不正アクセス？ICMP too large

ルータのレポートの不正アクセスにICMP　too　largeが内部アドレスから内部アドレスに多数検出されています。
不正アクセスなのでしょうか？
単なる誤検出なのでしょうか？
見分けるポイントをご存知の方、ご教授願います。

No.1 ベストアンサー 回答者： Moryouyou 回答日時： 2013/11/21 19:22

結論から言うと判断はつきません。

どんなことをすれば、このメッセージが出るかと言えば、
pingなどでテスト電文の長さを1025以上を指定すると
その電文を通過したファイアウォールの機能がある機器
（ルータ？）で出すメッセージとなります。

指定の内部アドレス間で、例えば下記のコマンドを打てば
メッセージが出続けると思われます。

ping 相手IPアドレス -l 1400 -t

ネットワークの性能などを確認する時にこうしたコマンドを
打つことは時々あります。

可能性としては機器の間で生き死に相互監視をしている時に
自動的にicmpを発行することはありますが、こうしたサイズの
大きい電文(1025以上)を流すケースは聞いたことはありません。

該当のアドレスの機器を確認する。
その機器を操作している人に訊いてみる。
ネットワークキャプチャソフト(Wiresharkなど)で
電文の中身や頻度を確認する。
といったことで、把握するしかないかなと考えます。

この回答への補足

Wireshakeを使い、ルーターのミラーポートでパケットをキャプチャした結果、
実際にパケット長1514のICMPパケットが捕捉されました。
誤検知ではありませんでした。
（Wireshakeの性能には感激しました。一昔前は数百万円したものが無償で入手できるとは時代が変わりました。ご紹介頂きありがとうございます。）
ルーターのMTUに誤りがあったので修正しましたが、
依然としてICMP too largeの検知があります。
検知したパケットについては破棄されるため、実害はないようです。
また、Windowsに経路MTU探索という機能があり、ICMPパケットを出すこともわかってきました。
今のところ、ICMP too largeを発信する端末に共通しているのはOSがWindowsXｐということです。しかもWindows7のXpモードのアドレスからも発信されています。
ウィルス対策ソフトはすべての端末に入っていて定義ファイルも更新していますが、Virusは検知されていません。
というところまではわかっていますが、これ以上どのような調査をすればよいのかわからなくなってしまいました。
何かよいお知恵はありませんでしょうか。

補足日時：2014/01/30 10:18

この回答へのお礼

丁寧なご回答ありがとうございます。

ご回答にあったコマンドを使う人は社内にいないと思われ、
攻撃元アドレスに自分の使っているＰＣのアドレスもあり、
私自身が該当するような操作をした覚えがありません。
また、ここ２,３日で頻発しているので、
通常の状態でないことは確かです。
ただ、これらのことだけでは、ご指摘の通り、
不正アクセスかルーターの誤検出か判断がつかないです。

教えていただいたネットワークキャプチャソフトを使って調べてみます。

お礼日時：2013/11/22 11:07

No.2 回答者： blueskydan 回答日時： 2014/02/04 20:10

Windows環境のようなので、ActiveDirectoryに関係があるのでは？

この回答へのお礼

本件の原因が判明しましたのでご報告致します。

ActiveDirectoryのグループポリシーの低速リンク接続検出を無効に設定したところ、
ルーターログへの不正アクセス検知がほとんどなくなりました。
端末への設定が反映されれば、検知されるパケットはなくなると思われます。
不正アクセスではなかったので、一安心です。

ネットでいろいろ調べたところ、この結論に至りました。
ActiveDirectoryではクライアントからドメインコントローラに対してICMPパケットを送出し、
その平均応答時間を計測して接続している回線を判断する機能があるようです。

本件について、いろいろとご支援を頂きました
Moryouyouさん、blueskydanさんありがとうございました。

お礼日時：2014/02/07 13:34