- 締切済み
McAfeeのファイヤウォールのログについて
つい先日質問を解決させていただいたばかりですが、この度はちょっと質問の内容が違うので、改めて質問させていただきます。マカフィーのファイヤウォールのログを見ていると、 「にあるコンピュータが、ユーザのコンピュータに無効なパケットを送信しました」というものがありまして、 「ソース IP は不正な IP (0.0.0.0) です。」 とあるのですが、これは一体どのような事でしょうか?わかりますでしょうか?その他にも今日の日付けでいろいろなものがあるのですが・・・。 「にあるコンピュータが、ユーザのコンピュータに対して ping を実行しました。ソース IP は不正な IP (0.0.0.0) です。」や、 「IP アドレス 38.118.199.116 にあるコンピュータが、ユーザのコンピュータ上の TCP ポート 1807 に対して要求されていない接続を試みました。 TCP ポート 1807 は、通常は "Spy Sender Trojan / Fujitsu Hot Standby Protocol" サービスまたはプログラムによって使用されます。ソース コンピュータがこのトロイがないかユーザのコンピュータでスキャンしましたが、ユーザのファイアウォールによってブロックされました。」 「でユーザが通信しているコンピュータが、予想とは異なるポート (TCP ポート 54479) へのアクセスを試みました。 ソース IP は不正な IP (0.0.0.0) です。」 などもあるのですがこれってどういう事なのかご説明できる方はおられるでしょうか? また、日付が1976年なんていうとんでもないのがあるんですが大丈夫でしょうか?PC内の怪しいウイルスやスパイウェアはすべて駆除したつもりです。怪しいサイトにも行っていません。いったいどういうことなんでしょうか? 情けないですが、僕には理解できません、よろしくお願いいたします。
- スパイウェア
- 回答数3
- ありがとう数7
- みんなの回答 (3)
- 専門家の回答
みんなの回答
- lesson
- ベストアンサー率37% (555/1493)
IPアドレスだけ見ると、アメリカのものですね。 手当たり次第無差別にポートスキャンかけているだけでしょう。 マカフィーは使っていないので操作が違うかもしれませんが、ポートスキャン時に「送信元に通知しない」設定にしておくと有効です。下手に反応させると余計に攻撃が増えますし。 「DOS攻撃を受けたらポートをブロックする」設定にもしておくのがいいでしょう。
- FMVNB50GJ
- ベストアンサー率27% (411/1520)
マカフィーは使ったことがなくわかりませんが、ブロックしている限り大丈夫だと思います。 ただ、以前、ウイルスなどを駆除した経験があるようなので、心配なら、シマンテックなどのオンラインスキャンを受けてみるのもいいかもしれません。 http://www.symantec.com/region/jp/securitycheck/index.html ポートがすべてステルスになっていればいいはずです。 http://www.shareedge.com/spywareguide/txt_onlinescan.php ポートスキャンがひんぱなに行われていますから、マカフィーが検出したものだと思います。 また、ルートキットのスキャンには、次のものを使っています。 http://www.f-secure.com/blacklight/ 当方は、ルーターを使用していませんのでその手のものは記録します。 該当のポートに、何かサービスが待ち受けていない限り、反応しないようです。 http://www.geocities.jp/bruce_teller/security/access.htm と言っても、OSやアプリの脆弱性を利用することがあるので、更新だけは怠らないことです。 通信を観察するには、次のものを利用しています。 http://www.ethereal.com/
お礼
ご丁寧なご説明ありがとうございます。とても勉強になりました。参考にさせていただきます。
- ryu-fiz
- ベストアンサー率63% (2705/4228)
マカフィー使ったことがないんで断言はしませんけど…。 この製品は、 http://www.rakuten.co.jp/exsight/646218/677037/ など商品説明を見ると分かるように、攻撃元を追跡調査する機能を持ってます。 『ソース IP は不正な IP (0.0.0.0) です。』ということは、調査してみたが送信時の情報として使われたIPが詐称されたものと判明した、ということなのではないかと思います。 ネットワーク全般の知識が豊富でない私には詳細は分かりかねますが、どこかにアクセスする際に送信元である自機のIPアドレスを表向き詐称するのはそう難しいことではないようです。(中継先の各サーバやプロバイダから情報提供を受けることで送信元に行き着くことが出来る場合もあるのですが、単純に通信ルートをトレースするだけだと送信元まで行き着けないことは珍しくないようです) まぁ、相手先が特定出来たところでそれを利用して攻撃されたユーザーが何か出来るかといえばそういうものでもありませんから、これが分からないことはさしたる問題ではありません。 それと、pingとかトロイの木馬が行うポートスキャンというのはそれこそ無作為に行われているものなので、それを受けたからといってお使いのPCにセキュリティ上の問題があるとは言えないと思いますし。 重要なのは、不審なアクセスや攻撃を受けたがきっちりブロック出来た、ということですので、ご質問にあるような記録の内容であれば全く心配は要らないと思います。
お礼
丁寧なご返信ありがとうございます。安心できました。
補足
外部から攻撃を受けているということはこのPCが誘導しているなんてことはないんでしょうか?(このPC内の何かが攻撃を受けやすくさせているなど)あと、pingとかトロイの木馬が無造作にポートスキャンを行っているのならば何もしていなくてもいつのまにかトロイなどに感染する可能性があるんでしょうか?
お礼
なるほど・・・。わかりました。ありがとうございます。
補足
アメリカってそんな無差別にポートスキャンかけてるんですか・・・。もしそのポートスキャンに引っかかるとどうなってしまうんでしょうか?気がついたらPCがウイルス感染みたいな事になってしまいますか?