- ベストアンサー
ルータのログにものすごい勢いで不審なUDPパケットが流れている
ルータのログにものすごい勢いで不審なUDPパケットが流れています。以下、その一部です。ポート番号の右に自分でWhoisした結果を添えています。多すぎて全部調べられないのですが、これら接続先に共通する点などありますでしょうか? このルータは私一人が個人で使用していて、ほかの利用者はいません。ルータには複数のPCが接続されていましたが、その中のひとつをシャットダウンするとこのパケットはなくなりました。しかし、そのPCのファイアーウォールのログにはこのトラフィックログは記録されていません。 どなたかお分かりになるかたおられましたらどうぞよろしくお願いいたします。 LAN IP Destination URL/IP Service/Port Number 192.168.1.1 83.148.97.169 20129 RIPE Network Coordination Centre 192.168.1.1 201.1.220.38 20129 Latin American and Caribbean IP address Regional Registry 192.168.1.1 201.69.133.185 20129 Latin American and Caribbean IP address Regional Registry 192.168.1.1 122.4.67.139 48510 Asia Pacific Network Information Centre 192.168.1.1 213.96.103.14 20129 RIMA 192.168.1.1 59.45.77.130 13165 Asia Pacific Network Information Centre 192.168.1.1 84.90.125.242 20129 RIPE Network Coordination Centre 192.168.1.1 10.0.3.154 5353 192.168.1.1 121.23.93.131 61401 Asia Pacific Network Information Centre 192.168.1.1 210.6.180.236 20129 EVERGREEN 192.168.1.1 162.39.190.162 62497 Windstream Communications Inc 192.168.1.1 72.137.99.155 20129 Rogers Cable Communications Inc 192.168.1.1 222.69.173.111 1964 Asia Pacific Network Information Centre 192.168.1.1 220.185.209.223 65037 CHINANET-ZJ-TZ 192.168.1.1 169.254.25.129 netbios-ns 192.168.1.1 164.77.109.193 60895 EU-ZZ-164 192.168.1.1 74.103.20.202 63526 Rogers Cable Communications Inc. 192.168.1.1 200.153.203.231 64573 TELECOMUNICACOES DE SAO PAULO S.A. - TELESP 192.168.1.1 82.52.103.78 13635 TELECOM-ADSL-5 192.168.1.1 189.13.33.68 20129 Latin American and Caribbean IP address Regional Registry 192.168.1.1 200.159.220.164 20129 Brasil Telecomunicacoes SA 192.168.1.1 200.163.149.225 20129 Brasil Telecom S/A - Filial Distrito Federal 192.168.1.1 201.68.102.240 20129 Latin American and Caribbean IP address Regional Registry 192.168.1.1 201.93.1.131 20129 Latin American and Caribbean IP address Regional Registry 192.168.1.1 71.103.145.219 60228 Verizon Internet Services Inc. 192.168.1.1 190.84.130.84 20129 Latin American and Caribbean IP address Regional Registry 192.168.1.1 77.123.150.154 20129 192.168.1.1 84.222.29.131 20129 192.168.1.1 61.229.34.145 20129 192.168.1.1 211.90.120.41 36235 192.168.1.1 189.10.151.172 20129 192.168.1.1 72.232.237.213 20129 