ちくのう症(蓄膿症)は「菌」が原因!?

ブリッジ(NTTのSV3をブリッジ化しています)
-ルータ(buffalo製)
-内部LAN

という具合にネットワークを組んでいます。
最近、以下のようなログが残り、疑問を感じています。
(IPは一部伏せてあります)
2006/07/06 00:13:28 NAT TCP connection accepted from 192.168.XX.XX:1138 to 220.110.42.XX:80 (br0)
2006/07/06 00:13:28 NAT TCP connection accepted from 192.168.XX.XX:1137 to 220.110.42.XX:80 (br0)
(以下、ポートが1136,1135,1134...と続く)

192.168.XX.XXというのは、自分の使っている、内部LANのPCです。内部のLANのPCから、br0(ブリッジ?)のマシンへコネクションを張るということが解せないのですが、よくあることなのでしょうか。また、br0のIPアドレスも頻繁に違うものになっています。buffalo製ルータのサービス検索機能などでポートスキャンを受けていたりするのでしょうか。なお、LAN内PCはwindows2000で、windowsUpdate状況は最新、ウィルスも検出されません。変わったものといえば唯一、VNCサーバが起動しています。

外部インターネットからの接続を弾く場合は以下のようなログで、これは理解しているつもりです。

2006/07/06 00:13:09 FIREWALL TCP connection denied from 133.205.201.XXX:4055 to 133.205.239.XXX:135 (ppp0)

内側から外へポートスキャンしているような風に見える、上記ログについてなにかご存知の方、ご教授いただければ幸いです。
よろしくお願いします。

A 回答 (1件)

> 2006/07/06 00:13:28 NAT TCP connection accepted from 192.168.XX.XX:1138 to 220.110.42.XX:80 (br0)



これは
= あなたのマシン(192.168.XX.XX)からインターネット上のサイト(220.110.42.XX)
= へのTCPコネクション要求(ポート80なので多分HTTPリクエスト)
= を受け付けました。
というログですね。
TCPコネクションではサーバ側ポートは固定(HTTPでは通常80)ですが、クライアント側はセッションごとに空いている番号を(通常はOSが適当に選んで)使います。これが連番になるのは特に変でもありません。

br0はブリッジ自身かルータからブリッジへの回線に付けられた名前か、あるいは転送ルールに付けられた名前だと思いますけど、よく分かりません。
    • good
    • 0
この回答へのお礼

 先ほど、ご説明いただいた状況通りなのを確認しました。TCPコネクションの確立から、ルータのログに反映されるまでタイムラグがあるので何もPCに対する操作をしていないのに勝手にコネクションが張られたような錯覚をしていました。ブラウザでリクエストしたURLのホスト部にpingしたところ、ログに残っているIPと合致しました。
 まだまだ勉強が足りないようです。分かりやすいご説明、ありがとうございました。

お礼日時:2006/07/06 22:19

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

このQ&Aを見た人が検索しているワード

このQ&Aと関連する良く見られている質問

Qポートの80と443

こちらのサービス(https://secure.logmein.com/)を利用すると、インターネットを見られるサーバーのポートの80と443が空いていればルータやファイアウォールに特段の設定なく外部からサーバーを操作できるそうですが、逆にサーバーのポートの80や443を空けることには何か危険性があるのでしょうか。

Aベストアンサー

ポート80は一般的なHTTP、ポート443はHTTPSです。
この2つのポートがあいていなければインターネット接続(WEBブラウジング)は出来ません。
ですから、ほとんどのファイアウォールでこのポートは開いています。(インターネット接続を制限している社内LANでは当然閉じていますが)

ちなみに、よく使うポートとしてはFTPで20、21、SMTP(送信メール)で25、受信メールPOP3で110あたりです。セキュリティポリシー上、この辺は制限される事も多いですが、HTTP 80、HTTPS(暗号化用)443は通常閉じません。


危険性?
WEBプロトコルを使ってFTP的なファイル転送(WebDAV)やVPN等も出来るようになっています。当然そこにはある種の危険はつきものですが、WEBブラウジングに伴う危険と大きく変わりません。ウィルス等に感染していればこの2つのポートだけでも相当危険でしょうね。

参考まで。

Qルータのログにものすごい勢いで不審なUDPパケットが流れている

ルータのログにものすごい勢いで不審なUDPパケットが流れています。以下、その一部です。ポート番号の右に自分でWhoisした結果を添えています。多すぎて全部調べられないのですが、これら接続先に共通する点などありますでしょうか?

このルータは私一人が個人で使用していて、ほかの利用者はいません。ルータには複数のPCが接続されていましたが、その中のひとつをシャットダウンするとこのパケットはなくなりました。しかし、そのPCのファイアーウォールのログにはこのトラフィックログは記録されていません。

