- ベストアンサー
whoisでヒットしないIPアドレスへのアクセス
- Windows7ProfessionalSP1、KasperskyInternetSecurity2011を使用しています。KasperskyのFW設定で、DNS、Any network activity(許可するネットワーク、プライベートネットワーク)の他はアウトバウンド接続でHTTP、HTTPSのみを許可して、このルール設定の下に全て禁止のルール(ログ付き)を置いているのですが、詳細ログを見ていると禁止しているリモートポートへのアクセスが頻繁に記録されています。
- 以前Kasperskyが内部から2001番に対して頻繁にudp通信を行っているのを発見したぐらいで、きちんと精査したことがなく、危険なのかこのまま使い続けていいのか判断付きかねるのですが、whoisで調べても出てこないIPアドレスへのアクセスというのは、通常使用している場合でも起こりうるのでしょうか?再インストールしてから1日も経っていないだけに、不審に思っています。
- みんなの回答 (3)
- 専門家の回答
質問者が選んだベストアンサー
74.86.0.0-74.86.255.255 は SoftLayer Technologies というアメリカテキサス州の データセンター事業者が割り当てを受けているようですね。 http://whois.arin.net/rest/nets;q=74.86.0.0?showDetails=true&showARIN=true TCPの2143番ポートは、LiveVault という遠隔バックアップのサービスで 使われるようです。そのようなソフトが動いていませんか?
その他の回答 (2)
- tomaju
- ベストアンサー率76% (84/110)
#1 です。 コマンドプロンプトから netstat -on と打ち込むと、 アクティブなTCPの接続と、プロセスのPIDがわかります。 問題の通信が発生しているときには、以下のようなコネクションの行が 現れると思います。 Proto Local Address Foreign Address State PID TCP 自マシン:58387 74.86.xxx.xxx:2143 ESTABLISHED 2234 インターバルをつけて、netstat -on 1 のようにすれば、 1 秒おきに再表示します。 (Ctrl + c で停止します) これを監視して、怪しい通信が発生したらPIDを読み取り、 Process Explorer の Find -> Find Handle or DLL で そのPID (上の例では2234) を検索すれば、Process が つきとめられるのではないかと思います。 netstat -h を打ち込むと netstat コマンドのヘルプが見られます。 ちなみに、XPだと -b オプションが使えて、接続している 実行ファイル名まで表示できるのですが、Windows 7 で 使えるかどうかわかりません。
お礼
回答ありがとうございます。#1のお礼を書いた後、ルータとKasperskyのFWでIPアドレス群74.86.0.0/24を弾くように設定していた(書いている時に気づいたのですが、/24でなく/16でした)のですが、それから30分ほどしてからふっつりとネットに繋がらない状況になり試行錯誤して、にっちもさっちも行かなかったので、再インストールすることになってしまいました。 ので、怪しい通信の元は把握できずじまいですが、教えていただいたやり方でブラウザのPIDを探してみたところ、あっさりとプロセスをつきとめられました。netstatの-bオプションは管理者権限が必要でしたが、7Proでも実行ファイル名は表示されています。 ファイルの救出だけでなく、システムドライブ全体もバックアップしておけば通信を試みているプロセスを特定できたのですが...やり方を学ぶ事ができましたし、また同じようなケースに遭ったら活用したいと思います。 @ITの記事、関連記事も併せて読んでみます。 tomajuさん、回答ありがとうございました。
- tomaju
- ベストアンサー率76% (84/110)
#1 です。 コマンドプロンプトから netstat -on と打ち込むと、 アクティブなTCPの接続と、プロセスのPIDがわかります。 問題の通信が発生しているときには、以下のようなコネクションの行が 現れると思います。 Proto Local Address Foreign Address State PID TCP 自マシン:58387 74.86.xxx.xxx:2143 ESTABLISHED 2234 インターバルをつけて、netstat -on 1 のようにすれば、 1 秒おきに再表示します。 (Ctrl + c で停止します) これを監視して、怪しい通信が発生したらPIDを読み取り、 Process Explorer の Find -> Find Handle or DLL で そのPID (上の例では2234) を検索すれば、Process が つきとめられるのではないかと思います。 netstat -h を打ち込むと netstat コマンドのヘルプが見られます。 ちなみに、XPだと -b オプションが使えて、接続している 実行ファイル名まで表示できるのですが、Windows 7 で 使えるかどうかわかりません。 参考URL http://itpro.nikkeibp.co.jp/article/COLUMN/20100308/345506/ http://www.atmarkit.co.jp/fwin2k/win2ktips/234netstat/netstat.html
お礼
もう5年も前の質問ですが、お礼を言いにやってきました。回答ありがとうございました!ちょっとはスキルが身につきました…
![その他([技術者向] コンピューター) イメージ](https://gazo.okwave.jp/okwave/spn/images/related_qa/c205_2_thumbnail_img_sm.png)
![その他([技術者向] コンピューター) イメージ](https://gazo.okwave.jp/okwave/spn/images/related_qa/c205_4_thumbnail_img_sm.png)
お礼
回答ありがとうございます。投稿前に調べていたwhoisにも、同じ記載がありました。情報量が少ないからといって、何も記載されていないわけではないのですね。 LiveVaultというサービスは入れたことがありませんし、Process Explorerで調べてみてもそれらしい名前のサービスは見当たりませんでした。おそらく探し方がよくないのだと思いますが、何か良い検索方法はありますでしょうか?