情報科学屋さんを目指す人のメモ

方法・手順・解説を書き残すブログ。私と同じことを繰り返さずに済むように。

「ポートスキャン攻撃をログに記録しました」が頻繁に表示される問題の原因が無線LANルータにあった

Symantec (2) Windows (304) エラー (15) セキュリティ (66) ネットワーク (1) ルータ (1)

Symantec Endpoint Protectionが頻繁に「ポートスキャン攻撃をログに記録しました」と表示してくるので、なぜこんなことになるのかを調べて、原因を特定してみました。

表示されるメッセージ

次のようなメッセージが通知領域からバルーンとして表示されていました。これがものすごく頻繁に表示されるのです。

Symantec Endpoint Protection

ポートスキャン攻撃をログに記録しました。

そして、一定時間通信を遮断しますといったようなメッセージが表示されることもたまにありました。

Symantec Endpoint Protection

クライアントはIPアドレス 192.168.1.1 からのトラフィックを、今後 600 秒(2012/01/01 00:54:22 から 2012/06/13 01:04:22 まで)遮断します。

トラフィックログを見てみる

Symantec Endpoint Protectionのトラフィックログを見てみると、ポートスキャンを行っているパケットは、「192.168.1.1」つまり、LAN内のルータから送信されているということがわかりました(この部分が偽装されることってあるんですか?教えて詳しい人>< ここではとりあえず鵜呑みです)

そもそも、ルータがファイヤーウォールとなっていて静的NATで指定していないポートまでポートスキャンされるなんてちょっと変なのです。

WireSharkでアクセスを見てみる

やっぱりこういうときにわかりやすいのはWireSharkでパケットを一つ一つ見てみることです。というか、なんとなく見てみたくなります。

ウィルス対策ソフトを止める

まず、このままでは遮断されっぱなしでWireSharkで遮断されているパケットが見られないので、Symantec Endpoint Protectionを一時的に無効にしました。

フィルタを設定する

次に、このままだと余りに表示されるパケットが多いので、フィルタの設定を行い、見たいパケットだけ表示するようにしました。

192.168.1.1からの通信のみを表示したいので、「Filter」に

ip.src==192.168.1.1

と書きます。あとはいろいろな条件をここに追加してさらにパケットを限定していきます。

送信先を自分のIPアドレスにして、プロトコルがDNSのパケットが多すぎるのでこれを非表示に、さらにNBNSもジャマなので、これも非表示に、としていくと、最終的にフィルタは次のようになりました(いつもフィルタの使い方忘れるのでちゃんとメモ)

ip.src==192.168.1.1 and ip.dst==192.168.1.136 and !dns and !nbns

さて、こうすると、結局、怪しいTCPのパケットが周期的にルータから送信されていることがわかりました。

順番に書くと、

  • http(80番ポート)
  • irdmi(8000番ポート)
  • http-alt(8080番ポート)
  • ms-wbt-server(3389番ポート)
  • ftp(21番ポート)

の順にアクセスされていました。

遮断ログから情報が増えたわけではないですが、たしかにこのあたりのパケットが周期的にポートスキャン扱いされるだけ通信されているなぁとわかります(攻撃にしては対象ポートが少ない?)。あえていうなら、全部Endpoint Securityが漏れなく遮断してくれていたんだなぁとわかりました。

調査続行

そして、さらに原因の調査を進めるため、これはやはり「ルータからポートスキャンされる」という状態になっている他の人が居るはずだと言うことで「ルータ ポートスキャンされる」などでぐぐったのですが、あまりhitせず。

そして検索を続けていると、「ルータ」を「buffaloルータ」にすれば突然「ルータ」が「具体的な家庭用LAN内ルータ」という意味になるという当たり前と言えば当たり前なことに気がついたので、「buffaloルータ ポートスキャンされる」などで検索してみると、次のページが見つかりました。

色々探していると、公式ページにパソコンのセキュリティーソフトウェアが無線LAN親機から3389や8080ポートにDOS攻撃されたというログを残しますが、止める方法はありますかという記事があった。

