Symantec Endpoint Protectionが頻繁に「ポートスキャン攻撃をログに記録しました」と表示してくるので、なぜこんなことになるのかについて、関連する情報を調べてみました。
目次
表示されるメッセージ
次のようなメッセージが通知領域からバルーンとして表示されていました。これがものすごく頻繁に表示されるのです。
Symantec Endpoint Protection
ポートスキャン攻撃をログに記録しました。
そして、一定時間通信を遮断しますといったようなメッセージが表示されることもたまにありました。
Symantec Endpoint Protection
クライアントはIPアドレス 192.168.1.1 からのトラフィックを、今後 600 秒(2012/01/01 00:54:22 から 2012/06/13 01:04:22 まで)遮断します。
トラフィックログを見てみる
Symantec Endpoint Protectionのトラフィックログを見てみると、ポートスキャンを行っているパケットは、「192.168.1.1」つまり、LAN内のルータから送信されているということがわかりました。
そもそも、ルータがファイヤーウォールとなっていて静的NATで指定していないポートまでポートスキャンされるなんてちょっと変なのです。
原因の調査を進めるため、「ルータからポートスキャンされる」という状態になっている他の人がいるはずだと言うことで「ルータ ポートスキャンされる」などでぐぐったのですが、あまりhitせず。
そして検索を続けていると、「ルータ」を「buffaloルータ」にすれば突然「ルータ」が「具体的な家庭用LAN内ルータ」という意味になるという当たり前と言えば当たり前なことに気がついたので、「buffaloルータ ポートスキャンされる」などで検索してみると、次のページが見つかりました。
色々探していると、公式ページにパソコンのセキュリティーソフトウェアが無線LAN親機から3389や8080ポートにDOS攻撃されたというログを残しますが、止める方法はありますかという記事があった。
(出典:WZR-HP-G300NHからのポートスキャンを止める方法 - Kerosoft : Modus Operandi)
そしてここに辿り着いて、リンク先へ飛んでみると、ついに回答を発見できました。
Q.パソコンのセキュリティーソフトウェアが無線LAN親機から3389や8080ポートにDOS攻撃されたというログを残しますが、止める方法はありますか
A.ネットワークサービス解析機能を停止することで止めることができます。
(出典:パソコンのセキュリティーソフトウェアが無線LAN親機から3389や8080ポートにDOS攻撃されたというログを残しますが、止める方法はありますか | BUFFALO バッファロー)
原因
というわけで、無線LANルータ(WHR-G301N?)からポートスキャンされてしまう原因は、この「ネットワークサービス解析機能」とやらだったようです。「ポートスキャン攻撃をログに記録しました」がまったくhitせず、ここまでずいぶん遠回りしてしまいました。
な、はずだったのですが、ルータの設定を変える権限がないのでこのままとりあえず放置です;(なので、本当の原因はこれじゃない可能性がまだ否定できない;)。実際に対策が完了したら追記します。
その他のウイルス対策ソフトウェア
その他のウイルス対策ソフトウェアがどのようなエラーメッセージを表示してしまうのかをメモしておきます。
ESET Smart Security
ポートスキャニング攻撃が検出されました
(出典:WZR-HP-G300NHからのポートスキャンを止める方法 - Kerosoft : Modus Operandi)
Norton internet security
未使用ポート遮断機能が通信を遮断しました
この問題が発生する可能性のある無線LANルータ
- WZR-HP-G300NH
- WHR-G301N
他にもあるとは思いますが、出てきたものをメモ。
2012年11月8日(木) 21:34
これ自分も困ってたんです。
ほんとにありがとうがざいました!
2012年12月26日(水) 11:14
Symantec Endpoint Protectionの入っている会社PCを自宅で Buffalo WZR-D1100Hに接続するとこの現象が発生し遮断されてしまい、やむなく DoCoMo Xiで接続していました。
早速自宅に帰ったら試してみます。
助かります!
1975年(貴兄が生まれる前?)に東工大を卒業した者です。
2013年1月7日(月) 16:01
>NYerさん
もしかしたら同じ原因かもしれません。
生まれる前ですね^^
2013年3月19日(火) 19:01
参考になります!
ところで、ftp(80番ポート) は 21番ポートの誤記でしょうか?
2013年3月21日(木) 16:04
>774さん
間違っていますね、ご指摘ありがとうございます。「80番」となっていたところを「21番」に変更しました。
2013年8月15日(木) 14:53
ありがとうございます。
とても参考になりました。
2014年9月23日(火) 22:53
自分はSymantec endpoint protectionを使っていて、『脆弱性を遮断しました』というメッセージが表示されていました。
そこで同様にネットワーク解析機能を停止させましたが、効果はありませんでした。
ちなみに、無線LAN親機はWHR-600DとWHR-300HP2の2つを試しましたがどちらも同じ現象が起きました。
2014年10月10日(金) 10:37
無線ルーターWHR-1166DHPに取り替えたところ同様の結果です。
2014年11月28日(金) 19:39
Symantec Endpoint Securityとバッファロー製ルーター使用しています。同様の問題で気になっていたところ、解説付きで解決法載せて頂いたので解決できました。ちなみにリンクが変わっていましたので、お知らせします!
http://faq.buffalo.jp/app/answers/detail/a_id/11807/
2015年3月8日(日) 23:17
ハマりました。助かりましたm(_ _)m