:1546) が ppp0 を介して
220.221.33.*** (Port:135) へのアクセスを試みています。

2.は 83.16.82.** (Port:60685) が
220.221.33.*** (Port:137) へのアクセスを試みましたが、
お使いのMacがステルスモードで動作しているので、これに対する返答は
しなかったという意味だと思います。

詳細は割愛しますが、TCPの135番やUDPの137番は侵入口として非常によく狙われるポートです。
実際に侵入されたかどうかはここから判断出来かねますが、アクセス元のIPに
見覚えが無ければ相手が不正侵入を試みたものと判断して良いでしょう。

気になったのですが、このMacはもしかするとルータを使わないで直接
インターネットに接続されていませんか？
（根拠は 1.で Mac が ppp 接続していることと、1.と2.でグローバル
　IPからアクセスされていることです）

適切に設定されたルータは外部からの不正侵入を大幅に減らしてくれます。
もし導入されていないようなら5,000円程度のもので構いませんので、
是非検討して下さい。

この回答への補足

　早々回答どうもありがとうございます。自分の勘違いかもしれませんがここにログインするためのパスワードが変わっていて何度も試したり、自分の記憶を思い起こしてみたり、最終的にパスワードを取り直したので遅くなりました。
　１も２も侵入しようとアクセスしているけれど、No.2さんがおっしゃるようにボット化したPCによるものかもしれないわけですよね。
どちらかは、ボット化したPCにはできなくて、明らかにPCの持ち主本人が故意に侵入を試みているという決定的な証拠にはならないのでしょうか？
　ルータの件以前から考えていたのですが、今までの経緯を考えると狙い打ちされていた場合、ルータをいれてもさらに手口が功名化するだけで根本的な解決にはならないのではないかと思っています。当面の攻撃には対処できるかもしれませんが、また、私が購入したルータを分析してセキュリティホールみたいなところをつてくるかもしれないですし。それで他に方法はないものかと思案中です。
　

補足日時：2006/04/23 08:18

No.6 回答者： altosax 回答日時： 2006/04/23 15:53

クラッキング対策ファイナルガイド

http://www.seshop.com/detail.asp?pid=16
今はずいぶん安く買えます。
http://www.amazon.co.jp/exec/obidos/ASIN/4881357 …

その第二版の、
Linux 版 クラッカー迎撃完全ガイド レビュー
http://www.linux.or.jp/bookreview/BR34.html

私の場合はこの二冊を読んだことで、かなり実り高い勉強ができました。
（とはいえまだまだなんですが）

将来とっぴょうしも無いテクニックが現れないうちは、基本的な侵入と防御の王道はこれらの本でだいたいわかった気になれました。

sable78 さんの場合はもうすでにかなりわかっていらっしゃる方ですので、ネットクラフトのチェックでこのサーバーはおかしい、と気付いた時点で、すぐにサーバー管理者へ連絡してあげるのがよいのではないでしょうか。

この回答へのお礼

再度、どうもありがとうございます。
いや、私PCの分野、ど素人です。本で読んだり、ここのサイトや他のサイトでの善意の皆さんに教えてもらって必死に勉強中です。
でも、どう考えてもDNSサーバからのステルスモードへの接続は恐いですよね。何がどうなっているのか本当に恐いです。
アドバイスに従って後日また別カテゴリーに投稿してみます。
本当に何度もありがとうございました！

お礼日時：2006/04/25 22:55

No.5 回答者： altosax 回答日時： 2006/04/23 13:51

＞わかっているものについては全部サービス拒否しています

あれあれ、事前にちゃんとご注意されていたんですね！
にもかかわらずUDP137番に接続試行が実施されたのは確かに不思議ですよね！！
137番ポートはウエルノウンポートなので、黙っていたらNetBIOSになりますが、
もしかするとsable78 さんが不正侵入を拒否するために他のサービスのポートを
知らず知らず137に変更設定した…とかがないか、自分の設定の詳細をチェック
してみないと気持ち悪そうですね。

私もOSXのユーザーではないので、「簡易ファイヤーウォール専用書式？」の
読み方についてはよくわからない状態です…
一番注意を要するのは、Attempt to の解釈が、ポートが開いているから接続
試行の結果確実に侵入成功しているのか、ポートスキャンでノックだけされた
ことをAttempt to と表示するのか？、その辺ですよね…

ヘルプに読み方の詳細が載っていませんか？


私個人的には、ステルスモードにしているのにばれてしまった、というのが
何の意味なのか自分の受取りが間違っているのかわからなくて怖いですので
ちょっとよく勉強したいと思います。
（私もマックをはじめとしてセキュリティも勉強中の身の上で生半可な知識
しかありませんのですみません…）

＞もしそうであるなら、大変なことでじゃないでしょうか。
＞それとも、そんなことはよくあることなんでしょうか？

そうですねえ、去年かおととしに静岡新聞社などのWindowsサーバーが乗っ
取られてしまったのはまだ記憶に新しいですよね。
http://uptime.netcraft.com/
ネットクラフトのサービスで、調べたいサーバーのIPアドレスを入れると、
何の種類のサーバーなのかが簡単にわかりますので試してみてください。

この話題は、ここのカテゴリーでは早々に打留めになされて、「コンピューター
（技術者向け）＞ネットワークセキュリティ」のカテゴリーで再投稿されるのが
一番よろしいかと思います。

