こんにちはゲストさん。会員登録(無料)して質問・回答してみよう!

解決済みの質問

ハッカーはルーターのファイヤー・ウォールを通過するの?

タイトルにどうつければよいのかわからないのでこう書きましたが状況は以下のとおりです。

まずルーターのファーム・ウェアーは最新のものにしてあり、そこに複数のPCを接続してあります。
このハブ機能搭載ルーターに接続してある各PCのフォルダーには共有フォルダーを設定してあり、お互いのPC間でデータのやりとりができるようになっています。この共有フォルダーには個人的に大事なファイルなどが入れてあります。第三者に見られたら困るような仕事類のファイルなどです。

そして各PCには更にセキュリティのためにファイヤーウォール(Zone Alarmの最新版)を入れてあります。 ノートンなどの「ファイヤーウォール機能搭載のアンティ・ビールス」ではなくて、うちの場合はアンティ・ビールスとファイヤー・ウォールとふたつのプログラムを各PCに入れてあります。ファイヤー・ウォールの警告はしない設定になっています。

各PCにファイヤーウォールは要らないかな?(ルーターに既に入っているので)とも思いましたが念のために入れてあります。

ところが最近、ある日突然、この「警告をしない」設定になっているファイヤー・ウォールがいきなりアラートを出してきてなんだろう、と思ったらどこかの誰かがうちのパソコンに侵入を企んで、それをファイヤー・ウォール(ZA)がブロックした、という警告でした。

そこで慌ててZAのログを見てみたら、あるわ、あるわ、外部からのアタック・ブロックの記録が。

これらはみんなハッカーさんからではなくて、単なるポート・スキャンであろうから、そんなに心配する必要もない、ということも知っています。

--------

長くなりましたけど質問は以下の二点です。

1 ルーターのファイヤーウォールがあるのに(ルーターのポートは空けていません)なぜ、それをくぐり抜けてPCのファイヤー・ウォールまで到達することができるのでしょうか? もし、単なるポート・スキャンであればルーターのファイヤー・ウォールでブロックされてPCのファイヤー・ウォールまでは到達しないはずです。 どうしてこのようなことが起こるのでしょうか?

2 PCのZAの調子が悪かった時にPCのファイヤー・ウォールなしの状態だったことがしばらくありました。 これって・・・ 外部からのものがルーターのファイヤー・ウォールを通過してきていた、ということは、彼らは私の「共有フォルダー」に入っていた個人ファイルを見たり、盗めていたりしていた、ということでしょうか??

共有フォルダー内のものを見るには、同じグループとしてログインしないと見れないはずなのですが、ルーターを通過したら同じグループでなくても見れてしまうことは可能なのでしょうか?

なお、WindowsはUPDATEをかけて常に最新のものにしてあります。 よろしくお願いします。

投稿日時 - 2008-12-01 18:44:07

QNo.4521956

困ってます

質問者が選んだベストアンサー

No.9の回答者です。

No.9の回答でかなりのことが判明しました。後はルータの機種名がわ
かればもっと確実に回答できますが、不明なので、推測の域で回答し
ます。
-------------------------------------------------------------
Belkin製のルータにはファイアウォール機能として、UDP flood攻撃
を検知できないものがあります。さらに、パケットフィルタレベルの
検知しかできないと仮定すると、Dos攻撃の一種であるUDP flood(厳
密にはUDP frangement packet flood)攻撃を検知できなかった。また、
断片化されたfrangement packetのためUDP port情報が正しく見えな
いことによりパケットを遮断できなかった。
-------------------------------------------------------------

これがルータ上のファイアウォールを突破した理由と推測されます。

上記文中のUDP frangement packet floodについての簡単な説明は参
考URLをご覧ください。

UDP flood攻撃を検知するルータもありますので、質問者様のルータが
対応製品であれば上記は誤りですので、その時はご容赦ください。

参考URL:http://jvnrss.ise.chuo-u.ac.jp/csn/index.cgi?p=%A3%B1%A3%B2%B7%EE%A4%CEDDoS

投稿日時 - 2008-12-03 19:42:37

お礼

ありがとうございます。 この直ぐしたのお方にも書いたのですが、このお二人の回答がまさに、私が知りたかったこと、の理由です。

ここまではっきりと書かれますと「たしかに!」と納得します。 まさにこのような回答をお待ちしておりました。 ありがとうございました。

最後に・・・ すみません、当方よりの質問2についてもご考察いただけますともう、思い残すことはないのですが。 あまえついでに申し訳ございません。 でも本当にこういう簡単明快・明瞭な回答を最初から待っておりました。 ありがたく思います。

投稿日時 - 2008-12-04 03:52:12

ANo.14

このQ&Aは役に立ちましたか?

