家で使っているルータを買い替えたのですが、その機能の中に「アタックブロック」というのがあり、特に気にせずにそのまま使用していたところ、ログに頻繁にブロックをした記録が残っていることに気がつきました。しかもすべて(インターネット側から攻撃があったのではなく)「LAN側からSYN Floodがあったのでブロックした」という記録でした。LAN側ではMac OSのマシンしかぶら下げていないのでその手のウイルス感染は可能性は低いと思っています。素人なのでよくわからないのですが、SYN Floodが検知されてしまっている理由はなんなのでしょうか。具体的にはルータの機種は「Buffalo BBR-4HG」で、ログ内容は全て「SYN Flood to Host (PPPoE1-Out)」という種類で、接続先は「202.177.198.92」「202.72.50.237」「38.118.199.152」「208.49.12.183」などいろいろです。

回答の条件
  • URL必須
  • 1人2回まで
  • 登録:2005/07/18 23:33:53
  • 終了:--

回答(3件)

id:kikue70 No.1

kikue70回答回数110ベストアンサー獲得回数12005/07/19 00:33:56

ポイント30pt

こんばんは。OSXを使用されていたり、ご自宅でサーバ類を構築されていたり

するのでしょうか。SYN FloodというのはTCP ECNを用いてネットワークの輻輳を

行うモノです。Linuxで使用されている事があり、メルコを含め安価なルータでは

このECN機能が使用出来ない設定になっております。

ご使用されているPCやサーバの設定でECN機能を無効にするか

ログ収集レベルを少し下げてみても問題ないかと思います。

Linuxですと

/etc/sysctl.conf に書かれている下記の部分を0にする事で回避できます。

net.ipv4.tcp_ecn = 0


有効な手段ですが、対応していないルータなどではエラーになってしまいます。

id:UltraKitchen

ご回答ありがとうございました。専門的なお話でよくわからないのですが、ようするに深刻に気にしなくてもいいということでしょうか…。サーバ構築などはしておりません。使用しているマシンは全てMac OS Xが走っています。SYN FloodというのはDoS攻撃みたいなものだと思っていましたが、そうとは限らないのでしょうか?

2005/07/19 01:31:22
id:RIKKUN No.2

RIKKUN回答回数51ベストアンサー獲得回数12005/07/19 01:42:50

URLはダミーです。

プロバイダから割り当てられているIPアドレスはグローバルアドレスでしょうか?

昔聞いた話なのですが、適当なIPにパケット投げまくってセキュリティホールを探し回るプログラムがインターネット上でかなり動いているそうです。

なので、もしIPがグローバルならそういう輩をブロックしてるんではないでしょうか?

何はともあれ、ブロックされているので問題ないと思いますよ。

それから相手先のIPですが間違いなくプロクシ通してると思いますので、発信元の特定は難しいでしょうね。

id:UltraKitchen

質問文をちゃんと読んでくださいね。SYN Floodを送っているのはLAN側のマシンです。

2005/07/19 03:13:06
id:tsyk No.3

tsyk回答回数33ベストアンサー獲得回数42005/07/19 01:49:47

ポイント50pt

http://buffalo.melcoinc.co.jp/download/driver/lan/bbr4hg.html

ドライバーダウンロード BBR-4HG | BUFFALO バッファロー

BBR-4HGのファームウェア修正履歴に以下のようなものがあります。


Ver1.02→Ver1.04β

・アタックブロック機能をOFFにしているにも関わらず、SYN Floodが検出される問題を修正しました。

http://pc8.2ch.net/test/read.cgi/hard/1116915901/

ようこそボボンハウスへ

2ちゃんねるには以下のような情報があります。


・IEのコネクション数(HTTP 1.0と1.1)の設定を増やしすぎると SYN Flood to Host (PPPoE1-Out) が発生する。数値は8ぐらいに抑えたほうが良い。

id:UltraKitchen

ご回答たいへんありがとうございました。アタックブロック機能はOFFにはしていませんので、ひとつめのファームの問題ではなさそうですが、2つめのご指摘は関係ありそうな気がしますね!コネクション数は複数のマシンにまたがってカウントされるのかな?それにしてもこの話はBBR-4HGのルータとしての根本的な性能がちょっと疑われますねー。とりあえずルータのバグという解釈ができそうで、安心しました。たいへんどうもありがとうございました!

2005/07/19 03:18:24

コメントはまだありません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません