- ベストアンサー
SYN Flooding??
ウイルスバスター2002を使用しているのですが、パーソナルファイアーウォールに、SYN Floodingをファイアーウォールしたというログが残ります。 ここ数日毎日のように続いています。 一応ファイアーウォールされているとはいえ気持ち悪いです。 このログが残らなくなるような良い防御法はないでしょうか・・ よろしくお願いします。
- みんなの回答 (9)
- 専門家の回答
質問者が選んだベストアンサー
ウィルスバスターが、何のパケットを受け取った時にSYN Floodingの警告を出すのか分からないので、はっきりした事が分からないです。(その攻撃って、サーバーが大量のSYNパケットを受け取るって事だと思うんですが) まずはそこから調べてみては? 念のため、トロイが仕掛けられていないかチェックして、ISPのパスワードも変更してみてはどうでしょう。 送信元が偽装されてる可能性もありますよね。 KIKOさんの環境が何も書かれてないので、推測のみです。
その他の回答 (8)
- o_tooru
- ベストアンサー率37% (915/2412)
そうですか、解決良かったですね。 > そこで気づいたのが送信元ポート番号がすべて20番だったのです。 > 20番といえばFTPのポート・・もしやと思い試してみたところビンゴでした。 そうですね、FTPサーバーは20番ポートからこちらに向かってアクセスしてきますから。一般的にこちらからサーバにコネクションを張るのと異なり、FTPはサーバーからこちらに向かってコネクションを張ってきます。つまり、こちらから依頼しているのにもかかわらず、外部から(FTPサーバ)からコネクションを張ってきます。そのため、ファイアーウォールソフトに寄っては、攻撃と判断する場合もあります。
お礼
ウイルスバスターを入れていて、HPを持っていてホストにアクセスする人ってわりといると思うのですが・・ 私のようにおたおたする人(^-^;もたくさんいるような気がします。 今回のことで思ったのはバスターのヘルプ&説明書は初心者にはちょっと分かりにくいということ・・次バージョンはもっと詳しくて分かりやすいものになっていることを期待したいと思います。
- o_tooru
- ベストアンサー率37% (915/2412)
こんばんわ、お返事が遅くなりました。 > 1つは私が使っているプロバイダさんで、 ・・・・なんでしょうね?同じプロバイダを使っている第三者の人があなたの所にアクセスをかけてきているのでしょうかね? >もうひとつは、NTTコミュニケーションでした これも、NTTコミュニケーションを利用しているどなたかがあなたの所にアクセスをかけてきているのでしょうかね? > 特定のサイトに行くと、でる・・という感じではないようです。 そうですか・・・あと、そのアクセスを受けているときの時間帯ですが、あなたがインターネットをしていないときも先方からアクセスがありますか?無いような気がするのですが、もし有れば本当に攻撃かもしれません(汗)でも、ちょっと考えにくいですけど。 一般的に、こちらのIPが切断の度に変わるのにもかかわらず、特定の相手から攻撃を受ける場合は、こちらのPC内にトロイの木馬系のウイルスが潜んでいる場合、ICQなどのインスタントメッセージアプリがクラッキングを受けて、相手に情報を流している場合などが考えられます。 そちらの内容から推測しますに、アンチウイルスソフトは導入なさっている気がします。それですと、特定の相手から攻撃を受ける由来がないような気がします。 念のため、下記のサイトでそちらの環境をスキャンしてみてはいかがでしょう。もしトロイの木馬系のウイルスが潜んでいたり、何らかのポートが空いていたりしますと、下記のサイトからポートスキャンなどをしてもらうと、判明します。
- 参考URL:
- http://www.p-sec.net/
お礼
ポートスキャンを行ってみました。危険な個所はないと診断されたので安心しました。 解決しました。詳細はNo.7のお礼の方へ書かせて頂きました。 簡潔に言ってしまうと、ホストでFTPソフトでアクセスしたものが警告ログとして残っていたのです。前回、お礼を書いている時に警告があがった時も、FTPソフトを立ち上げたまま書いていました。 まさかそんなことで警告がでるなんて思いもしませんでした(^-^; 何度も回答していただきありがとうございました。 感謝しています(^-^)
- o_tooru
- ベストアンサー率37% (915/2412)