12人が「このQ&Aが役に立った」と投票しています

回答(16)

ANo.16

No.9,No.14の回答をした者です。

ご懸念の2の共有フォルダー内のファイルの見たのか?盗んだのか?という問題についてですが、限りなく0だと思います。

今回はルータ上のファイアウォールの脆弱性を利用して、PCに対してUDPでポートスキャンしただけだと思います。

もしPC内にアクセスをできるようになっていれば、ポートスキャンを続けてはいないでしょう。足跡をいつまでも残しているとは考えにくいです。あるとしたらボットプログラムやバックドアプログラムをPC内に仕込ませるのが次のステップです。

質問者様は既にスパイウェアやトロイの木馬系の検知を終えて、異常がなかったことから、ボットプログラムやバックドアプログラムが無いといえます。

クラッカーが侵入プログラム+手動コマンドを駆使して苦労してPCやサーバに侵入するケースはあらかじめ侵入するサーバが重要データがあるとわかっている時だけです。

クラッカーにとって金になるような大事なデータがあるかどうかわからないPCやサーバに対しては、侵入プログラムやボットプログラムを使うだけです。手動でケースバイケースに応じた対応をとるような苦労はしないでしょうね。

投稿日時 - 2008-12-04 18:20:57

お礼

これで本当にすっきりしました。本当にありがとうございました。私としてはこの質問に対して最後にいただいた回答4つ(お二人からいただいた回答2つずつ)、全てに「最大のお礼」をしたいのですが、最高2つまでしかお礼ができません。ですのでいろいろと考えてこのようなお礼の形とさせていただきましたが、本心は甲乙つけがたいし、どちらが上、という意味ではありません。私の知らないことをこのように、ご親切に詳しく教えていただき、本当にありがたく思っております。本当に今回は、superside0さん、dora7075さんのお二人に心よりお礼申し上げます。本当にありがとうございました。

投稿日時 - 2008-12-05 01:16:30

ANo.15

一般論ですが、
ファームウェアが最新=告知されたすべての問題が解決
ではないので、注意です。
ハード的な制約でファームでは解決できない問題もありますし
解決するために犠牲になる機能があるとそれとのトレードオフもありますし
エンジニアの技量の問題もありますから。
また、メーカーからは告知されてないが、知られているセキュリティーホールもあります。
(Windowsアップデートしても100%安全でないのと同様です)

漏洩の可能性ですが
ZoneAlarmでのレポートを信じるならばUDPによる攻撃のみなので
古いbind(DNS)を使っているなどがなければ、
これでWindowsにボット感染させたり、直接ファイルを取り出されるという
可能性はかなり低いと思われます。
(ボット感染経路はそれだけではないですが)

ただし、これ以外のアタックや侵入が過去になかったかというと
それについては不明です。
たとえば、ルータの管理画面に外部侵入できる問題があるいうことであれば、
なんでもありになりますし、その痕跡をルータのログから消すことも出来ます。

投稿日時 - 2008-12-04 09:09:33

お礼

ありがとうございました。これで知りたかったことが全てわかりました。本当にありがとうございました。

確かにかなりの一般の人が想像できないようなハイスキル(アメリカの国防省に入り込んでしまえるような)の方だったら、かなり、なんでもあり・・・ 勝手に進入して、痕跡まで消して、もありかもしれません。ですので絶対になにもない、とは思えないのですけど、一般論として、という形だけでもこのような、理由、及びそれによっての結論「かなり低いと思われる」をいただき、本当にありがたく思います。

昔、もう7年ほど前、まだダイヤルアップをしていた頃。当然、その頃はまだFWの必要性などは知らず、アンティ・ビールスだけを入れていたのですが、ある時、FWの誤動作が原因でFWを切って数時間ネットに接続していた事がありました。 そしてなんと! 数時間後、またFWを入れて、たまたまウィルス・スキャンをかけたら・・・ 共有フォルダーにビールスを仕込まれていました! という実体験をしたこともあります。 信じられませんが本当にそのようなことがありました。

