ルーターのログの読み方 ＤＯＳ攻撃？

とても素人質問ですみません。

ルータ　ＮＥＴＧＥＡＲ　DGND3300ｖ２　を使用し15台ほどのＰＣ（Ｗｉｎ+Ｍac+iphone）が接続されている環境があります。
ＭＡＣアドレスを登録してそれ以外はwifi接続できません。

最近、異様に通信量が多い日があるので、ちょっとログを覗いていたら以下のようなモノを発見。

Wed, 2011-07-06 00:03:17 - TCP Packet - Source:192.168.0.23,51037 Destination:74.125.237.77,80 - [BLOCK]
Wed, 2011-07-06 00:08:10 - DHCP server received REQUEST from 00:24:2C:44:04:EF
Wed, 2011-07-06 00:40:32 - TCP Packet - Source:192.168.0.25,61214 Destination:74.125.237.79,80 - [BLOCK]
Wed, 2011-07-06 00:40:36 - TCP Packet - Source:192.168.0.25,61215 Destination:74.125.237.79,80 - [BLOCK]
Wed, 2011-07-06 00:40:38 - TCP Packet - Source:192.168.0.25,61216 Destination:74.125.237.79,80 - [BLOCK]
Wed, 2011-07-06 05:34:01 - Administrator login failure - IP:192.168.0.10
Wed, 2011-07-06 05:34:27 - Administrator admin login successful - IP:192.168.0.10
Wed, 2011-07-06 07:23:48 - DHCP server received REQUEST from 00:1B:FB:C6:DD:**
Wed, 2011-07-06 14:51:23 - DHCP server received REQUEST from 00:24:2C:44:04:**
Wed, 2011-07-06 15:30:22 - DHCP server received REQUEST from 4C:0F:6E:E3:F8:**
Wed, 2011-07-06 17:34:13 - DHCP server received REQUEST from 4C:0F:6E:E8:FF:**
Wed, 2011-07-06 17:55:46 - DHCP server received REQUEST from 18:E7:F4:37:B5:**
Wed, 2011-07-06 21:10:55 - DHCP server received REQUEST from 48:5D:60:C0:34**
Wed, 2011-07-06 21:36:55 - DHCP server received REQUEST from 90:00:4E:5A:AC**
Wed, 2011-07-06 21:43:50 - UDP Packet - Source:58.237.217.176,53232 Destination:58.164.135.59,59039 - [DOS]

ルータでＢＬＯＣＫサイトを設定してます。　最後にＢＬＯＣＫとあるのはどこかそれを見に行こうとしてＢＬＯＣＫされたということなのでしょうが、どこを見に行ったかは分からないのでしょうか？知る方法はあるのでしょうか？

また、最後にＤＯＳとあるものは、ＤＯＳ攻撃を受けているのでしょうか？　もしくは踏み台にされているとか？　全くしらないＩＰアドレスが現れています、このsource・desitinationとはなんなのでしょうか？

ちなみに、ＵＰnＰはルータ側でＯＦＦしてありますが、ＵＤＰ・・・と出てきます。これはどういう事なのでしょうか？　

ご回答の程よろしくお願いします。

No.3 ベストアンサー 回答者： Lchan0211 回答日時： 2011/07/07 02:49

> Wed, 2011-07-06 21:43:50 - UDP Packet - Source:58.237.217.176,53232 Destination:58.164.135.59,59039 - [DOS]

について、SourceもDestinationも、あなたのルーターのWAN側IPに割り当てられている
ものと違うIPが表示されているのであれば、もしかするとあなたの環境のPCのいずれかが、
ボット化され、DOS攻撃に加担しているのかもしれません。

あなたのPCがDOS攻撃を受けているのではなく、あなたのPCに潜伏している
ボットプログラムが、自分のSource IPを58.237.217.176に偽装した上で、
58.164.135.59のIPに対してUDPパケットを送信して、DOS攻撃している
のではないかということです。(踏み台とも言えます。)

最新のアップデート実施や最新データでのウィルスチェック等、
ちゃんとPCのセキュリティ対策を実施していますか?

