- 締切済み
ルータのログに不可解なものが…
私の自宅では数年来YAMAHA RTA54iというルータを使っております。 このルータにはログ機能があるのですが、購入以来あまりチェックしていませんでした。 先ほど見てみたら、なにやら不審なログが記録されておりました。ログの読み方はなんとかわかるのですが、それが何を意味するのかが分かりません。 ログの該当箇所を貼り付けます。 2005/01/15 09:53:43: LAN1 Rejected at IN(100002) filter: UDP 192.168.0.2:137 > 211.196.154.169:137 2005/01/15 09:57:55: same message repeated 2 times 192.168.0.2は私のPCのアドレスで、私のPCの137番ポートから身に覚えの無い宛先211.196.154.169の137番ポートへパケットが流れようとしたのを遮断したという記述です。 これと同じ記述が何分かおきにログに記録されていました。ただ、毎回宛先IPは変化しています。 試しに↑の宛先アドレスをIPドメインSEARCH(http://www.mse.co.jp/ip_domain/)で検索してみたのですが、さっぱり見方がわかりませんでした。 リジェクトされているのだから大丈夫かなとは思いましたが、 考えれば考えるほど不安になってきました。 どなたかこのログの意味を教えてください。 よろしくお願いします。
- kililikanrai
- お礼率91% (263/289)
- ネットワーク
- 回答数10
- ありがとう数12
- みんなの回答 (10)
- 専門家の回答
みんなの回答
- raze
- ベストアンサー率15% (74/486)
- raze
- ベストアンサー率15% (74/486)
自宅でLANを組んでなかったらNBT切っちゃえば。 デバイスマネージャを起動 「表示」→「非表示のデバイスの表示」ってたどると「プラグアンドプレイではないデバイス」という項目があると思うけど。それの下のほうに「Netbios over Tcpip」ってやつがあるだろ。それを無効にすれば NetbiosがTCP/IPにバインドされなくなるよ。
お礼
何度もありがとうございますm__m 一応3台ほどでLANを組んでいて、必要な際はファイル共有なども行っているのですが、もうしばらくいろいろやってみて原因が特定できなかった場合は、切ってしまおうと思います。 わざわざ切り方までご教授いただき、ありがとうございます。 またなにかお気づきの点などありましたら、ぜひとも教えて下さい。 どうも、ありがとうございました。
- net_lander
- ベストアンサー率49% (40/81)
以下のサイトで、 ”Windowsにおける名前解決の手順” を参考にして、該当ファイルを探ってみてください。 NetBIOSは、TCP/IPと絡むとかなり複雑です。 Windowsのネットワーク関連をシンプルに設定し直して みてください。 WindowsやLinuxでは、ある程度いい加減に設定しても ネットワーク関係が動作してしまうところに最大の原因 があります。
お礼
回答ありがとうございます。 参考URL読ませていただきましたが、これをどう参考にしてよいものやら途方に暮れております。一応自分の環境に照らしてフローチャートをたどっていったのですが、参考URLの中段、 [Microsoft TCP/IPのプロパティ] ダイアログボックスの 「LMHOSTS参照を行う」 チェックボックスが オンにされているか というところで詰まってしまいました。 デスクトップ→マイネットワークプロパティ→ローカルエリア接続プロパティ→インターネットプロトコル(TCP/IP)プロパティとたどったのですが、LMHOSTS参照を行うというチェックボックスが見当たらないのです。 それと、申し訳ないのですが、 >該当ファイルを探ってみてください とはどういうことなのでしょうか? それと >Windowsのネットワーク関連をシンプルに設定し直して見てください ということですが、具体的にどうやればよいのでしょうか? 質問ばかりで申し訳ないのですが、もう少しお付き合い願えないでしょうか? よろしければ、お願いいたします。
- raze
- ベストアンサー率15% (74/486)
質問なんだけど、15日の日って海外のサイトにアクセスしてない ? というのは 211.196.154.169ってあったでしょ。ここはAPNICだよ。日本で言うJPNICだね。IPアドレスを管理してる組織だよ。DNSが階層管理になってるのは知ってるよね。名前解決はDNS経由で行われていて、NetBiosの名前解決はブロックされているということでいいんじゃない。(そもそもNetBiosはLAN内の共有とかで使われるものだから。)
お礼
回答ありがとうございます。 海外のサイトですが、他の方に紹介いただいたツールをダウンロードする際に海外サイトへアクセスしましたがそれ以前には海外サイトへアクセスした記憶はありません。 >名前解決はDNS経由で行われていて、NetBiosの名前解決はブロックされているということ すいません。ちょっとわからないのですが、NetBiosの名前解決というのはどういうことなのでしょうか?通常のwebサイトへのアクセスの際にDNSでの名前解決と同時にNetBiosでもそれが行われているのですか?