ですので今回、このような質問もさせていただいたわけです。 本当にありがとうございました。

投稿日時 - 2008-12-05 01:13:19

ANo.13

ルータのログでは、実際に外部からのアクセスがあるようですね。
もしかして、NAT/NAPTのテーブルがいつまでも生き残っていて、それを通じて、ICMPとUDPがフィルタリングされずに、内部に転送されているとか、
そういうことがおきているのかもしれません。
(どういう現象がおきているのかまでは分からないですが、クラッキングというよりルータの機能的な問題のような気がします。想像ですが)

ルータの型番が分かりませんが、以下のセキュリティー情報がありました。
(いまのファームでどれが対策済みなのかまでは、探してませんが)

・Belkin F5D7230-4ルータは、細工されたリクエストを送信されることが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にDNSサーバ設定を修正される可能性がある。
・Belkin F5D7632-4 Routerは、細工されたHTTPポストリクエストを送ることでセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアドミニストレーションのインタフェースにアクセスされる可能性がある。
・Belkin G Plus MIMO Router F5D9230は、SaveCfgFile.cgiの認証プロセスが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にルータへ不正アクセスされ設定情報を変更される可能性がある
・Belkin Wireless G Router F5D7230-4は、SYNパケットを適切に取り扱わないことが原因でDos攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデバイス上の利用可能な全てのリソースを消費される可能性がある。
・Belkin製のF5D7232-4およびF5D7230-4無線ルータは、Webアドミニストレーションインタフェースの認証プロセスが原因で無許可のアクセスを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にルータの設定を変更される可能性がある。
・Belkin製の「belkin54g」無線ルータシリーズは、空のパスワードによってデバイスのWeb管理インタフェースにアクセスされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアドミニストレーションアクセスを実行される可能性がある。
・Belkin G Plus Routerは、アドミニストレーションWebインタフェースがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
・Belkin 54G(F5D7130)無線ルータは、セキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に機密情報を奪取される可能性がある。
・Belkin製のF5D7232-4およびF5D7230-4無線ルータは、Webアドミニストレーションインタフェースの認証プロセスが原因で無許可のアクセスを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にルータの設定を変更される可能性がある。


試しに、別のルータにして実験してみると
絞り込めるのではと。

投稿日時 - 2008-12-03 15:27:42

お礼

ありがとうございます。
ここにルーターの機種名をわざと書いていないのには理由があるのですが、その理由についてはご勘弁ください。

おそらく、お書きになられたことが理由かもしれませんし、私もそれを疑っていました。 ただ、当方の使用している機種は既に発売されて数年は経つ機種であり、その間にファーム・ウェアがアップデートされたことはありますが、その最新のものを使用していたのにも関わらずこのようなことが起こったので、???というものだったのです。

確かにこれは理由としてはルーターのFWにセキュリティ・ホールがあり、そこを通過してPCまで入り込んできた、というのが(私もそうではないのかと思ってはいたのですが、確証はありませんでした。よって、今回、この質問として出させていただいた次第です)、このお書きになられたセキュリティ項目を拝見して、そうではないかと強く思うようになりました。 本当にありがとうございました。 とても参考になりました。

そうなると・・・ というか、そこまでの技術をもつ人間なら(日本語で書かれたファイルがなにか、はわからないにしても)質問2である、「共有ファイル内のものをZAがかかっていなかった時に見たりコピーしたりすることはできたのでしょうか? という質問の回答としては・・・「ありえるかもしれない」となりますでしょうか?

それさえわかればすっきりとするのですが。 お忙しいところ、大変申し訳ございませんがこの点についてもご教授いただけますとさいわいに思います。 よろしくお願いします。

投稿日時 - 2008-12-04 03:48:29

ANo.12

> 12/01/2008 22:48:07 **UDP flood** 219.78.186.79, 16616->> 192.168.1.2, 21643 (from ATM1 Inbound)

このルータ、ATMのインタフェースを持っていて、その回線経由でInternetにつながっているんですよね?
そうなると確かに内部からではなく外部から21643/UDPにアクセスがあったというログに見えます
ルータの機種名がわからないので何とも言えませんが、ルータのファイヤウォールの機能が単純な静的パケットフィルタリングではない気がします

