:80 ESTABLISHED からの接続が頻繁に

netstat を行ってみたところ、不特定のIPがポート80番を使って接続しているようです。
例えば、

Proto Local Address Foreign Address State
TCP 自分のIP:1337 2**.***.***.***:80 ESTABLISHED

という表示が頻繁に表示されます。
Local Addressのポートは1000番台以上のポートが多いです。
Foreign Addressの表示はIPは常にかわりますが、ポートはいつも80番
です。

これは、攻撃されているのでしょうか？
古いルータに繋いでいまして、インターネットセキュリティも入れています。
シマンテックのオンラインスキャンでもポートは閉じていましたが、すべてのポートについての表示ではありませんでした。

今までは何も不都合なくPCを使っていましたが、netstatを最近知ってから不安です。
どういう状況が考えられますか？
もし攻撃されていたとしたらどうしたらいいですか？

OSは　XP home sp3 です。

どうか助けてください。
回答、宜しくお願い致します。

No.3 ベストアンサー 回答者： 774danger 回答日時： 2009/05/21 22:53

> ブラウザなどは自分のポートも:80を使うと思っていましたが、

> 自分の使えるいろんなポートから、
> 相手のポート:80を使うと理解していいのですか？

はい
ちなみに、Windowsの場合は自分のポートは1024より上のポートが任意で振られます

> もし「外部からの接続」の場合には、どのような表示になりますか？

Webサーバを立ち上げていて、外部からアクセスされていたら、

TCP 自分のIP:80 2**.***.***.***:1234 ESTABLISHED

のようになります
Webサーバとして動かしているFreeBSDのnetstatですが、

Proto Recv-Q Send-Q Local Address Foreign Address (state)
tcp4 0 0 server.80 EM114-51-50-xx.p.61305 TIME_WAIT
tcp4 0 33936 server.80 p9321xx.tkyoea03.3834 ESTABLISHED
tcp4 0 0 server.80 p12xx-ipbf10taka.60363 TIME_WAIT

のような感じで出力されます
(ポート部分の表記がWindowsとちょっと違いますが)

この回答へのお礼

詳しく丁寧な回答ありがとうございました。

とても助かりました。

また何かの時には宜しくお願い致します。

お礼日時：2009/05/22 07:51

No.2 回答者： Toshi0230 回答日時： 2009/05/21 00:23

このnetstatの結果は、質問者さんのPCから外部のサーバの80番ポートに接続していることを示しています。

外部「から」の接続ではありません。攻撃ではありませんのでご安心ください。

まぁ、マルウェア（トロイの木馬など）が忍び込んでいる可能性も0ではありませんが、ウィルス対策ソフトを入れて、かつ常時Windows Updateを実施しているPCであれば普通は心配しなくて良いです。
Windows Update (Windows 自動更新）を始め、80番ポートを使用するアプリケーションはいっぱいありますので、自分ではどこにもつなげていないつもりでもPC内で動作しているプログラムがバックグラウンドで外部に接続している、というのはよくある話です。

この回答への補足

回答ありがとうございます。
問題ないと言うことで安心しました。

もう一つ教えていただきたいのですが、
ブラウザなどは自分のポートも:80を使うと思っていましたが、
自分の使えるいろんなポートから、
相手のポート:80を使うと理解していいのですか？

つまり今回の質問の場合、
Local Address　と　 Foreign Address
に表示されるポート番号が、私のような素人からすると
逆に表示されているのが正常なのではないのかと考えてしまったわけです。

もし「外部からの接続」の場合には、どのような表示になりますか？

宜しければ教えていただけないでしょうか。

補足日時：2009/05/21 19:03

No.1 回答者： 774danger 回答日時： 2009/05/20 21:14

Webブラウザ起動して適当なサイトをアクセスした際にnetstatすればそのような出力結果になるでしょう

(もしくはHTTPを使うメッセンジャーを起動しながらnetstatを叩けば)

これは、自分のマシンから2**.***.***.***のマシン(サーバ)にTCP(HTTP)でアクセスしているという出力結果なので、特に心配する必要はないです

この回答への補足

素早い回答ありがとうございます。
問題ないと言うことで安心しました。

もう一つ教えていただきたいのですが、
ブラウザなどは自分のポートも:80を使うと思っていましたが、
自分の使えるいろんなポートから、
相手のポート:80を使うと理解していいのですか？

つまり今回の質問の場合、
Local Address　と　 Foreign Address
に表示されるポート番号が、私のような素人からすると
逆に表示されているのが正常なのではないのかと考えてしまったわけです。

宜しければ教えていただけないでしょうか。

補足日時：2009/05/21 18:56