- ベストアンサー
不正アクセス?ICMP too large
ルータのレポートの不正アクセスにICMP too largeが内部アドレスから内部アドレスに多数検出されています。 不正アクセスなのでしょうか? 単なる誤検出なのでしょうか? 見分けるポイントをご存知の方、ご教授願います。
- chinamini3
- お礼率100% (10/10)
- その他(インターネット接続・通信)
- 回答数2
- ありがとう数4
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
結論から言うと判断はつきません。 どんなことをすれば、このメッセージが出るかと言えば、 pingなどでテスト電文の長さを1025以上を指定すると その電文を通過したファイアウォールの機能がある機器 (ルータ?)で出すメッセージとなります。 指定の内部アドレス間で、例えば下記のコマンドを打てば メッセージが出続けると思われます。 ping 相手IPアドレス -l 1400 -t ネットワークの性能などを確認する時にこうしたコマンドを 打つことは時々あります。 可能性としては機器の間で生き死に相互監視をしている時に 自動的にicmpを発行することはありますが、こうしたサイズの 大きい電文(1025以上)を流すケースは聞いたことはありません。 該当のアドレスの機器を確認する。 その機器を操作している人に訊いてみる。 ネットワークキャプチャソフト(Wiresharkなど)で 電文の中身や頻度を確認する。 といったことで、把握するしかないかなと考えます。
その他の回答 (1)
- blueskydan
- ベストアンサー率50% (1/2)
Windows環境のようなので、ActiveDirectoryに関係があるのでは?
お礼
本件の原因が判明しましたのでご報告致します。 ActiveDirectoryのグループポリシーの低速リンク接続検出を無効に設定したところ、 ルーターログへの不正アクセス検知がほとんどなくなりました。 端末への設定が反映されれば、検知されるパケットはなくなると思われます。 不正アクセスではなかったので、一安心です。 ネットでいろいろ調べたところ、この結論に至りました。 ActiveDirectoryではクライアントからドメインコントローラに対してICMPパケットを送出し、 その平均応答時間を計測して接続している回線を判断する機能があるようです。 本件について、いろいろとご支援を頂きました Moryouyouさん、blueskydanさんありがとうございました。
お礼
丁寧なご回答ありがとうございます。 ご回答にあったコマンドを使う人は社内にいないと思われ、 攻撃元アドレスに自分の使っているPCのアドレスもあり、 私自身が該当するような操作をした覚えがありません。 また、ここ2,3日で頻発しているので、 通常の状態でないことは確かです。 ただ、これらのことだけでは、ご指摘の通り、 不正アクセスかルーターの誤検出か判断がつかないです。 教えていただいたネットワークキャプチャソフトを使って調べてみます。
補足
Wireshakeを使い、ルーターのミラーポートでパケットをキャプチャした結果、 実際にパケット長1514のICMPパケットが捕捉されました。 誤検知ではありませんでした。 (Wireshakeの性能には感激しました。一昔前は数百万円したものが無償で入手できるとは時代が変わりました。ご紹介頂きありがとうございます。) ルーターのMTUに誤りがあったので修正しましたが、 依然としてICMP too largeの検知があります。 検知したパケットについては破棄されるため、実害はないようです。 また、Windowsに経路MTU探索という機能があり、ICMPパケットを出すこともわかってきました。 今のところ、ICMP too largeを発信する端末に共通しているのはOSがWindowsXpということです。しかもWindows7のXpモードのアドレスからも発信されています。 ウィルス対策ソフトはすべての端末に入っていて定義ファイルも更新していますが、Virusは検知されていません。 というところまではわかっていますが、これ以上どのような調査をすればよいのかわからなくなってしまいました。 何かよいお知恵はありませんでしょうか。