こんにちはゲストさん。会員登録(無料)して質問・回答してみよう!

解決済みの質問

DHCPのリースログに変なmacアドレスが入る。

バッファローのBLR3-TX4を使用して
パソコン3台、ハブ1台でインターネットをしています。

以前からルータのDHCPのリースログに家では使用していないmacアドレス(4代目のパソコン)が出てきました。
32:ff:b9:*:*:*
82:FC:40:*:*:*
00:0B:97:*:*:*

など、上2つは偽装したものと思われるのですが、

1.これってパスワードがばれてしまっているのでしょうか?

2.パスワードは変えてみましたが、この場合、考えられる被害ってどういうものでしょう?
共有フォルダの内容などだけで済むでしょうか?(NetBEUIで共有しています)

3.パスワードを変えるしか、方法はないでしょうか。

4.あと、このルータはIDを替えることができないので、他の物に変えた方が良いでしょうか?

5.ハブにもmacが振られていてるのでしょうか?

そもそもどうやってこんなことをしているのか、理屈もわからないので、防御のしようがありません。

解らない事ばかりですが、よろしくお願いします。

投稿日時 - 2005-05-12 17:36:23

QNo.1383240

困ってます

質問者が選んだベストアンサー

> >>CATV だとなぜ「ブロックする」にできないのですか?
>
> この設定項目が具体的に何をするものか私には解りませんが、「ブロックする」にするとHPの閲覧ができなくなってしまいます。
> BLR3-TX4 がローカルアドレスに使われるIP番号すべてを無視してしまうために、CATV側のLANに参加できないのかな?と推測しています。

(「ローカル」ではなく「プライベート」ですよね。) なるほど。するとやはり No.15 に書いた「プライベート IP …… DHCP …… BLR3-TX4 の IP spoofing ブロックの仕様 …… IP アドレスを取得できない」ということかもしれませんね。

> >>推定される原因
>
> WAN側のDHCPクライアントというのは、具体的には、CATVの機器や、他ユーザの機器(モデム直結パソコン)などを指すのでしょうか?

そうです。他ユーザの機器にはモデム直結パソコンだけでなくモデムに繋いだルータも含みますが。

> 自分はそういった外側のDHCPクライアントというのは、まずCATVの用意するルータに繋がっているものと考えていたのですが、普通に有り得ることでしょうか?

CATV の屋舎内のルータに繋がっているのは当然のことなのですが(そうでないと外界=the Internet に出られませんよね。)、ご質問の趣旨は CATV 屋舎内の機器や他ユーザの機器が IP 的に同じネットワーク内に在るというのが一般的なことなのかということですね。

特殊というか、何も考えていないプロバイダでないと、そんなネットワーク構成にはしていないと思います。

No.13 で Pesuko さんが「CATV使用なら、LAN配線になっているから、遊び半分のアタックは大量に着ますよ。」と仰っていますが、それは CATV では他ユーザの機器が IP 的に同じネットワーク内に在るというのが一般的ということを言っているのかもしれませんね。(CATV 会社には何も考えていないところが多いということ? 少し前まではたしか Yahoo!BB がそういうネットワーク構成で批判を浴びていたように記憶しています。)

> それから「確認方法」で教えてくださったことは、休みの日に一度試してみたいですが、どのように検証したら良いでしょうか?(^^;
> 「外パソコン ← ルータ ← 内パソコン」
> として、内パソコンから状態を確認すれば良いでしょうか?

