リバースTCP非同期攻撃が検出されました

ESET Smart Security を使用しています。

会社では、経理担当者として銀行とネットバンキング契約をして実際に振込操作なども行っております。

先日、ESET Smart Securityのパーソナルファイアウォールのログをチェックしていたところ次の様な記録が残っていました。具体的にどのような意味なのでしょう。（ネット検索してみましたが解決しません）

時刻　　　　　　　　　　イベン　　　　　　　　　　　　　　　　　　　　　　　　　　　ソース　　　　　　ターゲット　　　　　プロトコル
---------------------------------------------------------------
2009/05/21 9:49:09リバースTCP非同期攻撃が検出されましたnnn.n68.0.15:139nnn.n68.0.40:1066TCP
---------------------------------------------------------------

※ソースとターゲットの始めの4桁だけ、もしかして固有情報かも知れないと想像しnnn.nに変更しました。

質問は２つです。
１．このパソコンでネットバンキングを続けてもいいのか
２．イベント、ソース、ターゲット、プロトコルの意味
特にイベントの意味、具体的にどうゆうことが起こったのかが知りたいです。

よろしくお願いします。

No.1 ベストアンサー 回答者： ann_dv 回答日時： 2009/05/22 13:54

内容から推測すると、恐らく通常のNetBIOSプロトコル通信を攻撃パケットと誤警告されているだけで心配はいらないと思います。

「リバースTCP非同期攻撃」と言うのがどんな条件で検出されるのかは全く判りませんが、2chあたりで同様の書き込みが見られ、「NetBIOSだから心配無用」と言った回答がありました。

ソース、ターゲットに記録されているIPは、プライベートIPで 192.168.0.xxでは無いでしょうか。
そうであれば、同一ネットワーク内でのNetBIOSプロトコル通信で、本来なら192.168.0.40:1066→192.168.0.15:139の方向からコネクションが開始されているべきであるにも関わらず、コネクションの開始(syn)パケットが検出されずに応答(ack)パケットのみが検出されたので、これをファイアウォールがネットワーク攻撃と判断したように思えます。

コネクションの開始(syn)パケットが検出されなかった原因は、ファイアウォールのサービスが開始する以前からこのコネクションが開始されていたためでは無いでしょうか。

私の個人的見解では、

１．このパソコンでネットバンキングを続けてもいいのか
→ソースが外部ネットワークのIPでは無い限りはほとんど心配ありません。

２．
イベント：どんなタイプのネットワーク攻撃を検出したのか、簡単な説明
ソース：送信元IPとポート番号
ターゲット：宛先IPとポート番号
プロトコル：ネットワークプロトコルのタイプ(TCP,UDP,ICMP等)


ただ、これは単なる憶測に過ぎませんので、どうしてもご心配のようでしたらキャノンのサポートにご確認下さい。

参考URL：http://canon-its.jp/contact/index.html

この回答への補足

質問させていただいてから２週間が過ぎました

その後のパーソナルファイアウォールのログは次の通り

2009/06/05 11:57:09リバースTCP非同期攻撃が検出されました192.168.0.15:445192.168.0.40:1632TCP
2009/06/04 16:37:52リバースTCP非同期攻撃が検出されました192.168.0.15:139192.168.0.40:1336TCP
2009/06/01 13:52:02リバースTCP非同期攻撃が検出されました192.168.0.15:139192.168.0.40:1916TCP
2009/05/21 9:49:09リバースTCP非同期攻撃が検出されました192.168.0.15:139192.168.0.40:1066TCP
2009/05/20 9:00:09リバースTCP非同期攻撃が検出されました192.168.0.15:139192.168.0.40:1165TCP
2009/05/16 17:08:17リバースTCP非同期攻撃が検出されました192.168.0.15:139192.168.0.40:3854TCP
2009/05/15 15:51:51リバースTCP非同期攻撃が検出されました192.168.0.15:139192.168.0.40:2504TCP
2009/05/12 19:02:35リバースTCP非同期攻撃が検出されました192.168.0.15:139192.168.0.40:2498TCP
2009/05/12 9:42:41リバースTCP非同期攻撃が検出されました192.168.0.15:445192.168.0.40:1214TCP
2009/05/07 16:54:54リバースTCP非同期攻撃が検出されました192.168.0.15:445192.168.0.40:2930TCP

補足日時：2009/06/06 12:24

この回答へのお礼

アドバイスありがとうございます。
ひとまず安心いたしました。

＞ソース、ターゲットに記録されているIPは、プライベートIPで 192.168.0.xxでは無いでしょうか。
ann_dvさんのご指摘の通りです。

＞コネクションの開始(syn)パケットが検出されなかった原因は、ファイアウォールのサービスが開始する以前からこのコネクションが開始されていたためでは無いでしょうか。
これもann_dvさんのご指摘の通りです。
nnn.nnn.0.15:139は、サーバー
nnn.nnn.0.40:1066は、私のPCです。
なので、サーバーは２４時間つけたまま、私のPCは8:30頃起動、つまり、ann_dvさんのご指摘の関係が成り立ちます。

ただ、一点気にかかったのが、この関係環境は以前から変わってませんが、ネットバンキングを開始した前後から「リバースTCP非同期攻撃」のログが時々記録されるということなんです・・・気のせいかな

お礼日時：2009/05/23 12:33