投稿日時 - 2008-12-02 21:46:53

お礼

はい、サポートしているプロトコルはPPPoE PPPoA Multiple Protocols over ATMですのでご指摘の通りです。

でもルーターの設定にはきちんと「通過を許可する」という欄があり、サーバーなどはTCP UDP TCP&UDPから選択できるようになっています。 今回お尋ねしているものはなにも許可を与えていません(全てのPCは192.168.から始まる固定IPを与えています)。

今までルーターのFWを信じていましたので(XPのFWは信じていませんでしたが)かなりショックです。 というか、XPのFWだってぼろくそに言われてはいますが、あれは「外部から遮断するけど内部から外部への通信は遮断しない」ということでぼろくそに言われているだけで、外部からかかってきた通信についてはきちんと動作する、と認識しています。 ですので今回のルーターのFWも外部からの通信はきちんと処理してくれていたものだと思っていたのに、それを飛び越えて入ってきている? そんなことがほんとうにあるの? ということを知りたかったのです。

ついでに入って来ていたということは、ZAがなかったときに私の共有フォルダーのものを見られたり持ち出されていたりしたの? ということも、です。 どんなものでしょうか?

投稿日時 - 2008-12-02 23:58:23

ANo.11

ルータにはファイヤーヲールがあるので
ハッカーはそれを通過できません。

しかし、外国のアメリカとかイギリスとか
中国とかのグローバルIPアドレスでアクセスがあり
ノートPCのZoneAlarmがそれをBlockしたログ記録
があるわけですね?

グローバルIPアドレスは、ある程度調べることはできたような。。。。

投稿日時 - 2008-12-02 21:16:33

お礼

当方からの質問をよく読んでください。 他のみなさんへの追伸もよく読んでから書き込んでください。

当方の質問はルーターのFWを通過した、という事実が現実として発生した、どうしてそんなことが起こるの? ということを問い掛けています。 あなたの体験談である「ハッカーは通過できません」が、私の現実問題として起きて驚いた、、という記録も下にあげています。 その証拠に下にルーターの記録他、いろいろと挙げているのに全く御覧になっていないのでしょうか?

なにも読まれないで、これまた全然関係ないグローバルIPの調べ方、といったことは今回の質問には関係ありませんし、そのようなことは当方は一切、尋ねてはおりません。質問はあくまで1と2だけです。

GIPの調べ方は複数知っていますし、ZAの警告を出した時の(ZAの普通のブロックでは効かず、ZAが警告まで発したというのは先にも後にもそれ一回だけです)そのかなり入り込んできたときの相手は、複数の追跡手段を使って調べた結果、カナダ東海岸部の小さな街からだった、というところまでも突き止めています。 しかしそのようなことは今回の質問には一切関係ありませんので割愛しております。

投稿日時 - 2008-12-03 00:07:52

ANo.10

なんで噛みつかれてるのか、よく分からないですが・・・

TCPとちがってUDPはコネクションレス型の通信なので、
IPアドレス情報だけでは、送信元が確定できないのです。

例えば・・・
LAN内のある端末(PCに限らず)にブラウザやメールやアタックで侵入されて、ワームが仕込まれた。
ワームはネットワークにUDPのクエリを投げて次の踏み台を探す。
このとき、クエリの戻し先の指定となるパケットヘッダの送信元IPアドレスは、
踏み台リスト回収サーバーである外部IPアドレスとしている。

これで、ZoneAlarmの送信元IPアドレスをみる限りは、
「外部からのアタック」に見えてしまいます。
(あくまでも例えばで、確実に内部感染しているということではありません)

ルータに侵入されるかどうかの件は可能性は0%ではないですが、
折角侵入できたのに、ICMPとUDPだけというのが、奇妙です。
仮に、ルータに侵入されたのであれば、情報漏洩の可能性はあります。
ただし、ルータやファイル共有から侵入されていなくても、ボッドに感染させれば同じことは可能です。

投稿日時 - 2008-12-02 13:52:50

補足

ありがとうございます。
まず、すぐ下の方に回答させていただきましたので、ここに更に詳しい情報を掲載しましたのでご確認いただけますか?