「内パソコン」は繋いでも繋がなくてもいいです。「外パソコン」で ipconfig /all でもしてみて下さい。ああ、ルータのログは「内パソコン」からでないと見られないかもしれないですね。

No.15 で「ルータの WAN 側 IP アドレスを手動設定する(例:192.168.1.1(255.255.255.0))。」と書きましたが、ルータの LAN 側 とは別のネットワークになるようにご注意下さい。(同じネットワークにはそもそも設定できないかもしれませんが。) また、ルータの DHCP サーバはもちろん on に。

投稿日時 - 2005-05-17 12:16:35

お礼

なかなか時間がとれませんで、すいませんでした。
教えていただいた方法で試してみましたが、DHCPの割り当てはもらえませんでした。

どうも手詰まりになってきましたが、皆さんからいただいた情報によって、自分の中で曖昧だったものがはっきりした物になったりと、やはりココで質問してみて良かったです。

しばらくは、パスワード管理とログのチェック、共有フォルダは一時的に利用するのみにして、再発するようでしたら、DHCP機能をOFFにするか、ルータの買い替えも考えてみようと思います。

相談に乗っていただいた皆様全員に感謝致します。
本当にありがとうございました。

投稿日時 - 2005-05-25 10:44:54

このQ&Aは役に立ちましたか?

5人が「このQ&Aが役に立った」と投票しています

回答(16)

ANo.15

これまでの質問と回答で得られていることを(勝手に)整理しますね。

Q. LAN 内の機器のものではない MAC アドレスが、ルータの DHCP のリースログにある。WAN 側からの何らかの攻撃でこのようなことが起こるか?

A. なぜそんなことになっているのかわからない。LAN 側に何かを繋がない限り、(ルータのバグでもなければ)そんなことは起こらない。

で、少し確認させて頂きたいのですが、

> 設定画面をみていて気づいたのですが、「アタックブロック」の項目で「IP Spoofing」をブロックするというのがあります
> が、よくよく調べてみると今回はこの攻撃を受けたのでしょうか?
> そう仮定すると、うちはCATVでこの項目を「ブロックする」にできないため、ちょっと困りますが。。。

CATV だとなぜ「ブロックする」にできないのですか? プライベート IP アドレスを割り当てるプロバイダ(CATV に限らない。)を利用している場合、BLR3-TX4 の WAN 側 IP アドレスを DHCP で自動取得にしていると、BLR3-TX4 の IP spoofing ブロックの仕様により、DHCP の通信が IP spoofing だとみなされ WAN 側 IP アドレスを取得できない、という話ですか?

なお、今回の現象の理由が IP spoofing であるとは思われません。

> 仮に自分のLANが 192.168.0.1~ でしたら
> 「WAN(インターネット)、 無視、 ----、 送信元IPアドレス192.168.0.0/24 、全て」
> という設定でも問題ないでしょうか?
> こちらから見えるケーブル側の割り当ては、違う番号の系列になっています。

「こちらから見えるケーブル側の割り当て」の意味がわからないのですが、おっしゃる設定で問題ないはずです。ただし、これで今回の現象が起こらなくなるというわけではありません。問題ないというのは、今まで通りインターネットを利用できるという意味です。

> 例えばトロイのような物が私のパソコンに入っていれば、今回のようにローカルエリア内の一員になるなことが可能なのでしょうか?(なりすましパソコン?、なりすましnic?)
> そうすることでどんな利益があるか見当がつきませんが。^^;

可能だと思います。

最後に、今回の現象の原因を推定します。

推定される原因: ルータの WAN 側に DHCP のクライアントが存在する。その WAN 側からの IP アドレス割り当て要求に対し BLR3-TX4 が割り当てを行ってしまった。いわば BLR3-TX4 の(ひどい)バグ。
確認方法: CATV の設備(モデム?)からルータを切り離し、ルータの WAN 側 IP アドレスを手動設定する(例:192.168.1.1(255.255.255.0))。IP アドレス自動取得に設定した PC をルータの WAN 側に繋ぐ。

でも、この推定があっていたら CATV の他のユーザに迷惑がかかっていることになりますね。

投稿日時 - 2005-05-16 14:39:30

補足

今まで慌てて言葉足らずな箇所が多かったことに気づきました。ちょっと補足します。

・リースログにあった3つのmacアドレスは、ここ2,3年の間に起こったことで、頻度としては1年に一件(見つけただけで、ですが)。

・前2件のmacアドレスは普通には有り得ないもので、偽装したもの(だろうこと)

・そのたびにパスワードを変えただけでDHCP機能はそのままでしたが、すぐさま同じことが起こった事はなかった。
(ルータがハッキングされていたのであれば、リースログを消すのはボタン一つですので、簡単な事だと思われますが・・。)

・現在、またDHCP機能ONにしてみましたが、今のところ変なリースはしていない。

投稿日時 - 2005-05-17 04:23:48

お礼

具体的なご回答ありがとうございます。

>>CATV だとなぜ「ブロックする」にできないのですか?

