「Port scan attempt」について

「Trend Micro GateLock」を導入しているのですが、毎日の様に「Port scan attempt」があり、昨日は２２時からの約２時間で８件ありました。
なお、大半は海外より（日本のnicで該当なしであったため勝手に海外と判断）ですが、３件は某国内電力会社の通信子会社のアドレスでした。
そこで、質問ですが

１．「Port scan attempt」は不正進入の第一歩と考えていましたが、もし、「Trend Micro GateLock」等を導入していない場合の問題点を教えて下さい。
２．このサイトで１日に何十万回「Port scan attempt」されるとの記載が有りましたが大体どの程度あるものでしょうか？
３．IPアドレスを頻繁に変更すれば、「Port scan attempt」を回避出来るのでしょうか？また、出来るのであれば、「Trend Micro GateLock」で自動的に出来るのでしょうか？

以上、すみませんがお暇な時で結構ですので、よろしくお願いします。

No.2 ベストアンサー 回答者： noname#20957 回答日時： 2004/07/01 19:20

私個人の見解ですが、ある程度きちんと対策出来ているならあまり気にし過ぎなくても良いのではないかと考えます。

1-1.「Port scan attempt」と表示(認識)されても「不正侵入の第一歩」かどうか判別不可能です。
GateLockが「自IPに対しopenになっているポートを探している」と判断した状況の報告ですから、
判断基準如何では実はどうでもよいものまで表示される場合もありかと。
接触してきたポートの履歴などからある程度意図を推測することは可能だと考えます。

1-2.GateLock/ルータ等使わず直接接続でポート遮断等の措置を講じない場合、直接使用しているOSが
外部と接触しますので、そのOSの既知/未知の脆弱性とか標準/任意で開いているサービスへの攻撃など行い易いと考えます。

2.#1さんの仰る通りだと思います。
我が家の例(ADSL/ACCA12M/so-net)ですと
全ポートチェックは非常に稀。
特定ポート(http/ftp/SMB/NetBIOS他)へのアクセスは数十件/日。
特定のワームが利用するポートへの試行は状況により様々。

3-1.回避の可否について、
IPの変更により「タイミングが良ければPort scanの次段階の作業」は防ぐ事が出来るかもしれません。
が、ネットに接続する以上は「Port scan attempt」が検出されえない状況にする方法は無いでしょう。

3-2.IPの変更に関しては、
GateLock上で接続を手動でコントロールできるような機能があれば可能かもしれません。
ADSL&動的IPなら気にするまでも無く一日数回勝手に変更されるケースもありますし、
CATV&動的IPで1年以上変わらず(ユーザサイドから変更不可)なケースもあります。
回線によりイロイロですから情報集めてみては如何でしょうか。

この回答へのお礼

有り難う御座いました。

お礼日時：2004/07/01 20:45

No.1 回答者： uninin 回答日時： 2004/07/01 08:04

1. firewallでポートを塞いで無い場合、あるポートでなんらかのサービスが動いて無いのならば問題無し。

動いてるとして、そのサービスをきちんと管理できているのならば、とりあえずは安心。セキュリティホールは常にチェックしたいところです。

2. それはピンキリではないでしょうか。我が家だと1日に数回程度です。大きな組織だと、それは数え切れないです。

3. 固定IPアドレスを持ってるよりはマシなのでしょうが、ネームサーバに登録してたらIPアドレスが変わっても狙われることに変わりはないのではないでしょうか。IPアドレスを狙ってるとは限らないのですし。

不正侵入は気をつけてれば防げると思います。ただ、ネットワークやマシンに対する負荷をかけることを目的とした攻撃がなされた場合には、接続される側としては無力ではあります。

この回答へのお礼

早速、有り難う御座いました。
参考になりました。

お礼日時：2004/07/01 08:12