いろいろと失礼をば・・・・
(ここには「いろいろなひと」がいるのでその類の方かと思いました。 ごめんね)

投稿日時 - 2008-12-02 20:27:34

ANo.9

情報不足のため、推測で判断することになりますので、あらかじめお断りしておきます。

情報不足と言いましたのは、質問者様が「外部からのアクセス」だと言われていますが、その根拠は何を元にされたものでしょうか?他の質問者の方もそれがはっきりしないため、内部からの信号だと推測されているのです。

ログのグローバルアドレスについては
66.177.97.63:アメリカ合衆国
83.73.54.114:デンマーク
99.248.104.126:カナダのトロント
と各国からのアクセス(と思われる)だとわかります。

このログの時刻情報がなければはっきりとは言えませんが、特定の外部の人が集中してクラッキングしようとした場合、各地から1個人のPCを狙い撃ちにした可能性は低いでしょう。

しかし、各地に分散してあるボットPCに上記情報を吸い上げようとした可能性は残ります。

質問者は外部からルータ上の簡易ファイヤウォールを越えてアクセスしたことを懸念されていますが、現時点で最もあやしいのは、
ボット、スパイウェアが一時的に侵入したことです。つまり内部に何か感染し、あたかも外部からアクセスしたように振舞っている可能性があります。

次に懸念されるのが、ルータ上の簡易ファイヤウォールの情報の書き換えですが、Zone Alarmのログ情報からこの可能性は0だと思われます(ルータのファイヤウォール情報を書き換えられていれば、Zone Alarmにもっとログが残っているでしょう)

質問者様の不正ログが書き出された前後のルータ上の簡易ファイヤウォールのログがあるともう少し絞りこめると思います。

また、最初にも書きましたが、質問者様が「外部からのアクセス」だと思われた根拠があれば補足願います。それとルータの機種名を教えていただけませんか?

投稿日時 - 2008-12-02 11:40:07

補足

ありがとうございます。
ZAについてはログの書き出しができませんでしたので、ルータの記録のみ、いかに貼り付けたいと思います。

12/02/2008 11:11:15 192.168.1.2 login success
12/02/2008 09:40:53 NTP Date/Time updated.
12/02/2008 03:40:53 NTP Date/Time updated.
12/01/2008 22:48:09 **UDP Flood Stop** (from ATM1 Inbound)
12/01/2008 22:48:07 **UDP flood** 219.78.186.79, 16616->> 192.168.1.2, 21643 (from ATM1 Inbound)
12/01/2008 22:48:07 **UDP flood** 192.168.1.2, 3555->> 193.70.152.15, 53 (from ATM1 Outbound)
12/01/2008 22:48:06 **UDP flood** 85.55.18.123, 13663->> 192.168.1.2, 21643 (from ATM1 Inbound)
12/01/2008 22:48:06 **UDP flood** 192.168.1.2, 3548->> 193.70.152.15, 53 (from ATM1 Outbound)
12/01/2008 22:48:06 **UDP flood** 122.118.8.214, 9653->> 192.168.1.2, 21643 (from ATM1 Inbound)
12/01/2008 22:48:06 **UDP flood** 212.214.188.78, 25072->> 192.168.1.2, 21643 (from ATM1 Inbound)
12/01/2008 22:48:06 **UDP flood** 218.175.73.94, 21232->> 192.168.1.2, 21643 (from ATM1 Inbound)
12/01/2008 22:48:05 **UDP flood** 89.174.32.1, 24684->> 192.168.1.2, 21643 (from ATM1 Inbound)
12/01/2008 22:48:05 **UDP flood** 118.171.87.120, 14224->> 192.168.1.2, 21643 (from ATM1 Inbound)
12/01/2008 22:48:05 **UDP flood** 192.168.1.2, 3544->> 193.70.152.15, 53 (from ATM1 Outbound)
12/01/2008 22:48:05 **UDP flood** 201.172.225.4, 27299->> 192.168.1.2, 21643 (from ATM1 Inbound)
12/01/2008 22:48:05 **UDP flood** 81.227.3.231, 13275->> 192.168.1.2, 21643 (from ATM1 Inbound)
12/01/2008 22:48:05 **UDP flood** 124.156.100.116, 41317->> 192.168.1.2, 21643 (from ATM1 Inbound)
12/01/2008 22:48:05 **UDP flood** 68.81.107.79, 62433->> 192.168.1.2, 21643 (from ATM1 Inbound)
12/01/2008 22:48:04 **UDP flood** 121.115.207.77, 22314->> 192.168.1.2, 21643 (from ATM1 Inbound)
12/01/2008 22:48:04 **UDP flood** 192.168.1.2, 3539->> 193.70.152.15, 53 (from ATM1 Outbound)
12/01/2008 22:48:03 **UDP flood** 77.249.111.88, 21592->> 192.168.1.2, 21643 (from ATM1 Inbound)