この設定項目が具体的に何をするものか私には解りませんが、「ブロックする」にするとHPの閲覧ができなくなってしまいます。
BLR3-TX4 がローカルアドレスに使われるIP番号すべてを無視してしまうために、CATV側のLANに参加できないのかな?と推測しています。
そこで「WAN側IPアドレス」に表示されているIPとかち合わない、192.168.0.0/24(自LAN内で使う番号)だけを無視する設定はどうかと考えました。

>>「こちらから見えるケーブル側の割り当て」の意味がわからないのですが、

ルータの「WAN側IPアドレス」の意味で書きました。
ケーブルと書いたのはCATVのことです。紛らわしい書き方をしてしまいました。

>>推定される原因

WAN側のDHCPクライアントというのは、具体的には、CATVの機器や、他ユーザの機器(モデム直結パソコン)などを指すのでしょうか?
自分はそういった外側のDHCPクライアントというのは、まずCATVの用意するルータに繋がっているものと考えていたのですが、普通に有り得ることでしょうか?

それから「確認方法」で教えてくださったことは、休みの日に一度試してみたいですが、どのように検証したら良いでしょうか?(^^;
ルータの外にパソコンをつないだ経験がないもので、、、申し訳ありません。

「外パソコン ← ルータ ← 内パソコン」
として、内パソコンから状態を確認すれば良いでしょうか?

投稿日時 - 2005-05-17 04:27:51

ANo.14

#9さんへ

リピータHUBは単純に全てのポートへ転送する

スイッチングHUBの場合、Ethernetヘッダーのあて先MACアドレスとアドレス管理テーブルから転送先ポートを判断し、そのポートへ転送する
あて先不明とブロードキャストは全ポートへ転送します
エラーデータは転送しないで破棄する

と言うことでしょうか

投稿日時 - 2005-05-15 11:32:04

ANo.13

>IP Spoofing
IP Spoofingの説明。
http://www.ipa.go.jp/security/fy12/contents/crack/soho/soho/chap1/ipspoof.html


(2) IP Spoofingの原理のところにある図でアタッカーが最初にする
「ダミーの接続で初期シーケンス番号を要求」してきても、
「WANからの接続を無視」にしておけば、何も反応がないから対応できなくなるのです。

相手が通常その前にPINGで使用アドレスをサーチしてきますが、「無視」するので、使用しているかどうかもわからないのです。

ですから必ず「WANから何か要求があったら無視する」にしておくべきなのです。

CATV使用なら、LAN配線になっているから、遊び半分のアタックは大量に着ますよ。

投稿日時 - 2005-05-14 15:50:58

お礼

ありがとうございます。
仮に自分のLANが 192.168.0.1~ でしたら
「WAN(インターネット)、 無視、 ----、 送信元IPアドレス192.168.0.0/24 、全て」
という設定でも問題ないでしょうか?
こちらから見えるケーブル側の割り当ては、違う番号の系列になっています。

ご指摘を無視するようで申し訳ないのですが、以前から「動作」のところには「wan」「無視」が表示された状態でやられたものですから、心配で。f^^;

投稿日時 - 2005-05-14 19:17:30

ANo.12

>設定画面ではセレクトボックスで「WAN(インターネット)」と「無視」するという表示になっていますが、何をか設定するためには「宛先IPアドレス」「送信元IPアドレス」「プロトコル」などを入力しなければならないのではないでしょうか?