どなたかお分かりになるかたおられましたらどうぞよろしくお願いいたします。

LAN IP Destination URL/IP Service/Port Number

192.168.1.1 83.148.97.169 20129 RIPE Network Coordination Centre
192.168.1.1 201.1.220.38 20129 Latin American and Caribbean IP address Regional Registry
192.168.1.1 201.69.133.185 20129 Latin American and Caribbean IP address Regional Registry
192.168.1.1 122.4.67.139 48510 Asia Pacific Network Information Centre
192.168.1.1 213.96.103.14 20129 RIMA
192.168.1.1 59.45.77.130 13165 Asia Pacific Network Information Centre
192.168.1.1 84.90.125.242 20129 RIPE Network Coordination Centre
192.168.1.1 10.0.3.154 5353
192.168.1.1 121.23.93.131 61401 Asia Pacific Network Information Centre
192.168.1.1 210.6.180.236 20129 EVERGREEN
192.168.1.1 162.39.190.162 62497 Windstream Communications Inc
192.168.1.1 72.137.99.155 20129 Rogers Cable Communications Inc
192.168.1.1 222.69.173.111 1964 Asia Pacific Network Information Centre
192.168.1.1 220.185.209.223 65037 CHINANET-ZJ-TZ
192.168.1.1 169.254.25.129 netbios-ns
192.168.1.1 164.77.109.193 60895 EU-ZZ-164
192.168.1.1 74.103.20.202 63526 Rogers Cable Communications Inc.
192.168.1.1 200.153.203.231 64573 TELECOMUNICACOES DE SAO PAULO S.A. - TELESP
192.168.1.1 82.52.103.78 13635 TELECOM-ADSL-5
192.168.1.1 189.13.33.68 20129 Latin American and Caribbean IP address Regional Registry
192.168.1.1 200.159.220.164 20129 Brasil Telecomunicacoes SA
192.168.1.1 200.163.149.225 20129 Brasil Telecom S/A - Filial Distrito Federal
192.168.1.1 201.68.102.240 20129 Latin American and Caribbean IP address Regional Registry
192.168.1.1 201.93.1.131 20129 Latin American and Caribbean IP address Regional Registry
192.168.1.1 71.103.145.219 60228 Verizon Internet Services Inc.
192.168.1.1 190.84.130.84 20129 Latin American and Caribbean IP address Regional Registry
192.168.1.1 77.123.150.154 20129
192.168.1.1 84.222.29.131 20129
192.168.1.1 61.229.34.145 20129
192.168.1.1 211.90.120.41 36235
192.168.1.1 189.10.151.172 20129
192.168.1.1 72.232.237.213 20129
192.168.1.1 200.191.185.241 20129
192.168.1.1 221.201.202.100 64529
192.168.1.1 200.149.87.233 20129
192.168.1.1 200.100.213.136 20129
192.168.1.1 87.10.134.223 20129
192.168.1.1 218.28.5.218 14340
192.168.1.1 10.0.3.154 5353
192.168.1.1 213.167.24.253 20129
192.168.1.1 201.41.173.19 20129
192.168.1.1 200.141.122.8 20129
192.168.1.1 200.149.87.233 20129

ルータのログにものすごい勢いで不審なUDPパケットが流れています。以下、その一部です。ポート番号の右に自分でWhoisした結果を添えています。多すぎて全部調べられないのですが、これら接続先に共通する点などありますでしょうか?

このルータは私一人が個人で使用していて、ほかの利用者はいません。ルータには複数のPCが接続されていましたが、その中のひとつをシャットダウンするとこのパケットはなくなりました。しかし、そのPCのファイアーウォールのログにはこのトラフィックログは記録されていません...続きを読む

Aベストアンサー

>このような組織にパケットを送ることの理由として、どのようなことが考えられますでしょうか?
>PCがDDNSクライアント化さ登録をしようとしているのでしょうか?

(1)コマンド「nslookup 83.148.97.169」にて、接続先ホスト名を確認してください。
   こちらでは「fiber-169.unexbg.com」と表示されます。

(2)次に、「http://whois.prove-wsc.com/」などのサイトで
   「unexbg.com」を入力すると情報が表示されます。

(3)たとえば、「www.unexbg.com」にアクセスすると、どうやら、自作パソコンのネットショップのようです。

(4)上記のサイトのIPアドレスは「RIPE Network Coordination Centre」の管理下にあるのでしょう。
   ただ、この組織にパケットを送信していたとは考えにくいです。
   なにかの理由でドメイン「unexbg.com」管理下のサーバ「fiber-169.unexbg.com」に送信していた
   と考えるのが妥当です。

(5)上記のIPアドレスが「偽装」でないとすると、問題のPCの何かのプログラム、サービスが
   送信していたことになります。

(6)ちなみに、whois情報のメルアド「ivan_boev@dir.bg」
   のドメイン「dir.bg」もwhoisに登録があるようです。
   また、「http://www.eastcourt-rokko.com/domain/tlddata.html」にて「bg」を検索すると
   「ブルガリア」だそうです。
   ただし、IPアドレスが「偽装」だったりすると上記の調査は意味がないです。

(7)あと、リモートポート 20129を、よく使うサービス?がインストールされてるんでしょうか?
   この番号は、全く知らないです。
   以下のサイトが参考になります。
   「http://ja.wikipedia.org/」にて「ポート番号」で検索。

(8)WindowsXPでは、コマンド「netstat -a -b」で、アクティブな TCP/UDP 接続の実行可能ファイルの一覧が出ます。
   あやしいファイルがありますか?

(9)ごめんなさい。これ以上のことはわかりません。
   (スパイウェア文化についても、まだ勉強中です。)

>このような組織にパケットを送ることの理由として、どのようなことが考えられますでしょうか?
>PCがDDNSクライアント化さ登録をしようとしているのでしょうか?

(1)コマンド「nslookup 83.148.97.169」にて、接続先ホスト名を確認してください。
   こちらでは「fiber-169.unexbg.com」と表示されます。

(2)次に、「http://whois.prove-wsc.com/」などのサイトで
   「unexbg.com」を入力すると情報が表示されます。

(3)たとえば、「www.unexbg.com」にアクセスすると、どうやら、...続きを読む


人気Q&Aランキング