- - PR -
起動と同時にhttpアクセスする端末?
投稿者 | 投稿内容 | ||||||||
---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2005-03-22 11:59
あるセグメントのパソコンを起動すると、異様にトラフィックが増大することを、
ISPが提供するトラフィック解析サービスで発見しました。 そのセグメントを出入りするポートのパケットをキャプチャすると、 セグメント内の端末数台に以下のようなアクセスが多く見られます。 数台の端末に限り、「a26.ms.akamai.net」に「tcp」「http」プロトコルでアクセスしにいっているようです。 下記にログ転記。 これらの端末は、ただ、電源を入れただけで、ブラウザも起動しておりませんし・・ 「自動更新」の設定もしておりません。 起動しただけで、あるサイトにhttpアクセスしにゆく・・という事は考えられるのでしょうか?端末は全てwindowsXPproです。 普通は、自動更新かブラウザでURLを入力すれば、そういうパケットが見られてもおかしくないと思うのですが・・ ************************************************************************************ 例)パケットキャプチャソフト「ethereal」で収集した結果です。 192.168.219.40の端末、ホスト名 hostA、ドメイン dns.tomato.or.jpの場合・・・ ※192.168.219.40のやり取りだけフィルタしてみました。 Source Destination Protocol Info 192.168.219.40 192.168.219.255 BROWSER HostA Announcement hostA,Workstation,Server・・・・ 192.168.219.40 192.168.219.255 BROWSER Request Announcement hostA 192.168.219.40 192.168.219.255 BROWSER Request Announcement hostA 192.168.219.40 192.168.219.255 BROWSER Request Announcement hostA 192.168.219.40 192.168.219.255 BROWSER Request Announcement hostA 192.168.219.40 dns.tomato.or.jp DNS Stanard query A www.download.windowsupdate.com dns.tomato.or.jp 192.168.219.40 DNS Standard query response CNAME www.download.windowsupdate.com 192.168.219.40 a26.ms.akamai.net TCP 1032 > http[SYN] Seq=0 Ack=0 Win=64240 Len=0 MSS=・・・ a26.ms.akamai.net 192.168.219.40 TCP http > 1032 [SYN, ACK] Seq=0 Ack=1 Win=5840 Len=0 192.168.219.40 a26.ms.akamai.net TCP 1032 > http[SYN] Seq=1 Ack=1 Win=64240 Len=0 192.168.219.40 a26.ms.akamai.net HTTP GET /mslownload/update/v5/psf/windwosxp-sp2-x86fre・・・ a26.ms.akamai.net 192.168.219.40 TCP http > 1032 [SYN, ACK] Seq=1 Ack=666 Win=6650 Len=0 a26.ms.akamai.net 192.168.219.40 HTTP HTTP/1.1 206 Partical Content a26.ms.akamai.net 192.168.219.40 HTTP Continuation 192.168.219.40 a26.ms.akamai.net TCP 1032 > http [ACK] Seq=666 Ack=1707 Win=64240 Len=0 a26.ms.akamai.net 192.168.219.40 HTTP Continuation a26.ms.akamai.net 192.168.219.40 HTTP Continuation 192.168.219.40 a26.ms.akamai.net TCP 1032 > http [ACK] Seq=666 Ack=4627 Win=64240 Len=0 a26.ms.akamai.net 192.168.219.40 HTTP Continuation a26.ms.akamai.net 192.168.219.40 HTTP Continuation 192.168.219.40 a26.ms.akamai.net TCP 1032 > http [ACK] Seq=666 Ack=7547 Win=64240 Len=0 a26.ms.akamai.net 192.168.219.40 HTTP Continuation 192.168.219.40 a26.ms.akamai.net TCP 1032 > http [ACK] Seq=666 Ack=9007 Win=64240 Len=0 a26.ms.akamai.net 192.168.219.40 HTTP Continuation a26.ms.akamai.net 192.168.219.40 HTTP Continuation 192.168.219.40 a26.ms.akamai.net TCP 1032 > http [ACK] Seq=666 Ack=11927 Win=64240 Len=0 a26.ms.akamai.net 192.168.219.40 HTTP Continuation a26.ms.akamai.net 192.168.219.40 HTTP Continuation 192.168.219.40 a26.ms.akamai.net TCP 1032 > http [ACK] Seq=666 Ack=14847 Win=64240 Len=0 →パターンA 以降・・・同じような繰り返し、Ackの数字が変化するだけのものが延々、53パケットほど続く・・・ ↓ 192.168.219.40 a26.ms.akamai.net TCP [TCP Dup ACK 796#1] 1032 > http [ACK] Seq=666 Ack=5・・・ →パターンB a26.ms.akamai.net 192.168.219.40 HTTP Continuation 192.168.219.40 a26.ms.akamai.net TCP [TCP Dup ACK 796#2] 1032 > http [ACK] Seq=666 Ack=5・・・ 以降・・・同じような繰り返し、「[TCP Dup ACK 796#2]」の#以降の数字が20まで増える ↓ 192.168.219.40 a26.ms.akamai.net TCP 1032 > http [ACK] Seq=666 Ack=57187 Win=64240 Len=0 a26.ms.akamai.net 192.168.219.40 HTTP Continuation 以降・・・同じような繰り返し、Ackの数字が変化するだけのものが延々、11パケットほど続く・・・ 以降、パターンAとパターンBの繰り返しのパケットが延々続きます。 大体、Time 223.XXXXXX の223の部分で2500パケットくらいのやりとりがあります。 | ||||||||
|
投稿日時: 2005-03-22 12:39
こんにちは。
HTTPの前に、windowsupdate関連のドメインに対するDNSクエリーが出ているということは、やはりWindowsマシンからの、「自動更新」の通信ではないでしょうか? WindowsXP SP2を導入している場合だと、自動更新が有効になったり、セキュリティレベルを上げるように設定されかねませんから、マシン自体の設定を良く見た方が良いような… ※清書前に送ってしまったので、大幅編集しています…。見苦しい点ご容赦を。 [ メッセージ編集済み 編集者: angel 編集日時 2005-03-22 12:47 ] | ||||||||
|
投稿日時: 2005-03-22 12:52
ウイルス対策はされていますか?