ルーターの種類ですが、BELKINというアメリカのメーカーのものです。

アンティ・ビールスプログラム(NOD)でビールスの確認、及びSpybot Adaware AVG Anti-Spyware の3種においてスパイプログラムの検査は完了してあり、外部と内部と繋がっていることはないのは確認しています。
(実際にはまだあと数種類のアンティ・スパイプログラムでも確認しています)

上記のように、外部からのアタックは基本的にルーターのFWでブロックされている・・・ はずなのですが(現にこれ以降の記録が入っていない)、今時点でZAを見ましたところ12/2にもかなりのブロックが記録されています。

サンプル
プロトコルUDP 発信元IP 96.252.36.187:20026 送信先IP 192.168.1.8 外部から ブロック1 で、ここに発信元のDNSが書いてありますが長いので割愛

UDP 発信元IP 61.171.119.103:18166 以下略
UDP 発信元IP 24.67.49.47:7723 以下略

などになっています。 昨日は「生IP」とも書きましたが、今の(今日はぬアタックが少ない)停まっている記録を見た限り、上記のようにいろいろなポートから発信されています。

外部からのアクセス、の根拠はZAの記録で外部からのアタックをブロック、と出ていて発信もとのDNSもわかるものは書かれているから、です。 またZAは内部からの通信はその旨、出ますので外部から、と内部から、ではきちんと違いがわかるようになっているためです。

まだ必要な情報がありましたらお知らせできる範囲でさせていただきたいと思います。

投稿日時 - 2008-12-02 20:11:03

ANo.8

ログに挙げていた3種類の通信について。

>ICMP (種類:3 / サブタイプ1)
>ICMP (種類:3 / サブタイプ3)
以上2つは、ICMPによる「Destination Unreachable」エラー通知なので気にする必要はありません。

「Destination Unreachable」とは、「あなたのPCが通信しようとしている相手先はいませんよ」と相手先や見知らぬルータがお知らせしてくれる親切なエラー通知です。

>UDP 発信人99.248.104.126:52281 宛先192.168.1.8:21643
注意が必要なのはコレですが、もしかしたら全く問題無いかもしれません。さて、全く「問題無い場合のシナリオ」とは如何なるものなのでしょう?

僕が想像する「問題無い場合のシナリオ」は以下のようなものです。
 元々はPC上でとあるアプリが上記の通信を行っていました。
 あなたはそのアプリを終了させました。
 なんと、ここでZoneAlarmとルータとでFWの動作に食い違いが発生してしまったのです。
 その原因は、ZoneAlarmとルータが「一度許可した上記通信の遮断を開始するタイミングの違い」。

では、何故、遮断を開始するタイミングに違いが発生してしまうのでしょうか?タイミングの違いに対する両者の主張は次の通り。
 ....ZoneAlarmの主張.......
 ZoneAlarmは、上記通信を行っていたアプリが終了した瞬間、FWで上記通信の遮断を開始します。ZoneAlarmは、PC上でアプリが終了する瞬間を把握できますから!!
 ....ルータの主張.......
 ルータは最後のUDP通信から180秒経過後にFWで上記通信の遮断を開始します。だって、ルータには、アプリが終了したのか、通信が停滞しているだけなのか、判断がつきませんから…

こんな違いがZoneAlarmとルータとの間で存在した場合
 問1:アプリ終了から180秒間はZoneAlarmとルータのFWの許可/遮断ルールはそれぞれ、どのようになっているでしょう?
 問2:通信の相手先があなたのPC上でアプリが終了したことを検知せず、「返事してくれよ~~」的な通信を送り続けた場合、ルータのFWの許可/遮断ルールはそれぞれ、どのようになっているでしょう?

