- PR -

なぞのパケットがプライベートLAN内を行き来する。

1
投稿者投稿内容
H2
ぬし
会議室デビュー日: 2001/09/06
投稿数: 586
お住まい・勤務地: 港
投稿日時: 2002-04-02 09:25
久しぶりの書き込みです。いろいろと事情があって、ここにこれませんでした。我が家のADSLプロバイダーが突然ダウンロード制限なるものを付け加えてしまい、月3GBを超えるダウンロードには1MBあたり17セントという横暴な超過料金を取られることになったのです。私を含めて4人で共有してるので一月3GBなんてすぐ使ってしまいます・・・。しかも、友人の一人ががんがんなんかいろいろとダウンロードしたおかげで、3月上旬中に3GBを使い切ってしまい来月の超過料金請求がめちゃくちゃ怖いです・・・。というわけで、ずーとインターネット無しの生活と誰がどのくらいインターネットを使用してるいるかというダウンロードメーターを構築してたわけなんです。

前置きが長くなりました。で、不思議なのはトラフィック監視サーバがいくつもの"あってはならない"パケットを検出するのです。
今現在、我が家のネットワークは
コード:
  ルータ兼ADSLモデム
   192.168.0.1/29
       |
       |
   192.168.0.6/29
 ファイルサーバ兼トラフィック監視サーバ
   192.168.0.17/28
       |
       |
   安物のハブ
       |
  |---+----+---|
  |   |    |   |
  |   |    |   |
  ■  ■    ■  ■ 
各自パソコン(固定プライベートIPアドレス 192.168.0.16/28)


という感じになっています。真中のファイルサーバ兼トラフィック監視サーバはLinuxです。
パケットフィルタのiptablesがFORWARDするすべてのパケットをログに書き出すので、それを拾って各自IPアドレスに振り分け、誰がどのくらいダウンロードしているのかを割り出します。

サーバを通るすべてのパケットは、

  • 192.168.0.16/28⇔192.168.0.16/28
  • 192.168.0.16/28⇔192.168.0.0/29
  • 192.168.0.16/28⇔グローバルアドレス(インターネット)

のはずです。ところが、友人のパソコン(Win98)が立ち上がっていると、トラフィック監視サーバが出すログにはグローバルアドレス⇔グローバルアドレスがぽこぽこ出てくるのです。(このPCが立ち上がっていないと症状はあらわれない)しかも、何もしていないのに勝手にアップロードやダウンロードをしてるのです。

"あってはならない"パケットが発生するのはおそらくウィルス・トロイの木馬に感染しているのではないかと思います。今は彼のPCからのパケットは全部遮断しています。原因がわかり次第、また書き込みしますね。ほー、こういう事って本当にあるんだぁって感心してしまいました(←思いっきり他人事)
ひぐち おさむ
大ベテラン
会議室デビュー日: 2001/07/26
投稿数: 108
お住まい・勤務地: 東京都在住
投稿日時: 2002-04-03 01:09
お。おひさしぶりです。

引用:

というわけで、ずーとインターネット無しの生活と誰がどのくらいインターネットを使用してるいるかというダウンロードメーターを構築してたわけなんです。

なんだか、切ないなぁ

引用:

ところが、友人のパソコン(Win98)が立ち上がっていると、トラフィック監視サーバが出すログにはグローバルアドレス⇔グローバルアドレスがぽこぽこ出てくるのです。(このPCが立ち上がっていないと症状はあらわれない)しかも、何もしていないのに勝手にアップロードやダウンロードをしてるのです。

例によって、論理的根拠のない動物的な勘ですが、その Win 98 な機械には Napster/Gnutella 方面のファイル共有ソフトをインストール{して|したことが}あったりしませんか?
_________________
ひぐち おさむ
[Disclaimer] この書き込みは私個人の見解を記述したものです。私が所属・関与する法人・団体の意見を代表・代弁するものではありません。
H2
ぬし
会議室デビュー日: 2001/09/06
投稿数: 586
お住まい・勤務地: 港
投稿日時: 2002-04-03 12:13
引用:

例によって、論理的根拠のない動物的な勘ですが、その Win 98 な機械には Napster/Gnutella 方面のファイル共有ソフトをインストール{して|したことが}あったりしませんか?


確かにありましたね。僕も最初Gnutellaがいかんのかと思いアンインストールしました。他にもよくわからない宣伝プログラムや怪しいプログラムも全部消したのですが、やっぱりなぞパケットがぴょこぴょこと出てくるので、Noton Antivirusでウィルスチェックもしたところ、やっぱりウィルスがいました。2種類いて、両方ともワーム系統のようです。今は検疫とやらに隔離されなぞパケットはなくなりました。

それにしても、ここまで野放しにしてるパソコンも怖いですねぇ。というか、起動するたびに「怪しい」宣伝がぽこぽこでてくる段階で気付けって思いますが。
ひぐち おさむ
大ベテラン
会議室デビュー日: 2001/07/26
投稿数: 108
お住まい・勤務地: 東京都在住
投稿日時: 2002-04-05 00:21
こんばんは。東京は、ものすごい強風が吹いています
引用:

僕も最初Gnutellaがいかんのかと思いアンインストールしました。他にもよくわからない宣伝プログラムや怪しいプログラムも全部消したのですが、

そうそう。Gnutella 方面のソフトについてくる Spyware がくさいかなーと、感じたのでした。しかし……
引用:

やっぱりなぞパケットがぴょこぴょこと出てくるので、Noton Antivirusでウィルスチェックもしたところ、やっぱりウィルスがいました。2種類いて、両方ともワーム系統のようです。

直球でしたね
引用:

というか、起動するたびに「怪しい」宣伝がぽこぽこでてくる段階で気付けって思いますが。

Spyware 以前の問題でしたか……
ユーザー的には「そういうものだ」と思っていたんでしょうかね。ちょっと「目からうろこ」。
_________________
ひぐち おさむ
[Disclaimer] この書き込みは私個人の見解を記述したものです。私が所属・関与する法人・団体の意見を代表・代弁するものではありません。
1

スキルアップ/キャリアアップ(JOB@IT)