この回答へのお礼

どうもありがとうございます。

＞他のサービスのポートを知らず知らず137に変更設定した…とかがないか、自分の設定の詳細をチェックしてみないと

他のサービスポートを１３７に変更設定とか一切していないです。基本的なサイト閲覧しかしていないですから。一人なのでファイル共有とか絶対ないですし。

＞ステルスモードにしているのにばれてしまった

私もなぜステルスモードがこんなに簡単に接続されそうになるのかその仕組みを調べているのですが。
飛行機のステルスって敵のレーダーに探知されないから安全なはずですよね。まぁここでは飛行機ではないですけど、、、。

いろいろどうもありがとうございました。

お礼日時：2006/04/25 22:50

No.4 回答者： kumaman 回答日時： 2006/04/20 22:24

No.3です。

すみません、見落としていました。1. は "Deny" とありますね。
Macは相手の接続要求を拒否しているのでこのタイミングで侵入されていることは
ありません。
No.2 で侵入されたか判断出来かねると申し上げてしまいましたが、
訂正させて下さい。失礼致しました。。

この回答へのお礼

　いえ、いえ、善意で回答して下さった中に多少のいい間違いがあったとしても全然平気です。
　困っている人を助けようとして下さった気持ちの方がとてもうれしいです。善意でして下さった行為に間違いがあったなんて怒る人いませんよ（たまに変な人いるかもしれませんが、私は違いますので）
　ご丁寧にありがとうございます。

お礼日時：2006/04/23 08:23

No.2 回答者： altosax 回答日時： 2006/04/20 21:49

こんにちわ

なかなかレスがつかないですね^^;
私はまだOSXじゃなくて古いOS9派なのですが、油断できないWindows98がLANに
混じっているので、自分のルータ−のログを時々点検して排除と受け入れの状況を
見たり、
産業経済省の「コンピューターウイルス／不正アクセスの届け出状況」
http://www.meti.go.jp/press/index.html
↑関係ない情報がたくさんありますが、月に一回ずつ、ウイルス／不正アクセス発
表が入りますので見落とせない信用のおける貴重情報です。

情報処理推進機構の不正アクセス情報
http://www.ipa.go.jp/security/index.html
ここは専門なんですが、ちょっとウインドウズの情報に片寄り過ぎている感じも
なきにしもあらずですが、不正アクセスの一般論を知るのに助かるサイトです。

・・・などを眺めるようにしています。

1.　ipfw: 12190 Deny TCP 220.221.139.***:1546
220.221.33.***:135 in via ppp0

OSXの簡易ファイヤーウォールに特化したことは私はわからないのですが、一般論
として、質問者さんの1546ポート（セキュリティ系サービスabbaccurayのポート
だそうですが、そもそもabbaccurayって何なんだか私も誰かに補足していただける
と嬉しいです）
http://www.fortigate.jp/portNo/port1500-1699/ind …
に、モデムのppp接続でやってきた訪問者が却下された記録ではないかと思います。

2.　ipfw: Stealth Mode connection attempt to UDP 220.221.33.***:137 from 83.16.82.**:60685

これはステルスモード（他人に知られないモード）になっているはずの質問者さん
が、なぜか83.16.82.**の60685という誰も使わないポートを利用した人物かロボット
動作のマルウエアから、質問者さんの137ポート（NetBEUIが使うポート）をノックさ
れたことを示しているんだと思います。
（お使いのMacで、Windowsの旧式のNetBEUI,NetBIOSを使うサービスが動作してい
るんでしょうか？）

ノックされて侵入？したけれど、そこに撹乱しようとした目的物がなかったので、引
き揚げたかもしれません。
83.16.82.**:60685のアクセス記録がたくさんあるようでしたら、こいつは拒絶のリスト
に入れてしまったほうがいいかもしれないですね。

というか、ステルスモードって、もう信用できない手法になってしまったんでしょうか…

ポートはウエルノウンポート以外に、最近の新しいサービスでどんどん埋まってきて
いるので、このような資料（これは草の根資料なので絶対の信頼ではありませんが）など
を適宜調べてみて、何の目的なのかチェック推理してみてください。
http://www.geocities.co.jp/SiliconValley-Cuperti …

私のログは、ほとんどが、チャット目的に1026と1027のポートを膨大にノックされて
いる記録が延々と続いています。
チャットを実際にやっていたら相当うんざりしそうです^^

でも、時々何の目的なのかポート番号では判別がわからない執拗なノックがあったりし
てちょっと警戒します。
ところが、冒頭の「コンピューターウイルス／不正アクセスの届け出状況」に載っていて
も、「何を目的にした不正アクセスか不明」と報告されていたりして無気味です…。

定期的にこれらの情報を眺めてみるようにしてみてください。

この回答への補足

　なかなかレスつかなかったのに、こんなにたくさん、詳しく教えて頂き感激です。今使っているMacではWindows系のサービスはもとより、ファイル共有、web共有、わかっているものについては全部サービス拒否しています。（自分で把握していないサービスがあったら、そこは自分のしらないうちにサービス展開中になっているかもしれませんが）
　頂いた回答によると１も２も攻撃者が自ら行っているのではなく、PCがボット化して自分の意志に反してそのような事をおこなっているかもしれないわけですね。
でも、プロバイダーのDNSサーバがボット化していたら、それってプロバイダーのDNSがウィルスに感染しているかもしれないっていうことですよね。もしそうであるなら、大変なことでじゃないでしょうか。それとも、そんなことはよくあることなんでしょうか？

補足日時：2006/04/23 08:03

No.1 回答者： asuca 回答日時： 2006/04/20 21:31

１は単純に220.221.139.***:1546からのアタックを拒否したことを示して２はステルスモードになっているが進入を試みられたことを示しています。

この回答へのお礼

どうもありがとうございます。

お礼日時：2006/04/23 07:50