> ログを確かめてみたのですが・・送信先IPが全て同じものになっているのです。 > これは特定攻撃を受けているということなのでしょうか。。 あらああ・・・そうですか。何とも言えませんね。送信先?送信元ではないかな? ただ、あなたがネット上でよっぽど傍若無人の行為をして、他人から嫌われていたりするのでしたら別ですが、たぶん攻撃を受けているのではないと考えます。 ちなみにそのIPを下記のサイトに打ち込んでみてください。どんな結果がでますか?あなたがよく行くサイトのだったりしませんか?職場のルーターにもよくSYN Floodingのログがあがるのですが、内部のものが特定のサイトを見るとそのログがあがるようです。 攻撃をする側から見ますと、一般の人のPCは接続の度にIPアドレスが変わってしまいますので、特定することが非常に困難なのです。
お礼
送信先IPが同じなのは、自分パソコンのIPだったからでした・・(^-^; 送信元IPは微妙に違っていたのですが、参考URLとして紹介していただいたサイトで検索してみると、2種類に分けられました。 1つは私が使っているプロバイダさんで、もうひとつは、NTTコミュニケーションでした。 う~ん、謎は深まるばかりです。。 特定のサイトに行くと、でる・・という感じではないようです。 この文章を書いている間にまたありました。まさかココではないと思うので・・
- nanaki27
- ベストアンサー率53% (26/49)
>ログは送信先IPが全て同一のものになっています。 嫌な予感がするのですが・・ ご自分のIPは調べましたか? リリースされてIP番号が変わっているにもかかわらず攻撃されているのでしょうか? 私も以前5秒に1回(たぶんウィルスに感染したマシンだと思うのですが)攻撃された事があります。CATV接続で半固定IP状態だったので、それ以来毎晩リリースするようにしています。朝起きて確認してみたら、前日と同じIPという事も多いのですが(笑) (CATVユーザーはあまりリリースしないみたいです。) ご自分のIP番号がリリースされているかどうか確認して、それでも同一IPから攻撃があるようなら、一度接続会社にご相談なさると良いかもしれません。 SYN Floodingはトラフィックを狙った攻撃ですから、回数が多くなるのは頷けるところです。
お礼
遅くなってすみません(^-^; IPを調べるのに時間がかかってしまいました。 送信先のIPは、私のパソコンのIPでした・・(^-^; IPといってもグローバルIPとプライベートIDというものがあるんですね。。 調べてみてはじめて知りました。 グローバルIPの方は、接続するたびに変わっていたので安心しました(^-^)
- nanaki27
- ベストアンサー率53% (26/49)
>SYN Floodingというものに狙われないようにするためにはどうすればいいのかということを知りたかった #2の回答では質問の意図が読み取れず失礼しましたm(_ _)m ネットに繋がない。これしか無いでしょう。 先ほども書きましたが、殆どの攻撃はソフトなどを使ってローラー作戦、手当たり次第に狙います。 ネットに繋ぐにはIPアドレスが必要です。あなたのIPアドレスはネットに繋いでいる間生きていますし、攻撃は生きているIPに対して行われます。 IPアドレスが数字の羅列である以上、攻撃者が1から順番に最後の番号まで全部に攻撃すれば、いずれ自分の番号が当たる確率は残ります。全ての番号が狙われているという事です。使われていないIPのみが攻撃を受けませんが、狙われてるという意味では、攻撃者のIP以外の全てのIPがあてはまります。 しかも攻撃者は一人ではありませんし、定休日もありません。固定IPでなくても狙われない確率は無くなりません。 (携帯電話の迷惑ダイレクトメールと同じで、イタチごっこの繰り返しですね) 今回たまたまその攻撃に繰り返し当たってしまっただけのような気がしますが、ログからIPを調べておいて、継続して攻撃されてるかどうかを監視する必要はあると思います。 来た攻撃を防御する方法はありますが、無作為な攻撃を受けたくなければ一時的にでもPCをネットから切り離す以外にないでしょう。 どうしてもその番号を攻撃したいという場合以外は、攻撃してブロックされれば諦めて、もっとセキュリティの甘いPCを探すでしょうから、ファイアーウォールを入れているという事が攻撃の回数を減らす事に一役買うとは思います。
お礼
再び回答ありがとうございます。 「ネットに接続しない」は効果絶大ですが・・もう無くてはならない存在になっているので・・(^-^; 接続時間を減らすのが一番というところでしょうか・。。 >ログからIPを調べておいて、継続して攻撃されてるかどうかを監視する必要はあると思います。 ログは送信先IPが全て同一のものになっています。 嫌な予感がするのですが・・
