情報科学屋さんを目指す人のメモ

方法・手順・解説を書き残すブログ。私と同じことを繰り返さずに済むように。

「ポートスキャン攻撃をログに記録しました」が頻繁に表示される問題の原因が無線LANルータにあった

Symantec (2) Windows (497) エラー (14) ネットワーク (1) ルータ (1)

Symantec Endpoint Protectionが頻繁に「ポートスキャン攻撃をログに記録しました」と表示してくるので、なぜこんなことになるのかについて、関連する情報を調べてみました。

表示されるメッセージ

次のようなメッセージが通知領域からバルーンとして表示されていました。これがものすごく頻繁に表示されるのです。

Symantec Endpoint Protection

ポートスキャン攻撃をログに記録しました。

そして、一定時間通信を遮断しますといったようなメッセージが表示されることもたまにありました。

Symantec Endpoint Protection

クライアントはIPアドレス 192.168.1.1 からのトラフィックを、今後 600 秒(2012/01/01 00:54:22 から 2012/06/13 01:04:22 まで)遮断します。

トラフィックログを見てみる

Symantec Endpoint Protectionのトラフィックログを見てみると、ポートスキャンを行っているパケットは、「192.168.1.1」つまり、LAN内のルータから送信されているということがわかりました。

そもそも、ルータがファイヤーウォールとなっていて静的NATで指定していないポートまでポートスキャンされるなんてちょっと変なのです。

原因の調査を進めるため、「ルータからポートスキャンされる」という状態になっている他の人がいるはずだと言うことで「ルータ ポートスキャンされる」などでぐぐったのですが、あまりhitせず。

そして検索を続けていると、「ルータ」を「buffaloルータ」にすれば突然「ルータ」が「具体的な家庭用LAN内ルータ」という意味になるという当たり前と言えば当たり前なことに気がついたので、「buffaloルータ ポートスキャンされる」などで検索してみると、次のページが見つかりました。

色々探していると、公式ページにパソコンのセキュリティーソフトウェアが無線LAN親機から3389や8080ポートにDOS攻撃されたというログを残しますが、止める方法はありますかという記事があった。

(出典:WZR-HP-G300NHからのポートスキャンを止める方法 - Kerosoft : Modus Operandi

そしてここに辿り着いて、リンク先へ飛んでみると、ついに回答を発見できました。

Q.パソコンのセキュリティーソフトウェアが無線LAN親機から3389や8080ポートにDOS攻撃されたというログを残しますが、止める方法はありますか

A.ネットワークサービス解析機能を停止することで止めることができます。

(出典:パソコンのセキュリティーソフトウェアが無線LAN親機から3389や8080ポートにDOS攻撃されたというログを残しますが、止める方法はありますか | BUFFALO バッファロー

原因

というわけで、無線LANルータ(WHR-G301N?)からポートスキャンされてしまう原因は、この「ネットワークサービス解析機能」とやらだったようです。「ポートスキャン攻撃をログに記録しました」がまったくhitせず、ここまでずいぶん遠回りしてしまいました。

な、はずだったのですが、ルータの設定を変える権限がないのでこのままとりあえず放置です;(なので、本当の原因はこれじゃない可能性がまだ否定できない;)。実際に対策が完了したら追記します。

その他のウイルス対策ソフトウェア

その他のウイルス対策ソフトウェアがどのようなエラーメッセージを表示してしまうのかをメモしておきます。

ESET Smart Security

ポートスキャニング攻撃が検出されました

(出典:WZR-HP-G300NHからのポートスキャンを止める方法 - Kerosoft : Modus Operandi

Norton internet security

未使用ポート遮断機能が通信を遮断しました

(出典:未使用ポート遮断機能が通信を遮断しました。無線ルータからのインバウンドtcp接続 - Yahoo!知恵袋

この問題が発生する可能性のある無線LANルータ

  • WZR-HP-G300NH
  • WHR-G301N

他にもあるとは思いますが、出てきたものをメモ。



「マジカルストーン」のセキュリティ警告とインストール方法
Windowsムービーメーカーがダウンロードできない問題と注意点について
【Windows】スクリーンショットアプリの動作がおかしい原因
ぷよぷよ系ゲーム「マジカルストーン」のダウンロード方法

コメント(10)

  1. 通りすがり
    2012年11月8日(木) 21:34

    これ自分も困ってたんです。
    ほんとにありがとうがざいました!

  2. NYer
    2012年12月26日(水) 11:14

    Symantec Endpoint Protectionの入っている会社PCを自宅で Buffalo WZR-D1100Hに接続するとこの現象が発生し遮断されてしまい、やむなく DoCoMo Xiで接続していました。
    早速自宅に帰ったら試してみます。
    助かります!
    1975年(貴兄が生まれる前?)に東工大を卒業した者です。

  3. did2
    2013年1月7日(月) 16:01

    >NYerさん
    もしかしたら同じ原因かもしれません。

    生まれる前ですね^^

  4. 774
    2013年3月19日(火) 19:01

    参考になります!
    ところで、ftp(80番ポート) は 21番ポートの誤記でしょうか?

  5. did2
    2013年3月21日(木) 16:04

    >774さん
    間違っていますね、ご指摘ありがとうございます。「80番」となっていたところを「21番」に変更しました。

  6. zin
    2013年8月15日(木) 14:53

    ありがとうございます。
    とても参考になりました。

  7. gara
    2014年9月23日(火) 22:53

    自分はSymantec endpoint protectionを使っていて、『脆弱性を遮断しました』というメッセージが表示されていました。

    そこで同様にネットワーク解析機能を停止させましたが、効果はありませんでした。

    ちなみに、無線LAN親機はWHR-600DとWHR-300HP2の2つを試しましたがどちらも同じ現象が起きました。

  8. 川田昌弥
    2014年10月10日(金) 10:37

    無線ルーターWHR-1166DHPに取り替えたところ同様の結果です。

  9. sean
    2014年11月28日(金) 19:39

    Symantec Endpoint Securityとバッファロー製ルーター使用しています。同様の問題で気になっていたところ、解説付きで解決法載せて頂いたので解決できました。ちなみにリンクが変わっていましたので、お知らせします!
    http://faq.buffalo.jp/app/answers/detail/a_id/11807/

  10. ししゃも
    2015年3月8日(日) 23:17

    ハマりました。助かりましたm(_ _)m

新しいコメントを投稿