今日、朝の１０時から１２時くらいまで、３０回近く、ポート１３５へアクセスがありました。アクセスがあると、ファイアーウオールが警告を発するので、ワープロ作業が何回も中断され、いらいらしてます。

もー、モデムの電源を落としちゃおうかと思ってるくらいです。

それにしても、イッツコムからのアクセスが多いんですよね−。

> 今日、朝の１０時から１２時くらいまで、３０回近く、ポート１３５
> へアクセスがありました。アクセスがあると、ファイアーウオールが
> 警告を発するので、ワープロ作業が何回も中断され、いらいらしてます。

甘い甘い (^_^)。かっとびFTTHは旧246netのドメインに属するのですが，
昨日未明から，61.xxx.xxx.xxxからのアクセスが，平均して数分に２件
ずつ届いています。

> それにしても、イッツコムからのアクセスが多いんですよね−。

これはBlasterの特性によります。同じSubnet MaskのIP Addressが一番
生成しやすくなるようなアルゴリズムになっているようです。件の
61.xxx.xxx.xxxは，Subnet Maskの設定が255.0.0.0になっていることが
多いようで(iTSCOMもそうです。本当は255.255.255.0ずつ区切られてい
るのですけれど・・・)，その結果としてわんさか届く状態にあります。
たまぁに2xx.xxx.xxx.xxxなどから届きますが，数は非常に少ないです。

私の場合はFirewallではなくてBroadband RouterのMasquerade部分で
discardされているため，syslogに残る程度ですんでいます(SuperOPT-90)。
GateLock X200の方は，どこにも何も残っていません。良いのか悪いのか・・・

それにしても，やはりGlobal Addressの世界に直結して，なおかつPersonal
FirewalllもAnti-virusも何も使っていない，更にはセキュリティパッチを
あてていないユーザが非常に多いと言うことなのでしょうね。ユーザの無知
を憂うべきなのか，メーカー(Microsoft)の怠慢を憂うべきなのか，はたま
た他人の無知を利用してまでもMicrosoftを批判しようとしているサイバー
テロリストを憂うべきなのか，迷うところです。

# 8/16以降になると，Blasterが一斉にwindowsupdate.comに対してSYN
# flood(いわゆるDoS攻撃)を仕掛けるらしい。また，Blasterのコード内
# には，Bill Gatesに宛てた批判の文章が入っているらしい

[参考]
　http://www.npa.go.jp/blaster/rpcworm.htm
　http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.A
　http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.blaster.worm.html

ま、負けました。数分に２件もですか。そこまでは、まだ、なっていません。

とここまで書いたら、いま、ファイアウオールの警告がでました。
このメールを書き終わるまでに、もう一回くらい、あるかな。。。

イッツコムからのアクセスが多い理由、有難うございました。
なんか、病気にかかると、自分のＩＰ番号に近い人に感染させようと
するんですね。

俺はモデム、ＰＣ直結ですが、ＰＣ１台でも、ブロードバンドルータってつかえるんですか？　つまり、モデムとＰＣのあいだにブロードバンドルータって取り付けられるんですか？　よかったら教えてください。

> それにしても，やはりGlobal Addressの世界に直結して，なおかつPersonal
> FirewalllもAnti-virusも何も使っていない，更にはセキュリティパッチを
> あてていないユーザが非常に多いと言うことなのでしょうね。ユーザの無知
> を憂うべきなのか，メーカー(Microsoft)の怠慢を憂うべきなのか，はたま
> た他人の無知を利用してまでもMicrosoftを批判しようとしているサイバー
> テロリストを憂うべきなのか，迷うところです。
なんか、問題がよく整理されていて、好きですね、この文章。永久保存晩で印刷してとっておくことにしました。俺なんか、もー、マイクロソフトに頭にきゃってます。なんか、６月だか、７月にも、致命的な欠陥とかの問題がありましたよね。またか、またか、そして、またまた、またか、くらいに受け止めてます。


