- PR -

起動と同時にhttpアクセスする端末?

投稿者投稿内容
ころ
会議室デビュー日: 2004/05/24
投稿数: 17
投稿日時: 2005-03-22 11:59
あるセグメントのパソコンを起動すると、異様にトラフィックが増大することを、
ISPが提供するトラフィック解析サービスで発見しました。
そのセグメントを出入りするポートのパケットをキャプチャすると、
セグメント内の端末数台に以下のようなアクセスが多く見られます。
数台の端末に限り、「a26.ms.akamai.net」に「tcp」「http」プロトコルでアクセスしにいっているようです。

下記にログ転記。

これらの端末は、ただ、電源を入れただけで、ブラウザも起動しておりませんし・・
「自動更新」の設定もしておりません。
起動しただけで、あるサイトにhttpアクセスしにゆく・・という事は考えられるのでしょうか?端末は全てwindowsXPproです。
普通は、自動更新かブラウザでURLを入力すれば、そういうパケットが見られてもおかしくないと思うのですが・・

************************************************************************************
例)パケットキャプチャソフト「ethereal」で収集した結果です。

192.168.219.40の端末、ホスト名 hostA、ドメイン dns.tomato.or.jpの場合・・・
※192.168.219.40のやり取りだけフィルタしてみました。

Source        Destination    Protocol   Info

192.168.219.40  192.168.219.255  BROWSER  HostA Announcement hostA,Workstation,Server・・・・
192.168.219.40    192.168.219.255   BROWSER Request Announcement hostA
192.168.219.40    192.168.219.255   BROWSER Request Announcement hostA
192.168.219.40    192.168.219.255   BROWSER Request Announcement hostA
192.168.219.40    192.168.219.255   BROWSER Request Announcement hostA
192.168.219.40  dns.tomato.or.jp DNS Stanard query A www.download.windowsupdate.com
dns.tomato.or.jp  192.168.219.40   DNS Standard query response CNAME www.download.windowsupdate.com
192.168.219.40   a26.ms.akamai.net TCP 1032 > http[SYN] Seq=0 Ack=0 Win=64240 Len=0 MSS=・・・
a26.ms.akamai.net  192.168.219.40 TCP http > 1032 [SYN, ACK] Seq=0 Ack=1 Win=5840 Len=0
192.168.219.40   a26.ms.akamai.net TCP 1032 > http[SYN] Seq=1 Ack=1 Win=64240 Len=0
192.168.219.40   a26.ms.akamai.net HTTP GET /mslownload/update/v5/psf/windwosxp-sp2-x86fre・・・
a26.ms.akamai.net  192.168.219.40 TCP http > 1032 [SYN, ACK] Seq=1 Ack=666 Win=6650 Len=0
a26.ms.akamai.net  192.168.219.40 HTTP HTTP/1.1 206 Partical Content
a26.ms.akamai.net  192.168.219.40 HTTP Continuation
192.168.219.40   a26.ms.akamai.net TCP 1032 > http [ACK] Seq=666 Ack=1707 Win=64240 Len=0
a26.ms.akamai.net  192.168.219.40 HTTP Continuation
a26.ms.akamai.net  192.168.219.40 HTTP Continuation
192.168.219.40   a26.ms.akamai.net TCP 1032 > http [ACK] Seq=666 Ack=4627 Win=64240 Len=0
a26.ms.akamai.net  192.168.219.40 HTTP Continuation
a26.ms.akamai.net  192.168.219.40 HTTP Continuation
192.168.219.40   a26.ms.akamai.net TCP 1032 > http [ACK] Seq=666 Ack=7547 Win=64240 Len=0
a26.ms.akamai.net  192.168.219.40 HTTP Continuation
192.168.219.40   a26.ms.akamai.net TCP 1032 > http [ACK] Seq=666 Ack=9007 Win=64240 Len=0
a26.ms.akamai.net  192.168.219.40 HTTP Continuation
a26.ms.akamai.net  192.168.219.40 HTTP Continuation
192.168.219.40   a26.ms.akamai.net TCP 1032 > http [ACK] Seq=666 Ack=11927 Win=64240 Len=0
a26.ms.akamai.net  192.168.219.40 HTTP Continuation
a26.ms.akamai.net  192.168.219.40 HTTP Continuation
192.168.219.40   a26.ms.akamai.net TCP 1032 > http [ACK] Seq=666 Ack=14847 Win=64240 Len=0
→パターンA
以降・・・同じような繰り返し、Ackの数字が変化するだけのものが延々、53パケットほど続く・・・



192.168.219.40   a26.ms.akamai.net TCP [TCP Dup ACK 796#1] 1032 > http [ACK] Seq=666 Ack=5・・・
→パターンB
a26.ms.akamai.net  192.168.219.40 HTTP Continuation
192.168.219.40   a26.ms.akamai.net TCP [TCP Dup ACK 796#2] 1032 > http [ACK] Seq=666 Ack=5・・・
以降・・・同じような繰り返し、「[TCP Dup ACK 796#2]」の#以降の数字が20まで増える



192.168.219.40   a26.ms.akamai.net TCP 1032 > http [ACK] Seq=666 Ack=57187 Win=64240 Len=0
a26.ms.akamai.net  192.168.219.40 HTTP Continuation
以降・・・同じような繰り返し、Ackの数字が変化するだけのものが延々、11パケットほど続く・・・

以降、パターンAとパターンBの繰り返しのパケットが延々続きます。
大体、Time 223.XXXXXX の223の部分で2500パケットくらいのやりとりがあります。








angel
ぬし
会議室デビュー日: 2005/03/17
投稿数: 711
投稿日時: 2005-03-22 12:39
こんにちは。

HTTPの前に、windowsupdate関連のドメインに対するDNSクエリーが出ているということは、やはりWindowsマシンからの、「自動更新」の通信ではないでしょうか?