192.168.1.1 200.191.185.241 20129 192.168.1.1 221.201.202.100 64529 192.168.1.1 200.149.87.233 20129 192.168.1.1 200.100.213.136 20129 192.168.1.1 87.10.134.223 20129 192.168.1.1 218.28.5.218 14340 192.168.1.1 10.0.3.154 5353 192.168.1.1 213.167.24.253 20129 192.168.1.1 201.41.173.19 20129 192.168.1.1 200.141.122.8 20129 192.168.1.1 200.149.87.233 20129
- みんなの回答 (6)
- 専門家の回答
質問者が選んだベストアンサー
その他の回答 (5)
- sei44
- ベストアンサー率38% (12/31)
参考までに 同じように20129に対するエラーメッセージが出ています こちらの環境は XP 光接続 で ルーターではなくて S社のFWが異常を検知して メッセージが出てきました ポート開閉確認ツール(CureePorts)で確認したところ 検知しませんでしたが 再起動して再度確認したところ 画像等ダウンロードソフト(Orb**)が使用していました 恐らく このソフトを終了(画面にアイコンが出てきて うるさかったので)してから 出るようになったのでは ないでしょうか どなたか詳しい方 解説願います
お礼
>ダウンロードソフト(Orb**)が使用していました Oebit Downloader というソフトが確かにインストールされていたようです。
- WildBoar
- ベストアンサー率63% (7/11)
最近、ネットワークセキュリティに取り組んでいる者です。 ズバリの回答ではありませんが、情報をお知らせします。 (1)192.168.1.1 83.148.97.169 20129 RIPE Network Coordination Centre 192.168.1.1、からルータを通して、83.148.97.169のポート20129宛にアウトバンド方向で接続されていると思えます。 Linux、WindowsXPなどでは、コマンド「nslookup 83.148.97.169」にて、接続先ホスト名が確認できます。 Whoisドメイン名検索サイト (たとえば、http://whois.prove-wsc.com/ あるいは http://www.internic.net/ )にて、 マシン名を除いたドメイン名(abc.def.comならdef.com)を入力すると、そのドメインの登録者がわかります。 マシンの管理者がわかることがあります。 代理登録業者のときは、本当の管理者は読み取れません。 「RIPE Network Coordination Centre」は以下のサイトに情報があります。 (http://ja.wikipedia.org/wiki/RIPE_NCC) ヨーロッパ、中東、中央アジアを管轄するIPアドレス管理組織のようです。 また、Whoisに関しては(XPときは、スタート・ヘルプとサポートにて「Whois」で検索) [NT]InterNIC でインターネット ドメイン登録情報を確認する方法 http://support.microsoft.com/kb/169213/ja?FR=1&PA=1&SD=HSCH に詳しい情報があります。 (2)SSHのポート番号 >ルータBのアクティブセッションのログに、 >10.0.4.53:4569 TCP 0.0.0.10:22 57751 62298 >というものがあるのですが、0.0.0.10.22とは何でしょうか?10.0.4.53はSSHサーバです。 22は、SSHのポート番号のようです(使ったことはありません)。 「0.0.0.10」についてですが、もしかして、サブネットマスク「255.255.255.0」などと 関連があるのでしょうか? (3)「Windows Defender」は御存知でしょうか? http://www.microsoft.com/downloads/details.aspx?FamilyId=435BFCE7-DA2B-4A6A-AFA4-F7F14E605A0D&displaylang=ja 参考になれば幸いです。
お礼
>ヨーロッパ、中東、中央アジアを管轄するIPアドレス管理組織のようです。 このような組織にパケットを送ることの理由として、どのようなことが考えられますでしょうか?PCがDDNSクライアント化さ登録をしようとしているのでしょうか? >「0.0.0.10」についてですが、もしかして、サブネットマスク「255.255.255.0」などと関連があるのでしょうか? そうなのですか?サブネットマスクは255.255.255.0にしています。0.0.0.10というのはまったく初めてみるIPなので、どのようなものか木になっています。 >(3)「Windows Defender」は御存知でしょうか? 名前は聞いたことがあったものの使ったことがなかったので、使用してみようと思います。
- FMVNB50GJ
- ベストアンサー率27% (411/1520)