無いもいらないです。
WANから何か要求があったら無視する(返事しない)設定です。


拒否する=アタッカーに拒否信号が帰る
許可する=許可されます
無視する=拒否信号も帰らないから、アタックが有効なのかも解らないのです。

投稿日時 - 2005-05-13 19:51:17

お礼

「動作」のところに「WAN(インターネット)」と「無視」出ていればOKと言う事でしょうか。知りませんでした。

設定画面をみていて気づいたのですが、「アタックブロック」の項目で「IP Spoofing」をブロックするというのがありますが、よくよく調べてみると今回はこの攻撃を受けたのでしょうか?

そう仮定すると、うちはCATVでこの項目を「ブロックする」にできないため、ちょっと困りますが。。。
ありがとうございました!

投稿日時 - 2005-05-13 21:00:43

ANo.11

NetEnumを試してみたらどうでしょうか。


http://www.forest.impress.co.jp/lib/inet/servernt/netanlz/netenum.html

インストールした後、「ファイル」→「検索」を選択して、「MACアドレス取得」にチェックを入れて「検索」をクリック。

投稿日時 - 2005-05-13 17:42:08

お礼

便利なツールですね。
「windowsネットワークが認識しているホストの列挙」では自機しか出て来ないのですが、これはNetBEUIで共有しているからでしょうか?(なんか違う気がしますが^^;pingでやるとホスト名不明で列挙されます。)
面白そうなので、もう少しいじってみます。
ありがとうございました!

投稿日時 - 2005-05-13 20:52:48

ANo.10

大変申し訳ないことをしてしまいました。
kind-jokeさん、mii-japannさん ごめんなさい。
先の発言を撤回するとともにお詫びいたします。
勉強しなおします。

投稿日時 - 2005-05-13 16:21:59

お礼

いえ、話に乗って頂いて感謝しています。
ここで質問する前は、ひとりで考えて煮詰まってしまうだけでしたから。

引き続きアドバイスいただけたら嬉しいです。
よろしくお願いします。

投稿日時 - 2005-05-13 16:52:50

ANo.9

#8さんへ

単に中継するだけといってもEthernetヘッダーの情報を参照しながら通信を行ってるんですよ。わかってます ?

投稿日時 - 2005-05-13 16:04:28

補足

混乱させて申し訳ないです。
メーカーHPです。
http://www.corega.co.jp/support/faq/search/faqR576.htm
私の使っている機種もここに入っています。

投稿日時 - 2005-05-13 16:07:44

ANo.8

#7の方へ

HUBにMACアドレスは必ずしも必要ではありません

MACアドレスを必要とするのは、そのポートを持っている機器そのものとデータの送受信を行いたい場合です

HUBは(スイッチングHUBを含めて)HUBそのものとのデータの送受信は行いません、単にデータを中継するだけです、ですから、MACアドレスが無くても動作します

インテリジェントHUBで、HUBに固有の設定を行うことやlogその他のデータが見られる機能がある場合、その機能を利用するためにMACアドレスが付与されています、IPアドレスを設定することができるものもあります

なお、余談ですがMACアドレス変更できるものもあります(MACアドレスにもIPアドレスのプライベートアドレスに相当するものがあります)
10年位前のNICはほとんどがMACアドレス変更が可能でした(近頃のは知りません)

投稿日時 - 2005-05-13 15:31:52

補足

例えばトロイのような物が私のパソコンに入っていれば、今回のようにローカルエリア内の一員になるなことが可能なのでしょうか?(なりすましパソコン?、なりすましnic?)