- o_tooru
- ベストアンサー率37% (915/2412)
ログがあがることは仕方がない事だと考えた方がいいと思います。こまめに回線を切断することも、確率論的に非常に大切です。回線を切断することでIPが切り替わりますので。 あと、注意しなければならないのが、特定のIPから連続して、継続的にアクセスを受ける場合だと思います。誰かが何らかの目的で、また、どういう訳かあなたを特定できるようになってしまっていると言うことが、可能性として発生するからです。 私も職場のファイアーウォールを管理していますが、結構アクセスを受けます。ただ、どれもが辺り構わずアクセスを掛けているようなものばかりですので、とりあえずは気にしていません。
お礼
再び回答ありがとうございます。 ログを確かめてみたのですが・・送信先IPが全て同じものになっているのです。これは特定攻撃を受けているということなのでしょうか。。 そもそも送信先IPという意味が分からなかったのでバスターのヘルプを参照したのですが「不正アクセスの送信に使用された送信元IPアドレスが表示されます。」という見たままの解説でした。バスターのヘルプは初心者に優しくないです(TT) 申し訳ないですが・・答えていただければ幸いです。
- nanaki27
- ベストアンサー率53% (26/49)
SYN Floodingは、盗聴や侵入などの直接的な被害を与える攻撃ではありません。 手軽に出来てしまうそうなので、回数が多くなってるのでしょう。 大抵の攻撃は個人を特定してされるものではなく、手当たり次第です。 ログを出なくする事が出来たとしても、それが=攻撃されてないという事にはなりません。 ファイアーウォールのログが残らなかったら、どんな攻撃をされてるか分からず余計恐いと思います。 それよりもログに残った攻撃がどんなモノなのか、ご自分で調べるようにして内容を把握すれば、不安度が低くなるんではないでしょうか。
お礼
回答ありがとうございます。 私の説明が悪くて下の方にも書いたのですが、単純にファイアーウォールログを残さないということではなくてSYN Floodingというものに狙われないようにするためにはどうすればいいのかということを知りたかったのです。 SYN Floodingについてはいろいろと調べてみたのですが、どうして私のPCが攻撃を受けるようになったのかというところまでは分からなくて、そこのところも疑問でした。なるほど手当たり次第に撃たれた流れ弾に当たっているようなものなのですね。(固定IPではないので個人攻撃とは考えにくいので)
- o_tooru
- ベストアンサー率37% (915/2412)
こんばんわ、疑問は尽きませんね。 さてご質問の件ですが、・・・・なんともいえませんね。ファイアーウォールのログは「私はきちんと仕事をしています」ってメッセージですので、「うるさいから、黙っていなさい」って言うとかわいそうです。 接続時間が長くなるとどうしても、攻撃対象となる確率が高くなります。それを防御するのが、ファイアーウォールです、そのファイアーウォールより前にさらにファイアーウォールでも・・立てますか・・・? 要するに、無理って言うことです。
お礼
回答ありがとうございます。 私の説明が良くなかったです。すみません(^-^; 単純にファイアーフォールログを残さないということでは、なくてSYNFloodingというものに狙われないためにはどうすればいいのかということを知りたかったのです。 やはりこまめに接続を切る・・という対処法しかないのでしょうか
お礼
またお返事が送れてしまい、すみません(^-^; 調べるのに時間がかかってしまいました。 いつSYNの警告を出すのかを判明させるために、 ルータを使用しているので、そちらに残っているログを見てみたりいろいろ調べてみました。 そこで気づいたのが送信元ポート番号がすべて20番だったのです。 20番といえばFTPのポート・・もしやと思い試してみたところビンゴでした。 じつは、私はHPを2つ持っていまして、一つは自分のプロバイタから、もう一つは別のところからHPスペースを借りています。 それぞれのHPスペースへデータを転送する時にFTPソフトでホストへアクセスすると警告がでました。 それ故に2つの送信元IPになっていたというわけです。 結局自分が悪かったという結論になりました・・(^-^; でも、疑問が解けてすっきりしました。 一人ではここまで疑問が解けることはなかったと思います。 回答感謝します(^-^)