前回、ほとんど回答がつかなかったので、再度質問させて頂きます。質問内容は前回と全く一緒です。 http://q.hatena.ne.jp/1172163366 なお、回答の質により、100P~1000pを進呈するつもりです。よろしくお願いします。

回答の条件
  • 1人2回まで
  • 登録:2007/02/26 02:37:22
  • 終了:2007/03/01 00:00:15

ベストアンサー

id:buchahiko No.2

buchahiko回答回数20ベストアンサー獲得回数62007/02/26 04:03:52

ポイント600pt

長文で失礼します。

これは分かるかもしれませんが、まずログの見方からです。

例えば、

2007/02/17 00:18:54 IP_Filter REJECT UDP 192.168.0.2:137 > 192.168.0.255:137 (IP-PORT=0)

これは

yyyy/MM/dd hh:mm:ss [event] [protocol] [source IP address:port] > [destination IP address:port]

ですね。


そして、source IP addressが192.168.0.xxという場合は、LAN内からの通信です。

これを踏まえていくつかのeventを見ていきますと、


  • IP_Filter REJECT UDP 192.168.0.x:137 > 192.168.0.255:137

これは前回の回答にもあるように、Windowsのファイル共有通信だと思います。

Windowsのファイル共有をしていなければ特に問題無いeventです。


  • NAT RX Not Found : TCP 217.122.91.99 : 3429 > xxx.xxx.xxx.xxx : 21412 (IP-PORT=6)

これも前回の回答にありますが、外部からの通信をLAN内の端末へNAT変換(NATはご存知という前提で)する際に、対象となるLAN内の端末が見つからなかったというeventです。

仮にオンラインゲームなどをしている場合は問題になるかもしれません。

http://www.megabitgear.com/Support/gapnat/2002_GapNATwonderful_J...

↑のサイトなどが参考になるかもしれません。


  • NAT RX-INFO TCP Synchronize Flag OFF : TCP 220.130.182.152 : 37576 > xxx.xxx.xxx.xxx : 21 (IP-PORT=6)

これは、TCPの21番ポート、すなわちFTPへの外部からのアクセスがあったというeventです。

おそらく、ポートフォワーディングの設定をされていないと思いますので、宛先不明でreject(拒否)しています。

これも前回の回答にあるように、外部からのポートスキャンなどの可能性が高いと思います。

これについて詳しくお知りになりたいようですが、wikipediaなどにポートスキャンの説明が掲載されています。

http://ja.wikipedia.org/wiki/%E3%83%9D%E3%83%BC%E3%83%88%E3%82%B...

こちらをご参照ください。


  • NAT RX-INFO TCP Synchronize Flag OFF : TCP 207.46.106.61 : 1863 > xxx.xxx.xxx.xxx : 1547 (IP-PORT=6)

これもポートスキャンかと思われます。こちらはTCPの1547番ポートですので、laplinkという通信への外部からのアクセスです。

ポート番号一覧についてはこちらのサイトが詳しいのでご参照ください。

http://www.vwnet.jp/mura/tcpip-port.htm


こんな感じで見ていくと、モデムの初期化前は下記eventが発生しています。

  1. IP_Filter REJECT
  2. NAT RX Not Found
  3. NAT RX-INFO TCP Synchronize Flag OFF
  4. NAT TX-INFO TCP Synchronize Flag OFF


  • sourceおよびdesination IP addressについては上で説明した通り
  • ポート番号については上記サイト参照
  • TCP Synchronize Flag OFFについては前回の回答の説明にあるように、相手と自分の端末間でSynchronize(同期を取る)するための手順が飛ばされているため正常に通信ができない


これらの組み合わせで発生しているeventの解読はできるかと思います。


なお、IISに限らずWEBサーバ、FTPサーバのログを見るにはHTTPやFTPの仕様を知ることが一番だと思います。

RFCが日本語に訳されていますので、そちらをご覧になるのがベストです。

その他に、TCP/IPの基本的な部分を知るには「マスタリングTCP/IP 入門編」が良いのではないでしょうか。

ご参考になれば。

id:cryfish

丁寧な解説、有り難う御座いました。すこしづつ理解出来てきました。ちなみに、WinxpProにて、ftpとリモートデスクトップを使用しております。勧めて頂いた本を読んで、勉強したいと思います。