> > 今日、朝の１０時から１２時くらいまで、３０回近く、ポート１３５
> > へアクセスがありました。アクセスがあると、ファイアーウオールが
> > 警告を発するので、ワープロ作業が何回も中断され、いらいらしてます。
>
> 甘い甘い (^_^)。かっとびFTTHは旧246netのドメインに属するのですが，
> 昨日未明から，61.xxx.xxx.xxxからのアクセスが，平均して数分に２件
> ずつ届いています。
>
> > それにしても、イッツコムからのアクセスが多いんですよね−。
>
> これはBlasterの特性によります。同じSubnet MaskのIP Addressが一番
> 生成しやすくなるようなアルゴリズムになっているようです。件の
> 61.xxx.xxx.xxxは，Subnet Maskの設定が255.0.0.0になっていることが
> 多いようで(iTSCOMもそうです。本当は255.255.255.0ずつ区切られてい
> るのですけれど・・・)，その結果としてわんさか届く状態にあります。
> たまぁに2xx.xxx.xxx.xxxなどから届きますが，数は非常に少ないです。
>
> 私の場合はFirewallではなくてBroadband RouterのMasquerade部分で
> discardされているため，syslogに残る程度ですんでいます(SuperOPT-90)。
> GateLock X200の方は，どこにも何も残っていません。良いのか悪いのか・・・
>
> それにしても，やはりGlobal Addressの世界に直結して，なおかつPersonal
> FirewalllもAnti-virusも何も使っていない，更にはセキュリティパッチを
> あてていないユーザが非常に多いと言うことなのでしょうね。ユーザの無知
> を憂うべきなのか，メーカー(Microsoft)の怠慢を憂うべきなのか，はたま
> た他人の無知を利用してまでもMicrosoftを批判しようとしているサイバー
> テロリストを憂うべきなのか，迷うところです。
>
> # 8/16以降になると，Blasterが一斉にwindowsupdate.comに対してSYN
> # flood(いわゆるDoS攻撃)を仕掛けるらしい。また，Blasterのコード内
> # には，Bill Gatesに宛てた批判の文章が入っているらしい
>
> [参考]
> 　http://www.npa.go.jp/blaster/rpcworm.htm
> 　http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.A
> 　http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.blaster.worm.html

> 俺はモデム、ＰＣ直結ですが、ＰＣ１台でも、ブロードバンドルータって
> つかえるんですか？　つまり、モデムとＰＣのあいだにブロードバンドルー
> タって取り付けられるんですか？　よかったら教えてください。

全く問題なくできますよ。FTTHに移行するまで３ヶ月ほど，今使っている
ルータを利用していました。私のはマイクロリサーチのSuperOPT90という
機種です。

http://www.mrl.co.jp/catalog/nw/mr-nwgopt90.htm

これは安定かつ高速で，「通」に人気のあった機種ですが，既に「旧機種」
のイメージがあります。マイクロリサーチからは新型はまだ出ていません
が，仕様自体が他のルータに見劣りしています。現在はNTT-MEのBA8000 PRO
と言う機種が非常に評判が良いようです。

http://www.ntt-me.co.jp/bar/ba8kp_index.html

この機種もそうですが，最近のルータはローカル側にHUBを積んでいるの
で，１台でも（大抵は）４台でもつながります。Cable MODEM側はDHCP
クライアントに，ローカル側はDHCPサーバに設定すれば，今までどおり
の使い勝手でいけると思います。ただしネットワークゲームなどを楽し
まれている場合には，必要なポートの転送(マスカレード機能を使う)
しなければなりません。メッセンジャーなどについては，UPnP機能が
あるので，設定には苦労しないでしょう。
ただ，当分FTTHへの移行を考えないのであれば，もっと安い機種，それ
こそ数千円で買えるルータで充分だと思います。スループットにして
50-60Mbps程度のものを買っておけば，仮にかっとびワイドでも，実使用
の20-30Mbpsを十分にこなしてくれると思います。
ただし，Firewallの設定などに凝り始めると，スループットに影響する
可能性はあります。

実は，そろそろルータを買い換えようかと思っています。上にも書いた
ように，SuperOPT90は仕様的に古い面があって，Bフレッツ　ニューファ
ミリーの２セッション同時接続に対応できていません。また，設定変更
の度にルータをリブートしなくてはならないという点も使い勝手を悪く
しています。と言うことで，現在，物色中です。


