- ベストアンサー
[Error][アラームログ] DoS攻撃
- [Error][アラームログ] アラームID:303500,アラームレベル:エラー,DoS攻撃 種別:smurf 送信元IPアドレス:***.***.***.*** 宛先IPアドレス:255.255.255.255 送信元MACアドレス:10-0c-6b-ec-27-5a
- HG8045Qに接続したルーターから毎日1回DoS攻撃と判断されるアクセスが行われている
- 質問内容:1)Netgearから[DoS攻撃]を受けている。2)Netgearのルーター経由で、誰かから[DoS攻撃]を受けている。3)何らかの信号はあるものの、攻撃では無く、HG8045Qの勘違い。4)その他。
- user8220
- お礼率100% (3/3)
- Wi-Fi・無線LAN
- 回答数3
- ありがとう数4
- みんなの回答 (3)
- 専門家の回答
質問者が選んだベストアンサー
解決の助けになったのであれば良いですが、改めて読み返して気になるところは※で伏字をされている【送信元IPアドレス:***.***.***.***】が192から始まるプライベートアドレスかどうかでしょうか。 外部のグローバルIPアドレスであってもご自身が付与されているグローバルIPアドレスであれば良いと思いますが、まったく関係ないIPアドレスであればHG8045Qのログが正しく、何かしらの攻撃を防いでいることになるのかと。 Netgearのログは12時間ごとの周期がありますので、正規動作かと思いますが、HG8045Qのログとの時間差と回数の差がありすぎて気になりますね。 Netgearの機器はブリッジモードなのですよね? 一度Netgearの機器を取り外してみて、同様の現象が継続するかの確認もお勧めします。
その他の回答 (2)
- altium106_2
- ベストアンサー率51% (890/1718)
記録された送信元MACアドレスは、質問者さまの所有されているNetgear製品のMACアドレスとは一致しているのでしょうか? また、Netgear製品のログには、同時刻にキープアライブパケットのような送信が無いか残っているかも見られても良いかもしれません。 一旦その攻撃が記録される時刻頃にNetgear製品を外してみてどうなるかを試されても良いかもしれません。 本題とは逸れますが、気持ち悪いようであれば当該製品を他社製品に買い替えるのも手かと思います。
お礼
ご回答有り難うございます。 Netgearのルーターを確認し、MACアドレスが一致しておりました。ご指摘有り難うございました。 また、Netgear側のログも見ることが出来ましたので、確認致しました。 送信元IPアドレスも一致していました。しかし、Netgear側のログは下記のように1日に2回発信されており、HG8045Q側の1日1回と回数が合っておりませんでした。時刻も異なっているのですが、その点は機器内の設定時刻のズレかなと思っています。 [Internet connected] IP address: **.**.**.**, Tuesday, Aug 17,2021 20:56:09 [Internet connected] IP address: **.**.**.**, Tuesday, Aug 17,2021 08:56:09 ※HG8045Q側のDoS攻撃と判断されている当該ログの時刻は[2021-08-17 16:27:59]なので時刻はズレている。 ※Netgearの時刻は毎日8:56と20:56で、HG8045Q側は16:27。どちらもその点では一定時刻。 以上のことから、HG8045QのログにあったDoS攻撃とは、Netgearのルーターからの接続信号であろうと判断しました。(2回と1回という回数の違いが謎のままではありますが) なんとか解決できましたのもご指導のおかげです。本当に有り難うございました。
補足
補足です。 両機器の時刻設定を確認しましたが、しっかりとNTP同期されており、時刻に誤りはありませんでした。 ということは、Netgearの発信側と、HG8045QのDoS攻撃ログとの時刻がズレていることは気になりますね。Netgear側には8時台と20時台のログしかなく、16時台のログがないので。 まぁ、ただ、発信元IPアドレスの一致と、MACアドレスが一致しているので、時刻のことはわからないままで置いておくことにします。 念のため、補足のご報告でした。
- tkwn52
- ベストアンサー率43% (66/151)
送信元IPアドレスがNetgearルータのアドレスか確認すべきですが、 おそらく、3)だと思います。 Netgearのルータからの通常の通信だと思います。 毎日同じ時間であることや送信先IPアドレスがブロードキャストであることから、NetgearのルータのDHCPの定期的な確認の通信と思われます。 DoS攻撃と書いてあってもその可能性があるということであって、 100%断定できませんが、状況的にはDoS攻撃とは考えづらいです。 外部から誰かがNetgearルータをのっとって、 それが攻撃しているという可能性もないとは言えませんが、 限りなくその可能性は低いと思います。 また、どのような環境でもネット側からの攻撃はあるものです。 頻度や送信元などで本当に攻撃かは判断するしかないと思われます。
お礼
ご回答有り難うございます。 大変わかりやすいご説明と、落ち着いた解析に厚く御礼申し上げます。 ご指摘の通り、毎日同時刻に1回なので、定期的な確認の通信の線でもう少し様子を見ることにします。 有り難うございました。
お礼
ありがとうございます。 送信元は192〜です。 接続はブリッジモードです。(NetgearでいうところのAPモード) > Netgearのログは12時間ごとの周期がありますので そうなのですね。勉強になりました。 あとは、時刻の差ですね。あとで、両機器を再起動してみます。 それと、Netgear無しでの様子も確認してみます。 何度もお手数をおかけしてすみません。 とても助かりました。有難うございました。