たとえばこれ 192.168.1.1 200.149.87.233 20129 192.168.1.1=LAN IP 200.149.87.233=Destination URL/IP 20129=(200.149.87.233の)Service/Port Number ということですかね。Destinationを相手先としたら、あなたのパソコンから200.149.87.233の20129番ポートにパケットを送っていると思えますが。 「PCのファイアーウォールのログ」よりは、接続ログのほうが的確のように思えますが。ファイアーウォールログは、たいてい、遮断したものとかプログラム起動とか、だと記憶していますが。 ルーターとインターネット間のパケットはとらないと思いますが、ルーターとパソコンとのパケットは取れるので調べるならいいと思いますが。 http://www.wireshark.org/ 当方XPしか使えない素人ですので当てにはなりません。 したがって「原因を突き止められる人」には該当しません。 192.168.1.1 169.254.25.129 netbios-ns たしかにUDPですね。
お礼
>ということですかね。Destinationを相手先としたら、あなたのパソコンから200.149.87.233の20129番ポートにパケットを送っていると思えますが。 そうです。 >http://www.wireshark.org/ たすかります。
- 123admin
- ベストアンサー率52% (1167/2225)
MSサポートページで調べると http://support.microsoft.com/kb/824866/ja 20019リモート アクセス サーバーのセキュリティ エラーです。コンピュータ名が見つかりません。GetComputerName の呼び出しに失敗しました。 なんてのがありますね。 XPのリモートに接続してアクセス権を奪取し様としていたのかな? 海外の複数箇所からの接続ですのでボットの攻撃でしょう。 その引き金は停止したPCが何らかのスパイウェアにやられていた可能性がありますね。 攻撃が停止した途端になくなった事実からはね。 あくまで可能性ですので、出会い頭の攻撃かもしれません。 ウイルス対策ソフトを入れていてもスパムメールを興味本位で覗いてリンク先に行ったら感染なんて例が多いようです。 2006年の10大脅威 「脅威の“見えない化”が加速する!」 http://www.ipa.go.jp/security/vuln/20070309_ISwhitepaper.html 仕事に使うのでしたら、最悪の事態を回避する為にセキュリティの見直しに行った方が宜しいかと。 尚、問題のPCの対策ソフトは何を使っていたのでしょう? Sが付いても1980円又はVista終了まで無料なんてのを使っていたのなら、思わず納得してしまうんですが。
お礼
セキュリティソフトは、どちらもフリーのもので、FirewallはcomodoアンチウィルスはAvast Homeです。Firewallの方で、ルータが割り当てたローカルネットワーク全部をブロックしないように設定していました。そのためログが残らなかったのだと思われます。 また、ご指摘のとおり、リモートデスクトップを有効にしていました。ほかにも、SSHやSyslog等のサービスをそのPCで動かしています。 ネットワークの構成は以下のようになっています。上記はルータAの記録になっています。 インターネット ↑↓ ルータA 192.168.0.1 ←→ PC-1, PC-2, PC-3 ↑↓ ルータB 192.168.1.1 ←→ MyPC-1(10.0.X.X), MyPC-2(10.0.X.X). 少し怪しいことがあるのですが、そのトラフィックが流れた時はルータBが割り当てるIPを10.0.3.x にしていて、現在は10.0.4.xにしたのですが、それにもかかわらず、ルータWAN:192.168.1.1から10.0.3,154というアドレスにUDP5353への接続がルータAの記録にあります。この、10.0.3,154 は変更前のその問題のPCのIPです。
補足
ルータBのアクティブセッションのログに、 10.0.4.53:4569 TCP 0.0.0.10:22 57751 62298 というものがあるのですが、0.0.0.10.22とは何でしょうか?10.0.4.53はSSHサーバです。
- athanasius
- ベストアンサー率37% (361/964)
マルウェアか、P2Pのような気がしますが。
お礼
そのPCはXPなのですがシステムをリストアし、ルータでIPの割り当て範囲を変更すると止まりました。P2Pなどは入れていません。リストアをUNDOすることはできますが、ここにいる方で原因を突き止められる人がいらっしゃるなら、UNDOして原因を究明したいと思います。 ちなみに、そのPC、OSを入れなおしてから2日もたっていません。
![その他([技術者向] コンピューター) イメージ](https://gazo.okwave.jp/okwave/spn/images/related_qa/c205_3_thumbnail_img_sm.png)
お礼
ありがとうございます。非常に参考になりました。