> なんか、問題がよく整理されていて、好きですね、この文章。永久保存
> 晩で印刷してとっておくことにしました。

そんなにヨイショしないでください (^_^;

田辺さん、有難うございました。俺も不正進入防止のために、ブロードバンドルータを使うことにしました。使ったことがないんで、せっかく説明してくれたのに、ＤＨＣＰクライアントとか、UPnP機能とか、わかんないですが、まずは自分で買って使ってみることにしました。はじめから、高機能のものを買うと宝の持ち腐れになるし、当面はカットビワイドでＦＴＴＨにすしないので、アドバイスとおり、数千円クラスのにします。
またわかんないことがあったら、教えてくださいね。

こんにちわ。はじめて書き込みします。かっとびワイドにはいっています。
Windows2000を使用しています。ウィルスに関してパッチなどをあてて
一段落と思っていた矢先のこと。
PCの電源を入れてないのに、ケーブルモデム（SAMSUNG)のRCVランプが
異常な点滅を続けているので、TA（AirStation）のログを見てみると
ポート135と80に対して1分に1-2回アクセスされています。
内部のIPアドレスもありますし、外部もさまざまです。
ネットワークゲームは切れるし、昔のかっとびプラスのほうが断然早い
ような体感になっているのですが、ケーブルモデムへアタックされている
この状態は、自分ではどうしようもできないのでしょうか？

　我が家も同様な状況です。
　恐らく「Nachi」だと思います。AirStationのパケットフィルタで、
ICMPをドロップしてやるとポート135と80へのアクセスは減るはずです。
　　http://www.zdnet.co.jp/enterprise/0308/20/epn03.html

　ただし、ケーブルモデムのRCVランプが激しく点滅するのは、別の要因
じゃないかと思います。少し調べてみたところ、DNSサーバから５秒毎に
パケットが飛んできます。プライマリとセカンダリからですので、１分間
に24回ということになります。
　これが正常なのかと気になっていたところなので書いてみました。詳し
い方のアドバイスが戴ければと思います。

> こんにちわ。はじめて書き込みします。かっとびワイドにはいっています。
> Windows2000を使用しています。ウィルスに関してパッチなどをあてて
> 一段落と思っていた矢先のこと。
> PCの電源を入れてないのに、ケーブルモデム（SAMSUNG)のRCVランプが
> 異常な点滅を続けているので、TA（AirStation）のログを見てみると
> ポート135と80に対して1分に1-2回アクセスされています。
> 内部のIPアドレスもありますし、外部もさまざまです。
> ネットワークゲームは切れるし、昔のかっとびプラスのほうが断然早い
> ような体感になっているのですが、ケーブルモデムへアタックされている
> この状態は、自分ではどうしようもできないのでしょうか？

> ICMPをドロップしてやるとポート135と80へのアクセスは減るはずです。

先にZephさんが書かれていらしたのですね。同じ内容の文章を書いて
しまいました。失礼。

> じゃないかと思います。少し調べてみたところ、DNSサーバから５秒毎に
> パケットが飛んできます。プライマリとセカンダリからですので、

何が飛んでくるんですか？ident？FTTHの環境には来ないようです
が・・・

> 何が飛んでくるんですか？ident？FTTHの環境には来ないようです
> が・・・

　ルータ(AirStation)で全てのパケットをdropし、そのログからそのように
書きましたが、今追試したしたところ、異なった結果になりました。

前回 -> itscom.netのプライマリ及びセカンダリDNSのアドレスから各5秒毎
に。
今回 -> catv.co.jpの時のプライマリDNSサーバから10秒毎に。

　でもそのパケットの内容まではわかりませんでした。
　次にできることは、全てのパケットをLinuxホストに転送し、etherealで
キャプチャすることくらいですが、何を見ればよろしいでしょうか。

　ここに投稿するのは初めてではないんですが、前回の投稿からエラーに
なってしまいます。

　ブラウザの設定のせいでしょか。でもちゃんと投稿はできているんです。

返信おそくなりすみませんでした。
ありがとうございます。今、WAN(インターネット)ICMPを拒否に
してみました。ログを見ると
1分間にICMPフィルタと6回、135ポートが7回、80ポートが5回
出力されました。
Airstationのログ出力の時間が正しいとすると、最初に書き込みした
ときよりも増えているような気がするのですが...。
このうち6回はフィルタリングされているということでしょうか。

