- - PR -
HPを表示すると80番ポートを使ったポートスキャンが発生する
1
投稿者 | 投稿内容 | ||||||||
---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2004-05-07 10:24
あるHPを表示させると、そのHPのアドレスからルーターへのアクセスが発生し、
ルーターがポートスキャンだという警告を発します。 ルーターには、NetScreenという機器を使っていますが、 そのログは、次のようなものです。 2004-04-23 11:30:16 system-alert-00016: Port scan has been detected! From 202.13.240.107/80 to 210.168.xxx.xx/1886, protocol TCP (i/f untrust) ・宛先のポート番号が変わって複数発生します。 ・202.13.240.107 が表示させたHPです。 ・210.168.xxx.xx がルーターです。 上記のHP以外でも、いくつかのHPでも同様な事が起こっています。 どのような原因で、こういったアクセスが発生するのでしょうか? 回避策などあれば教えてください。 | ||||||||
|
投稿日時: 2004-05-07 13:07
# そこへのアクセスは試みておりませんが
1. アクセスした先のサイトで、そこへやってきたアクセス元が悪質な プロキシサーバであるかどうかということをチェックしている 2. アクセスした先のサイトが悪質で、踏み台として使えるとか情報を 盗み出せるとかの状態のサイト(すでにバックドアを開けられて いるPCなど)を探している のどちらかではないかと。 # たとえば、IRCのサーバなんかが上記1のチェックをやってますな。 回避策は... 「そこへアクセスしない」 これくらいしか無いかと。 [ メッセージ編集済み 編集者: ぽんす 編集日時 2004-05-07 13:09 ] | ||||||||
|
投稿日時: 2004-05-08 02:00
> 2004-04-23 11:30:16 system-alert-00016: Port scan has been detected!
> From 202.13.240.107/80 to 210.168.xxx.xx/1886, protocol TCP (i/f untrust) > > ・宛先のポート番号が変わって複数発生します。 > ・202.13.240.107 が表示させたHPです。 > ・210.168.xxx.xx がルーターです。 の情報だけ見ると、単にhttpの下りパケットに反応ように見えます。 NetScreen はあまり知らないのですが、警告レベルが高すぎるのではないでしょうか? #ipsec箱だし… > 1. アクセスした先のサイトで、そこへやってきたアクセス元が悪質な > プロキシサーバであるかどうかということをチェックしている だとすると、警告に出る宛先ポート番号は、http proxyによく使われる8080/tcpやsocksの1080/tcpになるかと思います。IRCサーバやSMTPサーバの中にはsocksの他にもIDENTの113/tcpに接続を試みるものもあります。#obsoleteですが…たまにそれが原因で遅くなったりする。 | ||||||||
|
投稿日時: 2004-05-08 23:09
私は「あまり」どころか、全く知らないのですが... うーん、いつも発生するのではなくて一部のサイトだけで発生するという 話ですので接続開始要求のログだろうと想像していたのですが、実は フラグの遷移がちょっと変に見えるときにログに残っているとか、 そういうことなんでしょうか? だとすると、特に問題無さそうですね。
squid のデフォルト設定のポート(3128)もよく来ますよ ていうか、「いかにも」なポートをざーっとぜんぶ。 | ||||||||
|
投稿日時: 2004-05-09 01:40
こんばんわ.
自分もほとんど良くわかりませんが,「下りパケット」って > From 202.13.240.107/80 to 210.168.xxx.xx/1886, protocol TCP (i/f untrust) このように「見える」のでしょうか? 「警告レベル」というのもちょっと... NetScreen って statefull ですよね?自分も仕事で何度か関わったことがありますが, ※ transeparent mode で使うことが多いですけど... 「下りパケット」でこのような logging は記憶にありません. | ||||||||
|
投稿日時: 2004-05-09 13:26
ルータのない環境から、そのウェブにアクセスして、
パケットキャプチャするのが一番手っ取り早い気がします。 | ||||||||
|
投稿日時: 2008-05-12 14:47
はじめまして。まさにこの現象が発生しており、原因を現在調査中です。
この問題は解決したのでしょうかね...。 是非何かアドバイスを頂きたく、状況を追加で質問させて下さい。 現時点の推測として、 1.NetScreen側の誤検知? 2.NetScreen OS側の不具合?(NetScreen OS:5.2.0)バージョンアップで直る? 3.相手側WWWサーバー側の不具合? 仕組みの問題? と考えています。 ここでは、202.13.240.107 を表示させただけでポートスキャンの警告が出るという 事でしたが、約4年が経過した現時点では改善されているではないか思います。 私の環境でやってみても、そのような警告は出ませんでした。 そう考えると、相手側 WWWサーバーの仕組みに問題があるの?と思ったりします。 私の場合は相手側 203.141.60.30 なんですよね。何回やっても警告が出ます。 通信中のパケットをキャプチャーし、知識がない中でよく分からない状況ながらも 特に変なものはないように感じました。(単に、気がついていないだけかも。) |
1