次のような環境で、ADSLでインターネットに接続しています。
【ルータ兼ADSLモデム】 NEC Aterm DR202C
【ルータのLAN側IPアドレス】 192.168.0.1
【PCのLAN側IPアドレス】 192.168.0.2
※PC1台でネットに接続しています
ルータのパケットフィルタリングの設定において、localhost/255.255.255.0から任意の宛先IPアドレスに対して、宛先ポートが次に該当しない場合は、通信を拒否するように設定しています。
【通信可能な宛先ポート】 20,21,53,80,110,123,443,587
ルータのログを確認したところ、次の内容がありました。
2008/01/06 10:27:50 IP_Filter REJECT TCP 192.168.0.1:22 > 190.24.145.50:44792 (IP-PORT=6)
ログの内容としては、ルータ(192.168.0.1)が(190.24.145.50)のTCP44792番ポートにアクセスしようとして、パケットフィルタリングの設定により、パケットが廃棄されたものだと思います。
なぜ、ルータがこのような通信をしようとしたのか、分かりません。
ルータには時刻合わせの機能がありますが、自動設定(工場出荷時の設定により、NTPサーバに接続)ではなく、手動設定でNTPサーバを指定したため、時刻合わせで上記の通信が発生するとは考えられません。
PCのウイルスチェックを実施しましたが、感染は見つかりませんでした。
このような通信が発生した原因として考えられることを教えてください。
No.1
- 回答日時:
2008/01/06 10:27:50 IP_Filter REJECT TCP 192.168.0.1:22 > 190.24.145.50:44792 (IP-PORT=6)
22番のポートも44792番のポートもどちらもSSH通信をしようとしているのだと思います。
おそらくインターネットでどこかのページを見ようとした時に通信しようとしたのではないかと思われます。
該当の時間にどのページを見ていたのか調べれば何かわかりそうですね。
参考URL:http://seifried.org/security/ports/44000/44792.h …
ご回答ありがとうございました。
上記のログが出た時点は、ホームページ閲覧は行っていませんでした。
SSH通信をしようとしたと仮定すると、ルータを第3者に遠隔操作されて
いた可能があるでしょうか?
不正アクセスやウイルス等により、PCまたはルータを不正に操作されて
いないか、心配しています。
ルータのデフォルトの設定により、ルータ自身へのtelnetやwebアクセス
はできないようになっているのですが。
No.2
- 回答日時:
前後のログやログ設定も見ないとなんともいえませんが、190.24.145.50:44792からルータにアクセスがあって、ルータが応答しようとしたがパケットフィルターで弾かれたということでは?
外部からのリクエストを何でLAN側アドレスから応答しているのかは謎ですが、ルータがそういう設計かもしれませんし。
ご回答ありがとうございました。
外部からのアクセスに対して、ルータがTCPで応答することがあるんですね。
一般的に、どのようなケースでルータが応答パケットを流すのか、説明している
サイトなどありましたら、教えていただけると助かります。
No.3
- 回答日時:
当該IPの国別コードを見ると、ウルグアイの管轄みたいですね。
http://whois.ansi.co.jp/?key=190.24.145.50
業務に関連のある国ならともかく、一般的な使い方ではあまりアクセスするようなところでは無いと思います。そのログが記録された時間帯を集計して発生する間隔や頻度を確認し、そのタイミングで動いているプロセスをチェックしてみてはいかがでしょうか?