> 　我が家も同様な状況です。
> 　恐らく「Nachi」だと思います。AirStationのパケットフィルタで、
> ICMPをドロップしてやるとポート135と80へのアクセスは減るはずです。
> 　　http://www.zdnet.co.jp/enterprise/0308/20/epn03.html

> 返信おそくなりすみませんでした。
> ありがとうございます。今、WAN(インターネット)ICMPを拒否に
> してみました。

拒否ですか？「破棄」はないですか？攻撃側からその存在がばれ
ないようにするためには，応答要求に対してどんな応答(拒否も
含めて)も返してはいけません。Zephさんがおっしゃっている
「drop」は，まさにこのことです。多分，そう言う設定があると
思うのですが・・・

ありがとうございます。
拒否以外に無視というのがありました。こちらが「drop」にあたるものと
思われます。設定して様子みてみます。

> 拒否ですか？「破棄」はないですか？攻撃側からその存在がばれ
> ないようにするためには，応答要求に対してどんな応答(拒否も
> 含めて)も返してはいけません。Zephさんがおっしゃっている
> 「drop」は，まさにこのことです。多分，そう言う設定があると
> 思うのですが・・・

30分くらい様子見ました。
ポート80に関しては全くでなくなりました。
ポート135に関しては5回になり、極端に減りました。
ご指摘、ありがとうございました。

> ありがとうございます。
> 拒否以外に無視というのがありました。こちらが「drop」にあたるものと
> 思われます。設定して様子みてみます。
>
> > 拒否ですか？「破棄」はないですか？攻撃側からその存在がばれ
> > ないようにするためには，応答要求に対してどんな応答(拒否も
> > 含めて)も返してはいけません。Zephさんがおっしゃっている
> > 「drop」は，まさにこのことです。多分，そう言う設定があると
> > 思うのですが・・・

> 30分くらい様子見ました。
> ポート80に関しては全くでなくなりました。
> ポート135に関しては5回になり、極端に減りました。

蛇足になりますが，残っているTCP Port135へのアクセスは，おそ
らく何らかの理由で生き残ったオリジナルのMS.BLASTだと思いま
す。たとえば，「TCP Port135をふさげ！」と言われて入り方向を
塞いだのだけれどその時点で既にMS.BLASTに感染していて，逆に
MS.BLAST.Dを防御してしまったとかで駆逐されずにいるものではな
いかと推測できます。本来は出方向も塞ぐ必要があるのですけれ
ど・・・

# Internet越しにDCOMを使うなんて事は怖くてあり得ないと思い
# ます

　わかりにくくて済みませんでした。
　私も AirStation を使っているので正確に書くべきでした。ドロップと
書いたのは「無視」することでした。

> ありがとうございます。
> 拒否以外に無視というのがありました。こちらが「drop」にあたるものと
> 思われます。設定して様子みてみます。

ケーブルモデム（SAMSUNG)だけの状態（PCへの線をはずす）にしても点滅
しているのでLEDランプの不良かなとも思いましたが、サポートへ問い合
わせした結果以下の回答がきました。

「また、RCVの高速点滅につきましては、お客様側から原因不明の接続要求
が大量に発生し、その要求元が不明なためセンターモデムが接続要求を返信
していることによります。
こちらにつきましては、接続要求自体を停止するすることは全通信を遮断
することになること、またインターネット接続等、通常の通信には支障が
ないことから、経過観察を行なっております。」
とのことです。ケーブルモデムが何か発信している？不明です。

> 　ただし、ケーブルモデムのRCVランプが激しく点滅するのは、別の要因
> じゃないかと思います。少し調べてみたところ、DNSサーバから５秒毎に
> パケットが飛んできます。プライマリとセカンダリからですので、１分間
> に24回ということになります。
> 　これが正常なのかと気になっていたところなので書いてみました。詳し
> い方のアドバイスが戴ければと思います。

