- - PR -
HPを表示すると80番ポートを使ったポートスキャンが発生する
1
| 投稿者 | 投稿内容 | ||||||||
|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2004-05-07 10:24
あるHPを表示させると、そのHPのアドレスからルーターへのアクセスが発生し、
ルーターがポートスキャンだという警告を発します。 ルーターには、NetScreenという機器を使っていますが、 そのログは、次のようなものです。 2004-04-23 11:30:16 system-alert-00016: Port scan has been detected! From 202.13.240.107/80 to 210.168.xxx.xx/1886, protocol TCP (i/f untrust) ・宛先のポート番号が変わって複数発生します。 ・202.13.240.107 が表示させたHPです。 ・210.168.xxx.xx がルーターです。 上記のHP以外でも、いくつかのHPでも同様な事が起こっています。 どのような原因で、こういったアクセスが発生するのでしょうか? 回避策などあれば教えてください。 | ||||||||
|
投稿日時: 2004-05-07 13:07
# そこへのアクセスは試みておりませんが
1. アクセスした先のサイトで、そこへやってきたアクセス元が悪質な プロキシサーバであるかどうかということをチェックしている 2. アクセスした先のサイトが悪質で、踏み台として使えるとか情報を 盗み出せるとかの状態のサイト(すでにバックドアを開けられて いるPCなど)を探している のどちらかではないかと。 # たとえば、IRCのサーバなんかが上記1のチェックをやってますな。 回避策は... 「そこへアクセスしない」 これくらいしか無いかと。 [ メッセージ編集済み 編集者: ぽんす 編集日時 2004-05-07 13:09 ] | ||||||||
|
投稿日時: 2004-05-08 02:00
> 2004-04-23 11:30:16 system-alert-00016: Port scan has been detected!
> From 202.13.240.107/80 to 210.168.xxx.xx/1886, protocol TCP (i/f untrust) > > ・宛先のポート番号が変わって複数発生します。 > ・202.13.240.107 が表示させたHPです。 > ・210.168.xxx.xx がルーターです。 の情報だけ見ると、単にhttpの下りパケットに反応ように見えます。 NetScreen はあまり知らないのですが、警告レベルが高すぎるのではないでしょうか? #ipsec箱だし… > 1. アクセスした先のサイトで、そこへやってきたアクセス元が悪質な > プロキシサーバであるかどうかということをチェックしている だとすると、警告に出る宛先ポート番号は、http proxyによく使われる8080/tcpやsocksの1080/tcpになるかと思います。IRCサーバやSMTPサーバの中にはsocksの他にもIDENTの113/tcpに接続を試みるものもあります。#obsoleteですが…たまにそれが原因で遅くなったりする。 | ||||||||
|
投稿日時: 2004-05-08 23:09
私は「あまり」どころか、全く知らないのですが... うーん、いつも発生するのではなくて一部のサイトだけで発生するという 話ですので接続開始要求のログだろうと想像していたのですが、実は フラグの遷移がちょっと変に見えるときにログに残っているとか、 そういうことなんでしょうか? だとすると、特に問題無さそうですね。
squid のデフォルト設定のポート(3128)もよく来ますよ 
ていうか、「いかにも」なポートをざーっとぜんぶ。 | ||||||||
|
投稿日時: 2004-05-09 01:40
こんばんわ.
自分もほとんど良くわかりませんが,「下りパケット」って > From 202.13.240.107/80 to 210.168.xxx.xx/1886, protocol TCP (i/f untrust) このように「見える」のでしょうか? 「警告レベル」というのもちょっと... NetScreen って statefull ですよね?自分も仕事で何度か関わったことがありますが, ※ transeparent mode で使うことが多いですけど... 「下りパケット」でこのような logging は記憶にありません. | ||||||||
|
投稿日時: 2004-05-09 13:26
ルータのない環境から、そのウェブにアクセスして、
パケットキャプチャするのが一番手っ取り早い気がします。 | ||||||||
|
投稿日時: 2008-05-12 14:47
はじめまして。まさにこの現象が発生しており、原因を現在調査中です。
この問題は解決したのでしょうかね...。 是非何かアドバイスを頂きたく、状況を追加で質問させて下さい。 現時点の推測として、 1.NetScreen側の誤検知? 2.NetScreen OS側の不具合?(NetScreen OS:5.2.0)バージョンアップで直る? 3.相手側WWWサーバー側の不具合? 仕組みの問題? と考えています。 ここでは、202.13.240.107 を表示させただけでポートスキャンの警告が出るという 事でしたが、約4年が経過した現時点では改善されているではないか思います。 私の環境でやってみても、そのような警告は出ませんでした。 そう考えると、相手側 WWWサーバーの仕組みに問題があるの?と思ったりします。 私の場合は相手側 203.141.60.30 なんですよね。何回やっても警告が出ます。 通信中のパケットをキャプチャーし、知識がない中でよく分からない状況ながらも 特に変なものはないように感じました。(単に、気がついていないだけかも。) | ||||||||
1
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。