ご回答ありがとうございました。
本日、PCの電源を入れていない時間帯に、同じようなログが出ていました(以下の通り)。やはり、ルータ単体で発生する現象のようです。
2008/01/07 11:27:12 IP_Filter REJECT TCP 192.168.0.1:22 > 211.53.110.157:45384 (IP-PORT=6)
2008/01/07 11:31:54 IP_Filter REJECT TCP 192.168.0.1:135 > 201.49.2.242:6000 (IP-PORT=6)
No.4
- 回答日時:
ルータ単独で発信するというのはあまり考えられませんが、何か気持ち悪いですね。
rinkunさんがおっしゃるように、外部からの要求に答えようとしてる可能性もあります。内部から通信可能な宛先ポート(outbound)は制限されているようですが、外部から入ってくるポート(inbound)に対してどのような設定になっているのか確認してみましょう。特に指定していなければ、そのポートに対してのアクセスは受け付けてしまいますね。ウイルスやアタックによるポートスキャンは、特に珍しくありませんし。わたしは普段使っていない時は、ルータの電源を落としています。万が一、ルータの脆弱性を突いた攻撃があったとしても、電源が入っていなければどうにもできないでしょうし。アングラサイトでは踏み台に適しているグローバルIPのリストを、共有して相互利用しているところもあるそうですから。
http://internet.watch.impress.co.jp/cda/news/200 …
http://blog.japan.zdnet.com/kurei/a/000513.html
http://www.itmedia.co.jp/enterprise/articles/050 …
http://sv2ch.baila6.jp/chk_relay.cgi
ご回答ありがとうございます。
リンク先のクロスサイトリクエストフォージェリという脆弱性は、初めて知りました。私も、ルータにログインした状態で、他のWEBサイトを閲覧していましたので、何らかの影響があった可能性があります。これはルータに限らず、ネットバンク等もログインした状態では、他のサイトは見ない方がいいですね。一応、Firefox+Noscriptで、極力スクリプトは起動しないようにはしていますが、許可しているサイトもありますので。
また、紹介いただいたリンク先で、ルータに割り当てられているグローバルIPをチェックしましたが、踏み台のリストにはありませんでした。
外部から入ってくるポート(inbound)に対するルータの設定は、初期設定+独自設定です。初期設定は、次のページの通りです。
http://k-net.pinky.ne.jp/ipadsl-aterm.htm
独自設定は、PCで空いているポートを塞いだりしています。
ルータのログを見ると、ルータの135番ポートから外部にアクセスして遮断されたケースもあるため、外部から135番ポートへのアクセスを遮断するフィルタ(宛先IPがAAA.BBB.0.0/255.255.0.0 で宛先ポート135を拒否する設定。AAA.BBBは、ルータに割り当てられるグローバルIP)を入れてみましたが、その後も、ルータの135番ポートから外部にアクセスして遮断されるログが出ました。前後にどんなアクセスがあったのか、単なるブロードバンドルータのため詳しいログが残らず、原因がつかめません。
ちなみに、ルータのファームウェアは最新です。ただし、ここ何度か、ファームの初期化をしています(フィルタの設定を誤ってしまい、宛先80番ポートにアクセスできなくなってしまったため)。初期化しても、ファームは最新版でした。
No.5ベストアンサー
- 回答日時:
ANo.2です。
一般論として、TCPコネクション要求が来れば対応は受理(accept)/拒否(reject)/無視の何れかですね。無視はともかく受理/拒否ならパケットを送信することになりますが、これはTCPパケットです。
ANo.2で外部からのアクセスに対する応答ではないかと書いているのは、ローカル側(22)がwell-knownポート(ssh)で外部側(44792)が予約済みポートでもないからです。通常、TCP通信はクライアントからサーバが待機している予約済みポートにアクセスすることで開始します。同様にポートスキャンや攻撃もサーバが待機しているポートを対象に行います。このことからルータが開始した通信というより外部から開始された通信と考えるほうが自然に思います。
# ウィルス等が使用するポートの一覧も探してみましたが44792を挙げているところは見つかりません
この回答への補足
2007/1/13(質問者書き込み)
ルータのパケットフィルタリングの設定において、192.168.0.1(ルータのLAN側IPアドレス)のTCP22番ポートおよびTCP135番ポートへのアクセスを遮断したところ、問題のログは出なくなりました。
代わりに、次のようなログが出るようになりました。
2008/01/13 21:07:35 IP_Filter REJECT TCP 220.66.87.8:22106 > 192.168.0.1:22 (IP-PORT=6)
2008/01/13 21:08:22 IP_Filter REJECT TCP 125.65.112.204:6000 > 192.168.0.1:135 (IP-PORT=6)
以上のことから、分かったことは、
【状況】
外部から、ルータのLAN側アドレス(192.168.0.1)の22番ポート・135番ポート
にアクセスがあり、ルータがそれに応答している。
【疑問】
(1)なぜ、外部からプライベートIPアドレスにアクセスできるのか?