　こんにちは。

　なんだか良くわからない回答なのですが、具体的なパケットの名称
などが書かれていないと、技術的な解析ができる方にとってはかえっ
て意味不明になってしまいますね。

　ある特定製品の場合ですが、こんな事象の例もあるのですが。ただ
し、今回の例に該当しているかどうかは不明かと思います。

　参考ＵＲＬ
http://www.corega.co.jp/support/important/wlap11_fw455j.htm

　竹内＠ふじみ野.東上 

こんにちは。

うちも同様な現象が見られたのでちょっと調べてみました。

30秒間のネットワークキャプチャで346個のパケットを記録。内訳は、

自分のPCからの送受が47パケット(DNSが44パケット、あとはwindowsが出したもの)
どなたかのDHCPが1パケット、残りの298個の発信先は*.*.*.254となっているの
でルータだと思われ、プロトコルはARPとなっていました。
なぜそんなにARPが飛びまくるのかは自分にはわかりません。
LANにお詳しい方の登場を願いたいです。


それと、もしRCVの高速点滅とともにSNDも高速点滅していれば、下記も納得
できますがPCの電源がOFFの状態でもそうなるのであれば、サポートからの回
答は間違いじゃないかなと思います。

> ケーブルモデム（SAMSUNG)だけの状態（PCへの線をはずす）にしても点滅
> しているのでLEDランプの不良かなとも思いましたが、サポートへ問い合
> わせした結果以下の回答がきました。
>
> 「また、RCVの高速点滅につきましては、お客様側から原因不明の接続要求
> が大量に発生し、その要求元が不明なためセンターモデムが接続要求を返信
> していることによります。
> こちらにつきましては、接続要求自体を停止するすることは全通信を遮断
> することになること、またインターネット接続等、通常の通信には支障が
> ないことから、経過観察を行なっております。」
> とのことです。ケーブルモデムが何か発信している？不明です。
>
> > 　ただし、ケーブルモデムのRCVランプが激しく点滅するのは、別の要因
> > じゃないかと思います。少し調べてみたところ、DNSサーバから５秒毎に
> > パケットが飛んできます。プライマリとセカンダリからですので、１分間
> > に24回ということになります。
> > 　これが正常なのかと気になっていたところなので書いてみました。詳し
> > い方のアドバイスが戴ければと思います。

routerからのARPだったらブロードキャストだから、RCVのみの点滅は理解できます。

> でルータだと思われ、プロトコルはARPとなっていました。
> なぜそんなにARPが飛びまくるのかは自分にはわかりません。
> LANにお詳しい方の登場を願いたいです。
>
>
> それと、もしRCVの高速点滅とともにSNDも高速点滅していれば、下記も納得
> できますがPCの電源がOFFの状態でもそうなるのであれば、サポートからの回
> 答は間違いじゃないかなと思います。
>
> > ケーブルモデム（SAMSUNG)だけの状態（PCへの線をはずす）にしても点滅
> > しているのでLEDランプの不良かなとも思いましたが、サポートへ問い合
> > わせした結果以下の回答がきました。
> >
> > 「また、RCVの高速点滅につきましては、お客様側から原因不明の接続要求
> > が大量に発生し、その要求元が不明なためセンターモデムが接続要求を返信
> > していることによります。
> > こちらにつきましては、接続要求自体を停止するすることは全通信を遮断
> > することになること、またインターネット接続等、通常の通信には支障が
> > ないことから、経過観察を行なっております。」
> > とのことです。ケーブルモデムが何か発信している？不明です。
> >
> > > 　ただし、ケーブルモデムのRCVランプが激しく点滅するのは、別の要因
> > > じゃないかと思います。少し調べてみたところ、DNSサーバから５秒毎に
> > > パケットが飛んできます。プライマリとセカンダリからですので、１分間
> > > に24回ということになります。
> > > 　これが正常なのかと気になっていたところなので書いてみました。詳し
> > > い方のアドバイスが戴ければと思います。

こんにちは。

> routerからのARPだったらブロードキャストだから、RCVのみの点滅は理解できます。

それくらいでしたら私にも理解できます。

ただ、ログをもう少し見たところ、
あるルータから同じPCのIPを30秒の中で３回探しているときもあり
どうしてそんなことをしているんだろう(当然CISCOのルータにも
ARPテーブルって存在しますよね？）という疑問がわきました。

