- ベストアンサー
ポートスキャンについて
普通パソコンには外部からのポートスキャンが頻繁に あると聞いたのですがどうすればそのアクセス履歴 やその詳細を知ることができるのでしょうか OSはXPSP2でノートンインターネットセキュリティ2004をインストールしてます。 ノートンでの見かたを教えていただけると嬉しいです
- みんなの回答 (4)
- 専門家の回答
質問者が選んだベストアンサー
- ベストアンサー
下に書いた者です。質問が閉じられていないので、うちの最近の状態を書きます。なにかの参考になるかと。 固定IPの光回線で、ファイアーオォールでログを取っています。ここでは、httpとftpのサーバとVLANが動いています。自分自身で、外部から定期的にポースキャンかけて確認しているので、不必要な穴は開いていないはずです。 最近、ポート偵察が増加しています。単純なスキャンは3日に5回程度。そのうちの3件は、毎日同じ所から来ているので、ワームか何かでしょうか。他は、かなり長期間で巡回しているようです。1つは、約2か月前に来た記録が残っていました。 445とか、有名なポートをつつきに来るのは、日に数十回。こちらでhttpサーバが動いているからでしょうが、最近は8080ポートとか、プロキシ中継を狙って来るのが増えてます。毎日数件。同じIPから何度か来ているのもありますが、周期はかなり長いようです。良く言われるのと違ってftpはあまりつつきに来ません。Anonymous開けて待ってるのですが、ログインして来ませんね。むしろ、httpに異常のあるパケット送って様子を見ようとしているらしいのが、いろいろパターンを変えて次々と来ています。エラーで落ちるのを狙ってか、続けてドカっと来ることもあります。 最近発見した新しいパターンですが、特定のユーザがこちらのhttpを読み出した直後に、別のIPから特定のいくつかのIP(21など)にアタックが来ることがあります。おそらく、その方のパソに虫が付いているのでしょう。
その他の回答 (3)
通常ポートスキャンというと、LAN内のパソコンに対してというより、外部からネットワークのIPに対してということでしようね。 研究用に、時折り記録をとっておりますが、普通の家庭向けの回線に対しては、そう頻繁にはありません。(スキャンするような特別なポートでサービスがおこなわれている可能性が低いからでしょう)。固定IPの光回線とか、ドメインでも取っていると、何かのサービスを探してか、時折りやってきます。(8080とか特定のポートのみをつつきに来る方はけっこう多いですが。) 履歴や詳細なログを取りたいなら、通常使用しているパソコン以外の物を用意することをお勧めします。実際に使用しているパソコンのポートが外部からスキャン可能な状態になっていること自体がたいへん危険なことだからです。 特定のサービスに必要なポート以外は、可能な限りパソコンより前で遮断したいです。 方策1 ログを取る機能のあるルータかFWマシンを使用する。普通は容量があまり大きくないこと、あまり詳細な記録がとれないという欠点が。進入検知用の専用のシステムもありますが、一般にかなり高価です。 方策2 DMZに記録用のパソコンを1台配置して、これで記録を取る。このパソコン(いけにえマシン)が乗っ取られて自分自身や他者への攻撃者にならないように注意してください。また、使用中のパソコンへの応答を偽装した攻撃は検知できません。(ルータがそのパソコンへ送ってしまうので。) 方策3 ルータのWAN側に(あるいはルータを2段にして、その間に)リピータハブ(スイッチングハブは不可)を介して、検知用のソフトなどを入れたパソコンを設置する。今日的な速度のリピータハブが入手困難(ふつうは10base)なことなど、通信速度の脚をひっぱることになりそうです。 まあ、どの程度の『詳細』を知りたいかということで・・・
お礼
ご回答ありがとうございます まさしく外部からのネットワークからです。 それとご指摘通り通常使用しているパソコンからログを とるのはやめることにいたいます。 ルーターにDMZ機能がついているので方策2をやってみようと思います。 ありがとうございました^^
- kuma-ku
- ベストアンサー率54% (1558/2845)
こんにちは Internet にはどのように接続されていますか? □ケース1(ルータを使用していない環境) /Internet/---(ADSL)---|自宅--[ADSLモデム]---[PC] /Internet/---(光サービス)---|自宅--[ONU]---[PC] /Internet/---(ISDN)---|自宅--[TA]---[モデム][PC] /Internet/---(アナログ)---|自宅--[モデム][PC] フレッツ接続ツールや、 Windows に付属のネットワーク接続サービスで接続されている場合、 ノートンでもPortscan は検出可能です。 □ケース2(ルータを使用している環境) /Internet/---(ADSL)---|自宅--[ADSLモデム兼ルータ]---[PC] /Internet/---(ADSL)---|自宅--[ADSLモデム]--[ルータ]---[PC] /Internet/---(光サービス)---|自宅--[ONU]--[ルータ]--[PC] /Internet/---(ISDN)---|自宅--[ISDNルータ]---[モデム][PC] 上記のように、ルータを使用している環境で、 Server の公開やそのルータでStatic NAT(Port の開放) を行っていない場合、 LAN 内のPC にInternet からPortScan が行われる事はありません。 これは、ルータのWAN(Internet)側のI/F までしか、 Internet からの通信が届かないためです。 また、ノートンでのアクセスログを見られる場合は、 以下の方法をお試しください。 *---------------------------------------------* 1. Norton Internet Security または Norton Personal Firewall を起動する。 2. [オプション] ボタンを押す。 Norton Internet Security をご利用の場合はこの後[Internet Security] をクリックします。 3. [イベントログを表示] ボタンをクリックする。
お礼
回答ありがとうございます 私はケース2の3番目(光サービス)のパターンのようでどうやらポートスキャンはされてないみたいですね。 ルーターをはずしてみてみようかと思います 1. Norton Internet Security または Norton Personal Firewall を起動する。 2. [オプション] ボタンを押す。 Norton Internet Security をご利用の場合はこの後[Internet Security] をクリックします。 3. [イベントログを表示] ボタンをクリックする。 ここの2まではいけたんですがその後がだめですTT [Internet Security]というのはどこのタブにもないですTT それと一応左側にある統計→ログの表示でログビューワーがでたのですがその後どうすればいいのでしょうか? おそらく侵入検知だと思いますが 詳細: 侵入検知 (1.9.1) が 242 シグネチャを監視しています。 このような意味不明なメッセージがありました。
- qaz911
- ベストアンサー率36% (4/11)
ネットワークの監視ならBlackIceっていうソフトが有名ですね、ポートスキャンされただけですぐ反応しますから。 一応URL載せておきました。
- 参考URL:
- http://www.blackice.jp/
お礼
回答ありがとうございます ノートンと競合する可能性がちょっと怖いので 別のPCにインストールしてみますね。
お礼
再度の回答ありがとうございます^^ どのくらいポートスキャンが来てるのかまたどのようにスキャンしているか 大変参考になりました ありがとうございました!