MSのアップデートサーバに対してDoSアタックを行う ウイルスがありますよん。(Blaster等) | ||||||||
|
投稿日時: 2005-03-22 13:13
そして、akamaiはWindowsUpdateや自動更新、その他Microsoftのコンテンツを 代理配信している企業です。 http://e-words.jp/w/Akamai.html
と書いてあるくらいだから、SP2未適用端末で、SP2をダウンロードしようとしてるんでしょう。 SP2を適用するなり、SP2適用を抑制するパッチを導入するなり、 自動更新自体を停止してパッチは別途適用するようにするなり、 SUSを導入することで自動更新でのダウンロード内容を制御するようにするなり、 対処法はいろいろあります。 | ||||||||
|
投稿日時: 2005-03-22 14:33
こんにちわ.
つまり,皆さんのご意見を総合すると「あるよ」ということです. Microsoft の自動更新の設定が「されていない」のであればちょっと不可解ですけど, Mattun様が書かれているように特定の, そしてほぼ「SP2 でしょ」と思しきものを取りに行ってるのですから... ちなみに,一部の virus 対策 application でも 起動時に HTTP で pattern file を取りに行ったりします. なので,決して異常であるとは断言できません. | ||||||||
|
投稿日時: 2005-03-22 16:36
たくさんのレス有難うございます。
再度確認しましたが、「マイコンピュータ」の「プロパティ」にある「自動更新」タブの設定は「自動更新を無効にする」にしております。 また「ポリシー」「IE」の自動更新の項目も「未構成」にしております。←これは関係ない?でしょうか?? みなさまのおっしゃるようにSP2を自動更新しにいっていることを疑い、 レジストリに「HKEY_CURRENT_USER」→「Software」→「Microsoft」→「Windows」→「CurrentVersion」→「Policies」のONWARD 値"NoWinodowsUpdate”というのを作成し、値を1にして自動更新しないように設定しました。 無理やり制御したのですが・・ しかし同じセグメントで、現在httpアクセスしにいかない端末は、アクセスしにゆく端末と当初全く同じ環境で設定し、 NoWindowsUpdateのキーがないにも関わらず、起動と同時にアクセスしにいきません。 もしや・・、例えば前回、何らかの操作でSP2のアップデートを選択してしまい、それを完了せず途中で終わってしまった端末のみが、次回起動した ときそれを続行しようとしているのでしょうか? そうであるならば、Mattunさんのおっしゃるようにその操作を止めるにはどのような方法があるのでしょうか? | ||||||||
|
投稿日時: 2005-03-22 17:07
「BITS(Background Intelligent Transfer Service)」がそのような動作をしている可能性はありそうですね。 サービスとして、BITSを自動起動しないように設定すればどうでしょう? ※ただ、他に影響が出そうなサービスですから注意は必要かと思います 参考:Windows Update V5の解説 後、いっそのことSP2を完全導入してしまうとか…? SP2だけ自動更新に引っかからないモジュール(詳細失念)を適用するとか。 | ||||||||
|
投稿日時: 2005-03-25 16:30
angelさん・・・レス大変役に立ちました。updateサイトにアクセスしにっている端末は全てBITSサービスが「自動」になっておりました。
ここでサービスを「手動」に変更しようとするのですが、サービスのプロパティで変更後再起動すると、また「自動」に戻っております。 レジストリでこのあたりを変更する方法があるのでしょうか? また、他に気がついた事ですが、「HKEY_LOCAL_MACHINE\Microsoft\windows\CurrentVersion\BITS」の「Index〜」キー値が違うようです。 |