自分のWin2000(NortonInternetSecurity+リンクシスのルータ)では、 IEでGoogel検索でUDP137へのアクセスは記録されませんねぇ、 もしかしたらGoogelツールバーの拡張機能とかインストールしてるんなら、 それが関連してるのかも、 Netscapeみたいな別ブラウザでGoogel検索して確認してみては? 別ブラウザで137使わなければIEに入れてるプラグインとかが関係してそうだし、 セーフモードとネットワーク接続で137使われなければ常駐アプリが関係してそう。
お礼
回答ありがとうございます。 そちらの環境ではそのようなことはないとのことですので、やはり何かトラブルが起きているのでしょうか。 Googleツールバー等の拡張機能はインストールしていません。 FireFoxで先ほどしばらくブラウジングしてみましたが、やはり同じように外部アドレスの137番ポートへ向かって私のPCの137番ポートからパケットが放出されているようです。いくつかのIPを再度who is検索してみましたが何故かGoogleです。 常駐アプリはパーソナルファイアウォールソフトだけです。
- raze
- ベストアンサー率15% (74/486)
まあ、TCP137,UDP137はNETBIOSの名前解決につかわれるので外部からは当然ブロック、というか、市販されてるいわゆるブロードバンドルーターはデフォルトで ちゃんと設定されてるはずだよ。 参考URLもね。
お礼
回答ありがとうございます。 先ほどログを確認してみましたら、また新たなアドレス宛に発信されていました。 しかし、その宛先IP(216.239.57.99)を下で紹介いただいた http://www.arearesearch.co.jp/ip-kensaku.html で検索してみますと、… あれ?Googleのアドレスが結果として表示されました。 そういえばちょうどログが記録された時刻私はGoogleへWebアクセスをしましたが、他にも違うIPがいくつも記録されていたのでそれぞれ調べてみると、全部Googleでした… 一体これはどういうことなんでしょうか? ひょっとしてWebアクセスと同時にNetBIOSパケットを飛ばすような仕組みがWindows2000proにはあるのでしょうか?(聞いたことがないですが) なんだかますます混乱してきました。
FPORTというツールでポートの使用状況を調べてみては? 137は通常だとSYSTEMになると思うけど。
お礼
Fportで調べてみました。おっしゃる通り137はSYSTEMになりました。 先ほどoutpost(パーソナルファイアウォール)の設定でNetBIOS自体を禁止したのですが、にもかかわらずログが記録されています。このPCからはもうNetBIOSパケットはでないはずなのに…もうわけがわからなくなりました
補足
回答ありがとうございます。これから試してみます。
- raze
- ベストアンサー率15% (74/486)
まあ、ルーターに関してはステートフルインスペクション対応のやつとか、IDS対応のやつとかにするとか。 もちろん最新の状態で使わないとだめだけど。
お礼
回答ありがとうございます。 ええ、もう買い換えようと思ってたんですが… 最近はずいぶんルータも安くなりましたし。 ただ、ルータを換える前に、今回の韓国?への不審なアクセスの原因と対策をなんとかしないともう気が気じゃありません… 助言、お待ちしております。
211.196.154.169を「IPアドレス検索/サイバーエリアリサーチ」で調べると http://www.arearesearch.co.jp/ip-kensaku.html 韓国みたいですね、 ウィルスのほかに、 なにかスパイウェアとか仕込まれてないか確認されては?
お礼
そ、そうですか。やはり何らかのトラブルが起きているのですね。 ウイルスバスターオンラインスキャンでウイルスチェックしてみましたが何も発見されませんでした。 Adaware,spybotで検索してみましたがこれも何も発見されませんでした。 そして私のPCではoutpostというフリーのファイアウォールソフトが稼動しておりまして、何らかのアプリケーションが外部へアクセスしようとしたらブロックするかどうか聞いてくるはずなのですが、そのようなこともありません。 一体どうすればよいでしょうか?
- radio98
- ベストアンサー率18% (16/88)
137はMicrosoft NetBIOS Name Serviceの使用するポートです。LAN内では良く流れているパケットです。 RT54iの設定でNetBIOSを遮断するようになっていれば、外部に出ることはありません。ただ、このポートを悪用して、アクセス可能なPCを探すウイルスもあるようですから、一度ウイルスチェックした方が良いでしょう。
お礼
早速の回答ありがとうございます。 >LAN内では良く流れるパケットです。 すいません。質問文を推敲しているうちに大事な箇所が抜けてしまっていました。137番ポートがNetBIOSだというのはわかりますが、しかしなぜ宛先がLAN内ではなく、外部のアドレスなのでしょうか? 私はNetBIOSの仕組みはわからないのですが、一体この外部アドレスはどこから発生したものなのでしょうか?
お礼
わざわざ訂正して下さりありがとうございます。 どのみちルータで445番もブロックしていたので無効にしても問題はなかったと思います。 ご指摘のやり方で再度やってみようと思います。 実は先日WindowsXP搭載機を新規に購入したのですが、WindowsXPには初期状態でファイアウォールが搭載されており、ログをとることができます。それによると、やはり自マシンからGoogleアドレス137番ポート宛にパケットが発生しているようです。他の方の回答では、その方のところではそのようなパケットは発生していないようなので、不思議です。 XPでもNetBIOSを無効にすれば問題ないのかもしれませんが、しかし新規のマシンでも同現象ということは、ウイルスだとかハッキングだとかいった問題ではなくて、ただの仕様なのでしょうか。 しばらく自分でいろいろ試してみて、もう一度問題を整理りて、再度ここで質問させていただけたらなと思います。 そのときも、もしお時間とおひまが許すなら、どうぞよろしくお願いいたします。