> > でルータだと思われ、プロトコルはARPとなっていました。
> > なぜそんなにARPが飛びまくるのかは自分にはわかりません。
> > LANにお詳しい方の登場を願いたいです。
> >
> >
> > それと、もしRCVの高速点滅とともにSNDも高速点滅していれば、下記も納得
> > できますがPCの電源がOFFの状態でもそうなるのであれば、サポートからの回
> > 答は間違いじゃないかなと思います。
> >
> > > ケーブルモデム（SAMSUNG)だけの状態（PCへの線をはずす）にしても点滅
> > > しているのでLEDランプの不良かなとも思いましたが、サポートへ問い合
> > > わせした結果以下の回答がきました。
> > >
> > > 「また、RCVの高速点滅につきましては、お客様側から原因不明の接続要求
> > > が大量に発生し、その要求元が不明なためセンターモデムが接続要求を返信
> > > していることによります。
> > > こちらにつきましては、接続要求自体を停止するすることは全通信を遮断
> > > することになること、またインターネット接続等、通常の通信には支障が
> > > ないことから、経過観察を行なっております。」
> > > とのことです。ケーブルモデムが何か発信している？不明です。
> > >
> > > > 　ただし、ケーブルモデムのRCVランプが激しく点滅するのは、別の要因
> > > > じゃないかと思います。少し調べてみたところ、DNSサーバから５秒毎に
> > > > パケットが飛んできます。プライマリとセカンダリからですので、１分間
> > > > に24回ということになります。
> > > > 　これが正常なのかと気になっていたところなので書いてみました。詳し
> > > > い方のアドバイスが戴ければと思います。

> ただ、ログをもう少し見たところ、
> あるルータから同じPCのIPを30秒の中で３回探しているときもあり
> どうしてそんなことをしているんだろう(当然CISCOのルータにも
> ARPテーブルって存在しますよね？）という疑問がわきました。

そのIPアドレスが利用されていなかった為スキャン毎にMAC
アドレスの照会が繰り返された。か、余りにも広範囲なスキャ
ンが行われていたのでARPテーブルがオーバーフローし、キャッ
シュが効いていない。かな？

> 異常な点滅を続けているので、TA（AirStation）のログを見てみると

「TA(Terminal Adapter)」->「Broadband Router」ですね？前者は
基本的にはISDN回線用の製品，後者は名前の通りです。

> ポート135と80に対して1分に1-2回アクセスされています。

AirStationはICMP Echo Request，いわゆるpingに対して応答しな
いような設定には出来ませんか？本来，pingへの応答がなければ
おそらくMS.BLAST.D(Nachi)からのPort80へのアクセスはなくなる
と思います。先刻，Broadband Router(MN8300)を一時的にpingに
応答する設定にしたところ，TCP Port80へのアクセスが来るように
なりました。

> ネットワークゲームは切れるし、昔のかっとびプラスのほうが断然早い
> ような体感になっているのですが、ケーブルモデムへアタックされている
> この状態は、自分ではどうしようもできないのでしょうか？

攻撃とレスポンスは関係ないように思います。むしろ，ネットワー
ク設定などが現在の環境に最適化されていないと言う可能性の方が
高いように思います。

回答ありがとうございます。出張していて返信遅くなりました。すみません。
> 「TA(Terminal Adapter)」->「Broadband Router」ですね？前者は
> 基本的にはISDN回線用の製品，後者は名前の通りです。
間違えていました。「Broadband Router」です。

前述のZephさんへの回答のようにやってみたのですが、80へのアクセスも
ログにでています。
だんだん減っていくといいのですが。

> 攻撃とレスポンスは関係ないように思います。むしろ，ネットワー
> ク設定などが現在の環境に最適化されていないと言う可能性の方が
> 高いように思います。
攻撃とレスポンスは関係ないとすると、全体的にネットワーク負荷が
高くなっているということでしょうか。
または、設定によっては以前のようなスループットをとりもどせるのか。
昔から2000ですし、ゲームでチームをくんでも自分だけラグでついて
いけないような今の状態は、ここ2年くらいではじめてなので、てっきり、攻撃のせいだと思って書き込みしました。
なんとか解決できるといいのですが。