(ボットとは)
https://www.ccc.go.jp/bot/


> ちなみに、ＵＰnＰはルータ側でＯＦＦしてありますが、ＵＤＰ・・・と出てきます。これはどういう事なのでしょうか？　

UPnPとUDPは全く関係ないです。

UDPは、UDPプロトコルのことであり、ルータのUPnP機能をOFFにしていても
普通にUDPプロトコルは使えます。

この回答へのお礼

ご回答ありがとうございます。

ここに質問する前に、全ＰＣのウイルスチェックを完了し、何ら、怪しい物は発見できませんでした。
各マシンは個人所有なもので、チェックプログラムはそのPCに入っているものを最新データに更新してから行いました。入っていないものにはAVGの最新版でチェックしました。

ボットプログラムは無料ＡＶＧ等では発見出来ないのでしょうか？

＞ボット化され、DOS攻撃に加担しているのかもしれません。
これをチェックする方法は無いのでしょうか？

お礼日時：2011/07/08 13:19

No.2 回答者： tomaju 回答日時： 2011/07/06 23:28

> Wed, 2011-07-06 00:03:17 - TCP Packet - Source:192.168.0.23,51037 Destination:74.125.237.77,80 - [BLOCK]

[BLOCK]のログですが、Destination が見に行った先ですね。
Destination:74.125.237.77,80 ということは、IPアドレスが 74.125.237.77 で、
ポートは 80番、つまり HTTP だと思われます。

74.125.237.77 を whois で調べると、Google が割り当てをうけている
IPアドレスらしいことがわかります。

http://whois.ansi.co.jp/74.125.237.77
http://whois.arin.net/rest/nets;q=74.125.237.77? …

試しに http://74.125.237.77/ をブラウザで開いたら、Google のページが表示されました。

74.125.237.79 も同様です。


> Wed, 2011-07-06 21:43:50 - UDP Packet - Source:58.237.217.176,53232 Destination:58.164.135.59,59039 - [DOS]


発信元(Source) 58.237.217.176
韓国の通信会社のIPアドレスっぽいです。

http://whois.ansi.co.jp/58.237.217.176

宛先(Destination) 58.164.135.59
オーストラリアの通信会社のIPアドレスのようです。
http://whois.ansi.co.jp/58.164.135.59

ポートはちょっとわかりません。。。

この回答へのお礼

ご回答ありがとうございました。

これは
韓国の通信会社を名乗って
オーストラリアの通信会社にＤＯＳ攻撃をしている人の踏み台にされているということなのですか？
それを防ぐ方法はないのですか？

お礼日時：2011/07/08 13:24

No.1 回答者： Wr5 回答日時： 2011/07/06 23:00

>Wed, 2011-07-06 00:03:17 - TCP Packet - Source:192.168.0.23,51037 Destination:74.125.237.77,80 - [BLOCK]

192.168.0.23のIPアドレスを持つマシンから、74.125.237.77の80番ポート(通常はHTTP)への接続をブロックしました。
ということでしょう。ソース側のポート番号は普通はころころ変わるものなので気にしなくてもOKです。
# 試しにブラウザに入力したら…googleでしたけど。

>Wed, 2011-07-06 00:08:10 - DHCP server received REQUEST from 00:24:2C:44:04:EF

記述されているMACアドレスの機器に対してIPアドレスなどの割り当て要求がありました。
となります。(成功したのかどうかは不明)
# Hon Hai Precision Ind. Co., Ltd.の機器ってなんですかね？

>Wed, 2011-07-06 05:34:01 - Administrator login failure - IP:192.168.0.10
>Wed, 2011-07-06 05:34:27 - Administrator admin login successful - IP:192.168.0.10

192.168.0.10のIPアドレスを持つマシンから…ルータの設定画面にログイン使用として、1回失敗しています。
2回目で成功してログインしています。

>また、最後にＤＯＳとあるものは、ＤＯＳ攻撃を受けているのでしょうか？　もしくは踏み台にされているとか？　全くしらないＩＰアドレスが現れています、このsource・desitinationとはなんなのでしょうか？

う～ん…ちょっと判りませんね…。
ポート番号も…不明かなぁ…。