さっきからアタックブロックの通知が、、

今までは無かったのですが、今夜は妙にアタックブロックの通知が続きます。
今の所セキュリティ的に問題はないと思うのですが、よくある事ですか？
通知しているのはメルコのWBR-B11（無線LANルータ）です。
最初は、近所に無線環境を導入した人でもいるのかな？って思ったんですが、
どうもIPは異なるようで、、
　ちなみにログはこんなんでした
TCP SYN FLOOD攻撃 　211.14.21.236
　　　　　　　　　　　　　　　 61.215.211.195
　　　　　　　　　　 　　　　　211.14.13.8
ポートスキャン 　　　　　　202.131.0.10
　　　　　　　　　　 　　　　　211.14.21.236
　　　　　　　　　　　　　　　211.14.13.8

・・・４ヶ所？

No.2 ベストアンサー 回答者： noname#6461 回答日時： 2003/06/16 00:30

ブロードバンド常時接続であればいたって普通です。

多い日には数十件記録される事もあります。
ルータを導入して適切に設定されていれば問題にはならないと思います。
（DMZとかポートフォワード機能を不用意に使っていると危ないですが）
ちなみに外部からの接続ですので無線とは関係ないでしょう。

＃伏せ字無しのIPアドレス書き込みはちょっとまずいです。
　管理者に修正依頼を出された方がよろしいかと思います。

蛇足ですが無線LANのセキュリティ設定はしっかりとされていますか？
特にWEPとMACアドレス接続制限は絶対に掛けておいた方が良いです。
外部からの攻撃はルータで防げても、
LAN内部から攻められてはどうしようもありません。
暗号化キーも一週間に１，２回（かそれ以上）の変更をお薦めします。
また暗号化キーは出鱈目な文字羅列にした方が良いです。
英数字、記号など使用可能な複数の種類の文字を組み合わせましょう。
普通の単語などは簡単に破られると思って下さい。
↑が不十分だと侵入される可能性が高くなります。
最悪のシナリオは侵入者が第３者に
そこから攻撃を仕掛けて冤罪を被る事です...。(^_^;)

この回答へのお礼

回答ありがとうございます。

IP、まずかったでしょうか？？
一応検索はして得に重要そうでも無かったのでそのままにして置きました。
（その方がアドバイスもし易いかと、、）
Yhoo!とかって動的でしたよね？？（何か４つ位でローテって話も・・）

ルータの方は接続数とMACアドレスには制限かけてます。
パスワードはこまめには変えて無いですね・・

お礼日時：2003/06/16 19:17

No.5 回答者： noname#6461 回答日時： 2003/06/17 10:13

こんにちは。

＞IP、まずかったでしょうか？？
＞一応検索はして得に重要そうでも無かったのでそのままにして置きました。
＞（その方がアドバイスもし易いかと、、）
＞Yhoo!とかって動的でしたよね？？（何か４つ位でローテって話も・・）

ISPで固定IPを割り当てしていなくても、ルータなどを使っていて
ずっと繋がった状態で開放無しだと、IPは暫く変化しない事も考えられます。
聞いた話によれば、モデムの電源を抜いて
１～２日放置しないと、何ヶ月も変わらない所があるようです。
また、＃４に書いた様にIPが偽装されている可能性も高く、
そのIPを使っている人が犯人とは限りません。
この場合は問題の時刻に該当のIPアドレスを
使っていた無実の人に余計な疑いを掛けてしまう事になりませんか？
私なら身に覚えがないのに自分の使っているIPアドレスが
突然攻撃元として書き込まれていたらビックリしてしまいます。(^_^;)
（現実的にはそんな機会はないと思いますが）
このサイトではそういう事には比較的厳しい様です。
IPやホスト名が管理者権限で****などに修正されているのをよく見かけます。
詳しくはこのサイトの管理者に問い合わせてみて下さい。

＞ルータの方は接続数とMACアドレスには制限かけてます。
＞パスワードはこまめには変えて無いですね・・

無線LANのセキュリティではWEPの設定が肝だと思います。
MACアドレスやESS-IDは、
（WEPを使っていても）暗号化無しの平文で垂れ流しとなっている為、
パケットをキャプチャされると、そこから簡単に漏洩してしまいます。
よってこれらを利用した接続制限はあまり過信は出来ず、
突破された場合はWEPが最後の砦になります。
しかし、このWEPも不完全な代物で、
アングラサイトで出回っているハッキングツールで、
数時間程度で破られてしまう可能性があります。
（単純な文字列を暗号化キーにしていれば特に速く突破されます）
ですので頻繁に変更する事で安全性を高める以外にないのです。
特に大量の通信をした時は変えておいた方が良いでしょう。

アクセスポイントには電波が届く範囲からしか接続出来ないので、
最終的には悪意を持った人間がすぐそばにいるか、つまり運ですね。(^_^;)

No.4 回答者： noname#6461 回答日時： 2003/06/16 05:33

こんばんは。

IPアドレスは偽装されている可能性もあります。
TCP SYN floodというのはDoS攻撃の一種で、
大量の接続要求を送って相手サーバーをダウンさせます。
一方的に要求パケットを送りつけるだけで、
応答パケットを相手から受け取る必要がない為、
送信元IPアドレスの偽装（IP Spoofing）
も比較的簡単に出来るものと思われます。
（IPを偽装する＝応答も帰ってこない という事ですので、
応答を受け取る必要がある通信では偽装は難しいと思います）

ご参考まで。

この回答へのお礼

回答ありがとうございます。

IPは偽装されたら素人には手の出しようが無いですね・・。
「TCP SYN flood」は１個のヒット数がやたら多いです。
「IP Spoofing」はルータにブロック機能があったんですが今の所使って無いです。

セキュリティは以前に派手に開放してウィルス（トロイ）まみれにして以来、一応気にかけてます。

お礼日時：2003/06/16 19:30

No.3 回答者： takeshi1968 回答日時： 2003/06/16 03:50

IPアドレスをちょっと調べてみました

211.14～　Yahoo-NET
61.215～　アバウトネットジャパン(株)
202.131～　？？？

もしかしてプロパイダーはYahooBBでしょうか？
それともYahooオークションにアクセスしてましたか？

前の方たちの言う通りインターネットに接続していればよくあることです

気になるようならIPアドレスからドメインを調べられるサイトがありますのでそちらで調べてみればどうですか

参考URL：http://www.ip-domain-search.com/

この回答へのお礼

回答ありがとうございます。

プロバイダーはZAQです。（そろそろ変えますが、、）
Yahoo!オークションにはアクセスしてます。

IP検索は以前はよく利用していましたよ。
HPを運営してログ解析とかしだすと気になりますから、、
最近は全然手付かずですね。

お礼日時：2003/06/16 19:20

No.1 回答者： pierre2 回答日時： 2003/06/15 22:56

よくあることです、

としか言いようが無いです。
ファイアウォールのしきい値の設定によっても違いますが、
私の自宅はもっと多いです。

この回答へのお礼

回答ありがとうございます。

これまで全く無かったのに急に増えたんで驚いてしまいまして、、

お礼日時：2003/06/16 19:12