WindowsXP SP2を導入している場合だと、自動更新が有効になったり、セキュリティレベルを上げるように設定されかねませんから、マシン自体の設定を良く見た方が良いような…

※清書前に送ってしまったので、大幅編集しています…。見苦しい点ご容赦を。

[ メッセージ編集済み 編集者: angel 編集日時 2005-03-22 12:47 ]
ほげやん
会議室デビュー日: 2005/02/17
投稿数: 15
お住まい・勤務地: 関西地方
投稿日時: 2005-03-22 12:52
ウイルス対策はされていますか?

MSのアップデートサーバに対してDoSアタックを行う
ウイルスがありますよん。(Blaster等)
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2005-03-22 13:13
引用:

HTTPの前に、windowsupdate関連のドメインに対するDNSクエリーが出ているということは、やはりWindowsマシンからの、「自動更新」の通信ではないでしょうか?


そして、akamaiはWindowsUpdateや自動更新、その他Microsoftのコンテンツを
代理配信している企業です。
http://e-words.jp/w/Akamai.html

引用:

192.168.219.40   a26.ms.akamai.net HTTP GET /mslownload/update/v5/psf/windwosxp-sp2-x86fre・・・


と書いてあるくらいだから、SP2未適用端末で、SP2をダウンロードしようとしてるんでしょう。

SP2を適用するなり、SP2適用を抑制するパッチを導入するなり、
自動更新自体を停止してパッチは別途適用するようにするなり、
SUSを導入することで自動更新でのダウンロード内容を制御するようにするなり、
対処法はいろいろあります。
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2005-03-22 14:33
こんにちわ.
引用:

ころさんの書き込み (2005-03-22 11:59) より:

これらの端末は、ただ、電源を入れただけで、ブラウザも起動しておりませんし・・
「自動更新」の設定もしておりません。
起動しただけで、あるサイトにhttpアクセスしにゆく・・という事は考えられるのでしょうか?端末は全てwindowsXPproです。
普通は、自動更新かブラウザでURLを入力すれば、そういうパケットが見られてもおかしくないと思うのですが・・


つまり,皆さんのご意見を総合すると「あるよ」ということです.
Microsoft の自動更新の設定が「されていない」のであればちょっと不可解ですけど,
Mattun様が書かれているように特定の,
そしてほぼ「SP2 でしょ」と思しきものを取りに行ってるのですから...

ちなみに,一部の virus 対策 application でも
起動時に HTTP で pattern file を取りに行ったりします.
なので,決して異常であるとは断言できません.
ころ
会議室デビュー日: 2004/05/24
投稿数: 17
投稿日時: 2005-03-22 16:36
たくさんのレス有難うございます。

再度確認しましたが、「マイコンピュータ」の「プロパティ」にある「自動更新」タブの設定は「自動更新を無効にする」にしております。
また「ポリシー」「IE」の自動更新の項目も「未構成」にしております。←これは関係ない?でしょうか??

みなさまのおっしゃるようにSP2を自動更新しにいっていることを疑い、
レジストリに「HKEY_CURRENT_USER」→「Software」→「Microsoft」→「Windows」→「CurrentVersion」→「Policies」のONWARD

値"NoWinodowsUpdate”というのを作成し、値を1にして自動更新しないように設定しました。
無理やり制御したのですが・・

しかし同じセグメントで、現在httpアクセスしにいかない端末は、アクセスしにゆく端末と当初全く同じ環境で設定し、
NoWindowsUpdateのキーがないにも関わらず、起動と同時にアクセスしにいきません。

もしや・・、例えば前回、何らかの操作でSP2のアップデートを選択してしまい、それを完了せず途中で終わってしまった端末のみが、次回起動した

ときそれを続行しようとしているのでしょうか?
そうであるならば、Mattunさんのおっしゃるようにその操作を止めるにはどのような方法があるのでしょうか?
angel
ぬし
会議室デビュー日: 2005/03/17
投稿数: 711
投稿日時: 2005-03-22 17:07
引用:

もしや・・、例えば前回、何らかの操作でSP2のアップデートを選択してしまい、それを完了せず途中で終わってしまった端末のみが、次回起動したときそれを続行しようとしているのでしょうか?


「BITS(Background Intelligent Transfer Service)」がそのような動作をしている可能性はありそうですね。
サービスとして、BITSを自動起動しないように設定すればどうでしょう?
※ただ、他に影響が出そうなサービスですから注意は必要かと思います
参考:Windows Update V5の解説

後、いっそのことSP2を完全導入してしまうとか…?
SP2だけ自動更新に引っかからないモジュール(詳細失念)を適用するとか。
ころ
会議室デビュー日: 2004/05/24
投稿数: 17
投稿日時: 2005-03-25 16:30
angelさん・・・レス大変役に立ちました。updateサイトにアクセスしにっている端末は全てBITSサービスが「自動」になっておりました。
ここでサービスを「手動」に変更しようとするのですが、サービスのプロパティで変更後再起動すると、また「自動」に戻っております。
レジストリでこのあたりを変更する方法があるのでしょうか?
また、他に気がついた事ですが、「HKEY_LOCAL_MACHINE\Microsoft\windows\CurrentVersion\BITS」の「Index〜」キー値が違うようです。

スキルアップ/キャリアアップ(JOB@IT)