(出典:WZR-HP-G300NHからのポートスキャンを止める方法 - Kerosoft : Modus Operandi

そしてここに辿り着いて、リンク先へ飛んでみると、ついに回答を発見。

Q.パソコンのセキュリティーソフトウェアが無線LAN親機から3389や8080ポートにDOS攻撃されたというログを残しますが、止める方法はありますか

A.ネットワークサービス解析機能を停止することで止めることができます。

(出典:パソコンのセキュリティーソフトウェアが無線LAN親機から3389や8080ポートにDOS攻撃されたというログを残しますが、止める方法はありますか | BUFFALO バッファロー

原因

というわけで、無線LANルータ(WHR-G301N?)からポートスキャンされてしまう原因は、この「ネットワークサービス解析機能」とやらだったようです。「ポートスキャン攻撃をログに記録しました」がまったくhitせず、ここまでずいぶん遠回りしてしまいました。めでたしめでたし。

な、はずだったのですが、ルータの設定を変える権限がないのでこのままとりあえず放置です;(なので、本当の原因はこれじゃない可能性がまだ否定できない;)。実際に対策が完了したら追記します。

その他のウイルス対策ソフトウェア

その他のウイルス対策ソフトウェアがどのようなエラーメッセージを表示してしまうのかをメモしておきます。

ESET Smart Security

ポートスキャニング攻撃が検出されました

(出典:WZR-HP-G300NHからのポートスキャンを止める方法 - Kerosoft : Modus Operandi

Norton internet security

未使用ポート遮断機能が通信を遮断しました

(出典:未使用ポート遮断機能が通信を遮断しました。無線ルータからのインバウンドtcp接続 - Yahoo!知恵袋

この問題が発生する可能性のある無線LANルータ

  • WZR-HP-G300NH
  • WHR-G301N

他にもあるとは思いますが、出てきたものをメモ。

感想

久しぶりにWireShark使って楽しかったです。

コメント(10)

  1. 通りすがり
    2012年11月8日(木) 21:34

    これ自分も困ってたんです。
    ほんとにありがとうがざいました!

  2. NYer
    2012年12月26日(水) 11:14

    Symantec Endpoint Protectionの入っている会社PCを自宅で Buffalo WZR-D1100Hに接続するとこの現象が発生し遮断されてしまい、やむなく DoCoMo Xiで接続していました。
    早速自宅に帰ったら試してみます。
    助かります!
    1975年(貴兄が生まれる前?)に東工大を卒業した者です。

  3. did2
    2013年1月7日(月) 16:01

    >NYerさん
    もしかしたら同じ原因かもしれません。

    生まれる前ですね^^

  4. 774
    2013年3月19日(火) 19:01

    参考になります!
    ところで、ftp(80番ポート) は 21番ポートの誤記でしょうか?

  5. did2
    2013年3月21日(木) 16:04

    >774さん
    間違っていますね、ご指摘ありがとうございます。「80番」となっていたところを「21番」に変更しました。

  6. zin
    2013年8月15日(木) 14:53

    ありがとうございます。
    とても参考になりました。

  7. gara
    2014年9月23日(火) 22:53

    自分はSymantec endpoint protectionを使っていて、『脆弱性を遮断しました』というメッセージが表示されていました。

    そこで同様にネットワーク解析機能を停止させましたが、効果はありませんでした。

    ちなみに、無線LAN親機はWHR-600DとWHR-300HP2の2つを試しましたがどちらも同じ現象が起きました。

  8. 川田昌弥
    2014年10月10日(金) 10:37

    無線ルーターWHR-1166DHPに取り替えたところ同様の結果です。

  9. sean
    2014年11月28日(金) 19:39

    Symantec Endpoint Securityとバッファロー製ルーター使用しています。同様の問題で気になっていたところ、解説付きで解決法載せて頂いたので解決できました。ちなみにリンクが変わっていましたので、お知らせします!
    http://faq.buffalo.jp/app/answers/detail/a_id/11807/

  10. ししゃも
    2015年3月8日(日) 23:17

    ハマりました。助かりましたm(_ _)m

新しいコメントを投稿