(2)なぜルータは応答しているのか?(できるだけ応答しないようにしてほしい)
新たな疑問もありますが、状況は分かりました。ありがとうございました。
ご回答ありがとうございます。
やはり外部からのアクセスに要因がありそうですので、まずは、inboundに
対するフィルタリングを追加して、様子を見ることにします。
No.6
- 回答日時:
ANo.5補足の疑問について。
(1)外部からのアクセスはプライベートIPアドレスに対して行われているのではなく、外側のグローバルIPアドレスに対して行われているのでしょう。
ルータの設計として外部アドレスへのアクセスが一旦内部アドレスへのアクセスにルーティングされてから受け付けられているのだと思います。
(2)これもルータの設計の問題ですね。必要なパケット以外は一切無視するのが望ましいですが、難しいのでしょうかね。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- ルーター・ネットワーク機器 YAMAHAルータ設定について 1 2022/09/03 16:31
- 通信機器・周辺機器 ネットワーク分割について 3 2022/10/24 09:23
- ルーター・ネットワーク機器 10Gbpsの恩恵 5 2022/11/16 15:48
- ルーター・ネットワーク機器 ひとつのスイッチでルーターの冗長化を複数させたい 1 2023/04/12 22:46
- 固定IP Win11 アダプター設定変更にイーサネットが表示されない 1 2022/12/03 18:31
- Outlook(アウトルック) メール送信できない 3 2022/07/20 09:07
- Wi-Fi・無線LAN Wi-Fi ルータの選択基準について 7 2023/05/29 09:42
- Windows 10 リモートデスクトップ接続 1 2022/07/12 14:30
- ルーター・ネットワーク機器 家庭のWi-Fiについて 最近家で使っているWi-Fiが頻繁に遅延、切断され困っています。 状況とし 9 2023/02/23 21:08
- ルーター・ネットワーク機器 新築、有線LANは付けるべきか?無線と比べてメリットは? 10 2022/10/15 02:14
関連するカテゴリからQ&Aを探す
おすすめ情報
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
tracert コマンドが必ずtime out
-
ポートの開放
-
iphoneでvpn接続できない
-
postfixが起動できない
-
pcAnywhere、これで本当にリモ...
-
メッセンジャーソフト(LAN...
-
Dell Inspiron 14 5415 をコン...
-
インターネット接続できません...
-
「ネットワーク上に同じ名前の...
-
パソコンの「ローカル」って、...
-
8000番や8080番のポー...
-
iPhoneでIPアドレスを変更する...
-
ssh接続に伴うメッセージについて
-
バンジージャンプのデータを貰...
-
pingで「別アドレスから応答」
-
Supermodelのエミュレーターに...
-
競合するIPアドレス、、どこで...
-
同一ネットワークの範囲について。
-
不正URLという言葉の意味がわか...
-
ftpサーバー 接続できない
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
tracert コマンドが必ずtime out
-
NTT Web caster V130でのVPN
-
pcAnywhere、これで本当にリモ...
-
メッセンジャーソフト(LAN...
-
ポートの開放
-
WAN側からPINGが通りません
-
FTPサーバ(FileZilla server)...
-
UPnPのNAT越えの仕組みが分から...
-
8443番ポートって?
-
ネットワークカメラのDDNS設定...
-
【NVR500】外部からFTP接続する...
-
gethostbynameを使うとエラーが...
-
Wake On LANが不安定・出来ない
-
題:ルータに設定したTCPフィル...
-
VNCで、WEBブラウザで操...
-
イントラネットから外部(イン...
-
postfixが起動できない
-
BIG-IPのルーティングについて
-
ポートの開放ができずに困って...
-
バーチャルホストの公開サーバ...
おすすめ情報