そうすることでどんな利益があるか見当がつきませんが。^^;

投稿日時 - 2005-05-13 16:09:06

ANo.7

まずですね、「5.ハブにもmacが振られていてるのでしょうか?」の文章がおかしいです。プライベートIPを割り振るのであって、MACアドレスを割り振るわけではないです。MACアドレスは機器一台一台にユニーク(一意)になってるので変更できないです。IPアドレスとMACアドレスの対応付けが可変になってるだけです。
Ethernet内ではMACアドレスによって最終的な通信相手を判断してます。ハブも当然MACアドレスを持ってます。持ってないという人やあやふやな事を言う人がいますが間違いです。もし、持っていないというのであれば、ハブを経由した通信は確立しないということになってしまいます。従って、MACアドレスは全部で4つ。なんら問題ありません。具体的に何か被害等が生じたのでしょうか。個々の機器のMACアドレスを知りたいのであれば、「GET MAC」コマンドを使ってください。

投稿日時 - 2005-05-13 14:55:56

補足

ネットワーク系の知識が乏しい物で申し訳ありません。
#8さんがフォローしていただいている通りですが、getmacコマンドは自分のOS(XP home) にはないようです。
有用なコマンドは残しておいてもらいたいものですが。^^

投稿日時 - 2005-05-13 15:29:18

ANo.6

#5の方へ

ルータ経由でアクセスの場合、MACアドレスはルータのアドレスになります

よほどおかしな設定を行わない限り、WAN側へはアドレス割当を行うことはありません

DHCPサーバで割当が行われたと言うことは、その対象はLAN側(無線LANを含む)です

kind_joke さんへ

当該のHUBはMACアドレスは持っていないと思います

IPアドレスのリースログにはIPアドレスも記載されているはずですから、そのアドレスへpingしてみたら・・・

投稿日時 - 2005-05-13 14:10:07

お礼

ありがとうございます。
ちょうどHPでHUBの情報を見ていたところでした。^^;

昨日発見した時点でpingを打ってみたのですが、
time out でした。
現在、パスワードを変えてDHCPも一時的に切っていますのでリースログからも消えています。

投稿日時 - 2005-05-13 14:51:57

ANo.5

> 以前からルータのDHCPのリースログに家では使用していないmacアドレスが出てきました。
> 仕事柄、外から来るパソコンがたまにありますのでDHCP機能は使いたいです。

リースログにある怪しいmacアドレスが、上記の「外から来るパソコン」のものではない事は確認済みなのでしょうか?

投稿日時 - 2005-05-13 11:28:43

補足

ありがとうございます。
それは確認しています。

CoregaのHPで確認してみたところ、使用しているHUBにmacアドレスはないようでした。

投稿日時 - 2005-05-13 14:08:42

ANo.4

DHCPで割当を受けるのはPCのみとは限りません

無線LANを使用していますか ?

有線LANのみでしたら、そのサブネット内にIPアドレス割当を受ける装置が接続されています

それからMACアドレスの前半の3オクテットはNICメーカの割当であることはご存知ですね

インテリジェント機能を持ったHUBならばMACアドレスを持つものがあります

投稿日時 - 2005-05-12 22:13:47

お礼

ありがとうございます。
無線は使ってないです。
ハブはcoregaのFSW-5PAという物で、安売りのスイッチングハブです。(2,3000円だったと思います)

現在、手動設定でパソコンのみを登録し、DHCP機能を切った状態で問題なく動いているので、このハブはmacアドレスを持っていないと考えても宜しいのでしょうか。。?

コマンドか何かで確かめられると良いのですが。

投稿日時 - 2005-05-12 23:15:29

ANo.3

>ケーブルもささずにこちらのLAN内にパソコンを入れる事ができるものでしょうか?


失礼 上記について先ほど少しキツク書きすぎたのと
私が貴方の言いたい事を誤解したようです。

まず、本当に他の誰かがDHCPでIPを取得しているかを確認するべきです。

たとえばプリンターをLAN内で共有してませんか?
MACアドレスがわかるならIPも解りますよね。
ローカルIPですか?