問1、問2ともに
 ZoneAlarm⇒上記UDP通信を遮断する。
 ルータ⇒上記UDP通信を許可する。
が答えです。

つまり、「全く問題が無い」のに「ZoneAlarm警告が表示される」結果となる分けです。

投稿日時 - 2008-12-02 00:57:07

補足

うーん・・・
具体的には特に通信用のソフトは入れてはいないので、ご説明はかなり近いけど、決してその通りではないけど、遠からずかな・・・という気もします。

といいますのは上記しましたように、例えば普通にネットでサイトを(断じていいますが、エロサイトではありません!)見て検索して廻っていたときに突然、ZAが外部からの進入をブロックしました、と出たことが発端です。 その時には決して特に通信用のソフトは使ってはいませんでしたし(ブラウザは除く)、このときのPCは本当に他にはなにもしないPCでした。

ところで下にサンプルとして書いた通信サンプルは別のPC(192.168.1.8)で今日、使っていたときにおきたZAのログを書き出したものです。
今日も特に通信用のソフトは使ってはいませんでしたので、どうしてルーターのFWを遮断しているのにUDPが?状態です。

いただきましたご説明でかなりわかったところもありますが、上記のようにいまいち、すっきりしない(トイレでまだ残っている感じに近い?)なのです。 お手数ですが、このような状況でも(つまり、ルーターのFWは断じて開いていない(ましてや間違えてONにしているなどはありません)状態で起こりえるものなのでしょうか?

また私の質問2に関してはいかがなものでしょうか?
ネットワークは本当によくわからない部分が多過ぎます・・・

投稿日時 - 2008-12-02 01:49:44

ANo.7

> ICMP (種類:3 / サブタイプ1) 66.177.97.63 DNS 前略comcast.net
> ICMP (種類:3 / サブタイプ3) 83.73.54.114 DNS 空白

ちなみにこのICMPはHost UnreachableとPort Unreachableですから、上記のホストにアクセスしようとして接続できなかったときに返ってくる可能性があります
http://www.atmarkit.co.jp/fnetwork/netcom/netcom01/netcom01.html

内部からか外部からかは、WiresharkなどでパケットキャプチャしてMACアドレスを見ればある程度判断ができるはず
MACアドレスが他のPCのものであれば内部から、ルータのものであれば外部からの可能性が高いでしょう

投稿日時 - 2008-12-02 00:32:41

補足

ありがとうございます。
上の方に返信とさせていただきましたが、ICMPについてはとてもよくわかりました。
とても参考になりますが、でも、なぜ、ルーターでは通過許可をしていないものがPCのFWまで入ってこられるのでしょうか?

投稿日時 - 2008-12-02 01:57:07

ANo.6

内部感染の疑いを100%否定している根拠がわかりません。
ICMPやUDPは、一歩通行の通信なのでソースIPアドレスを偽装して
パケットを投げることができますよ。

投稿日時 - 2008-12-02 00:10:43

お礼

「一般人」から「経験者」に数時間でスキルアップですか?
おみごと、です。
(最近、いろいろな意味で偽装が世間を騒がせているからねぇ・・・)

というか、全然質問1と2の回答になっていないのですが?

投稿日時 - 2008-12-02 02:03:31

ANo.5

可能性があるとすると、ルータのUPnPがonになっていて無意識のうちにポート開放しているとか

投稿日時 - 2008-12-01 23:49:26

お礼

それはありません。

投稿日時 - 2008-12-02 01:59:26

ANo.4

>UDP 発信人99.248.104.126:52281 宛先192.168.1.8:21643

IPアドレスで言うと、かなり不自然な内容です。
発信人は第三者ですが、宛先は誰でも使えるIPアドレスです。
ICMPと言えば、UNIXで言うと定番はpingのコマンドになります。
これに反応しない設定にしてはどうですか?

貴方の前述通り、第三者がネット経由でポートスキャンしてると
思いますが、ローカルIPへポートスキャンは変です。

何か感染してるのかも?

投稿日時 - 2008-12-01 22:34:10

お礼

変ですよねぇ・・
おかしいですよねえ。
でも感染していたらPCのFWは通過する、ならわかるけど、これはルーターのFWを通過した、なんですよ。

世の中、理屈では説明のつかない不思議なことがいろいろとありますから。。。 ほら、ゆうれいさんとか、いろいろと説明のつかないこともありますから。。

投稿日時 - 2008-12-02 02:06:23

ANo.3

> そこで慌ててZAのログを見てみたら、あるわ、あるわ、外部からのアタック・ブロックの記録が。

外部から、ということは具体的にどこかのグローバルIPアドレスが記録に載っていたということですか?
外部と言っているIPアドレスは255.255.255.255等だったりしませんか?
通常、ルータのファイヤウォールはポートフォーワーディング(ポート開放)の設定を行わなければ、「内部→外部は通過、外部→内部は遮断」になっていますからルータにセキュリティホール等がない限り進入されるということは通常ありえません
いずれにしろ、No.2のかたが書かれているように内部につながっているPCからのアクセスかと思います

Windows Update等の通信がルータを介して可能なのは、PCからUpdate用のサーバに(TCPの)コネクションを張り、そのコネクションの中で送受信を行うからです
Update用のサーバからPCにコネクションを張っているわけではありません

投稿日時 - 2008-12-01 20:10:10

補足

すみません。私は「技術者向け質問」ということで質問させていただきました。下の方にも返答いたしましたが、

>外部から、ということは具体的にどこかのグローバルIPアドレスが記録に載っていたということですか?
外部と言っているIPアドレスは255.255.255.255等だったりしませんか?

この程度のことはわかります(でなければ、自分で家庭内LANは引けませんし、サーバーも立てられません)し、知っています。そもそも質問には「外部から」と書いています。 外部とはすなわちグローバルIPを持つ外部からのことです。192.168.程度の問題ではありません。PC始めたばかりの能力ではありませんので、きちんと自分の知っている範囲で「ポートスキャンうんぬん」とも書いています。

>通常、ルータのファイヤウォールはポートフォーワーディング(ポート開放)の設定を行わなければ、「内部→外部は通過、外部→内部は遮断」になっていますからルータにセキュリティホール等がない限り進入されるということは通常ありえません

それがあり得ているから、わからないから、こうして「専門的な技術者集団向け質問のコーナー」でプロのみなさんにご質問させていただいております。

投稿日時 - 2008-12-01 20:51:48

ANo.2

何となくですが、現象から考えると
外部からのアタックではなく、宅内(LAN内)に感染したPCがいて
LAN内のPCにアタックしているような感じですね。

もしくは、宅内での正当なファイル共有のアクセスを
ZoneAlarm設定でアタックであると認識させるようにしてしまっているとか。

投稿日時 - 2008-12-01 19:39:35

補足

外部からのアタックの履歴が、と書いてありますが??

以下にも追加で書いてありますが、アタックは全て外部からですけど?

私は内部LANの記録かどうかさえの違いもわからない程度のと思われたのでしょうか???

投稿日時 - 2008-12-01 20:47:59

ANo.1

逆に言うと、「何故、ネット経由でWindows UPDATEができるのか?」を
考えては如何でしょうか?

1:ご自宅のPCがインターネットに接続できるのは、そのPCが
  接続要求するポート開けてるから、そのポートを利用して
  データの送受信ができます。

2:上述と同じですが、共有ホルダーにも誰にでも観られる様な
  アクセス権の設定もありますので、その設定をしてたら
  観られると思います。

とりあえず、この様な行為は、
ハッカーと言わず、クラッカーと言います。

投稿日時 - 2008-12-01 19:15:59

補足

ログの一部を抜粋します。

プロトコル UDP 90.203.13.23 発信元DNS 5acb0d.以下略

ブロックされているのは全てUDPプロトコルになっています。

但し、最初に記載したようにルーターのFWでUDPの通過は許可してません。

投稿日時 - 2008-12-01 20:43:06

お礼

再補足ができませんのでこの「お礼」のところに記録させていただきます。
先ほどUDPのみ、と書きましたが異なっておりました。

ICMP (種類:3 / サブタイプ1)
ICMP (種類:3 / サブタイプ3)
UDP

となっています。全て危険度は「中」
通過しているのは今日みた範囲では上記の3種のプロトコルになっています。

以下、サンプルです。
ICMP (種類:3 / サブタイプ1) 66.177.97.63 DNS 前略comcast.net
ICMP (種類:3 / サブタイプ3) 83.73.54.114 DNS 空白
UDP 発信人99.248.104.126:52281 宛先192.168.1.8:21643

これ以外にも宛先では 192.168.1.8:1514 や 192.168.1.8:1138 などてもありました。 発信元は:がつかない生GIP以外にもGIPに :26654 や :29675 などがついているものもありました。どちらにしてもルーターのFWを閉めていますし、今再確認しましたが、UDPは許可しない、になっています。

投稿日時 - 2008-12-01 21:21:55

あなたにオススメの質問