投稿日時 - 2005-05-12 21:59:20

補足

自分も少し慌ててまして、支離滅裂な文章になってしまいました。申し訳ありません。

投稿日時 - 2005-05-12 23:17:12

お礼

専門的な知識がなくて申し訳ないです。
ネットワーク構成は、
CATVでインターネットをしており、モデムの下にルータ、その下にパソコンとハブ、ハブの下にパソコン2台です。
すべて有線LANです。

プリンタは2台ありますが共有はしていません。
どちらもUSB接続で使用しており、プリントサーバみたいな物も付けていません。

変な返答をしていましたら、ご指摘願います。すいません^^;

投稿日時 - 2005-05-12 23:07:23

ANo.2

>WAN側からの何のパケットを無視する設定にしたら良いでしょうか

本当に設定画面を見ていたら、この質問が出るはずないのですが。

「WAN」側からのパケットを「無視」する
これ以外言いようがないのです。

>ケーブルもささずにこちらのLAN内にパソコンを入れる事ができるものでしょうか?

何か誤解してませんか?
全世界とつながっているから貴方はインターネット出来るのです。


>それから、家にあるパソコンは手動設定してありますが、
仕事柄、外から来るパソコンがたまにありますのでDHCP機能は使いたいです。

DHCPは使用します、っていうか私そんなことかいてませんけど。

投稿日時 - 2005-05-12 21:41:13

お礼

何度もありがとうございます。
設定画面ではセレクトボックスで「WAN(インターネット)」と「無視」するという表示になっていますが、何をか設定するためには「宛先IPアドレス」「送信元IPアドレス」「プロトコル」などを入力しなければならないのではないでしょうか?
なにも設定せずに「設定」を押してもエラーがでてしまうのです。

あと誤解をさせてしまったようですが、私が所有するパソコンについては手動で設定してあります。
たまに外からパソコンを持ってきてつなぐ事があるため、1台分はDHCPを使って自動的につながるようにしています。

投稿日時 - 2005-05-12 22:53:43

ANo.1

BLR3-TX4使っています。

会社で固定IPなので一般に使われている方法より危険ですが
突破されたことはありません。

設定が間違っているものと思います。

詳細設定>拡張設定>DHCPサーバー>手動割り当て設定

IPアドレスとMACアドレスが個別に設定できるので
使用しているPCのMACを登録すれば、そのアドレス以外は接続できなくなります。



1.これってパスワードがばれてしまっているのでしょうか?
解りませんが可能性はあります

2.パスワードは変えてみましたが、この場合、考えられる被害ってどういうものでしょう?
共有フォルダの内容などだけで済むでしょうか?(NetBEUIで共有しています)

パスワードを変えた>その後どうなったのでしょう
NetBEUIで共有しています>IPで進入してきたら見えません。


3.パスワードを変えるしか、方法はないでしょうか。
「しか」ではなく、まずパスワードを変更するべきでしょう。


4.あと、このルータはIDを替えることができないので、他の物に変えた方が良いでしょうか?
パケットフィルタ>手動設定>「WAN」側からのパケットを「無視」する
になっていますか?

5.ハブにもmacが振られていてるのでしょうか?
物によります。

投稿日時 - 2005-05-12 18:29:34

補足

ご返信ありがとうございます。
入られる度にパスワードを変えており、これで3度目です。
今回から覚えることもできないパスにかえようと思っていますが、こうたびたびやられると安心できる機種にした方が良いのかと。

それから、家にあるパソコンは手動設定してありますが、
仕事柄、外から来るパソコンがたまにありますのでDHCP機能は使いたいです。
どのみちルータがハッキングされた状態ならばDHCP機能を切っても同じことのような気がしますし。

あと、4の対処ですが、WAN側からの何のパケットを無視する設定にしたら良いでしょうか?

投稿日時 - 2005-05-12 18:45:04

お礼

しかし、ルータの認証を通過できたからといって、ケーブルもささずにこちらのLAN内にパソコンを入れる事ができるものでしょうか?

パスワードをさえ変えれば済む問題なのか、心配でしたので質問いたしました。
ありがとうございました。

投稿日時 - 2005-05-12 19:31:19

あなたにオススメの質問