2007/02/26 21:07:27

その他の回答(1件)

id:bigorange No.1

bigorange回答回数46ベストアンサー獲得回数12007/02/26 03:48:54

ポイント500pt

>>>外部からのポートスキャンと思われます

>>できましたら、もう少し詳細に教えて頂けないでしょうか。

こんな感じ?

http://oshiete1.goo.ne.jp/qa863504.html

http://uno.jspeed.jp/papa/bbr/log.html


ISSについていろいろ

http://www.atmarkit.co.jp/fwin2k/operation/iissecurity/iissecuri...

http://www.atmarkit.co.jp/fwin2k/operation/iissecurity2/iissecur...

ISSのログについて(↑の記事の一部)

http://www.atmarkit.co.jp/fwin2k/operation/iissecurity2/iissecur...

ISSのログ解析ツールと手順

http://q.hatena.ne.jp/1136427440

http://wwwlib.fukui-med.ac.jp/library/lib/licsu21/www/iislog/iis...

id:cryfish

いろいろと参考になりそうなサイトの紹介、有り難う御座いました。

2007/02/26 21:07:30
id:buchahiko No.2

buchahiko回答回数20ベストアンサー獲得回数62007/02/26 04:03:52ここでベストアンサー

ポイント600pt

長文で失礼します。

これは分かるかもしれませんが、まずログの見方からです。

例えば、

2007/02/17 00:18:54 IP_Filter REJECT UDP 192.168.0.2:137 > 192.168.0.255:137 (IP-PORT=0)

これは

yyyy/MM/dd hh:mm:ss [event] [protocol] [source IP address:port] > [destination IP address:port]

ですね。


そして、source IP addressが192.168.0.xxという場合は、LAN内からの通信です。

これを踏まえていくつかのeventを見ていきますと、


  • IP_Filter REJECT UDP 192.168.0.x:137 > 192.168.0.255:137

これは前回の回答にもあるように、Windowsのファイル共有通信だと思います。

Windowsのファイル共有をしていなければ特に問題無いeventです。


  • NAT RX Not Found : TCP 217.122.91.99 : 3429 > xxx.xxx.xxx.xxx : 21412 (IP-PORT=6)

これも前回の回答にありますが、外部からの通信をLAN内の端末へNAT変換(NATはご存知という前提で)する際に、対象となるLAN内の端末が見つからなかったというeventです。

仮にオンラインゲームなどをしている場合は問題になるかもしれません。

http://www.megabitgear.com/Support/gapnat/2002_GapNATwonderful_J...

↑のサイトなどが参考になるかもしれません。


  • NAT RX-INFO TCP Synchronize Flag OFF : TCP 220.130.182.152 : 37576 > xxx.xxx.xxx.xxx : 21 (IP-PORT=6)

これは、TCPの21番ポート、すなわちFTPへの外部からのアクセスがあったというeventです。

おそらく、ポートフォワーディングの設定をされていないと思いますので、宛先不明でreject(拒否)しています。

これも前回の回答にあるように、外部からのポートスキャンなどの可能性が高いと思います。

これについて詳しくお知りになりたいようですが、wikipediaなどにポートスキャンの説明が掲載されています。

http://ja.wikipedia.org/wiki/%E3%83%9D%E3%83%BC%E3%83%88%E3%82%B...

こちらをご参照ください。


  • NAT RX-INFO TCP Synchronize Flag OFF : TCP 207.46.106.61 : 1863 > xxx.xxx.xxx.xxx : 1547 (IP-PORT=6)

これもポートスキャンかと思われます。こちらはTCPの1547番ポートですので、laplinkという通信への外部からのアクセスです。

ポート番号一覧についてはこちらのサイトが詳しいのでご参照ください。

http://www.vwnet.jp/mura/tcpip-port.htm


こんな感じで見ていくと、モデムの初期化前は下記eventが発生しています。

  1. IP_Filter REJECT
  2. NAT RX Not Found
  3. NAT RX-INFO TCP Synchronize Flag OFF
  4. NAT TX-INFO TCP Synchronize Flag OFF


  • sourceおよびdesination IP addressについては上で説明した通り
  • ポート番号については上記サイト参照
  • TCP Synchronize Flag OFFについては前回の回答の説明にあるように、相手と自分の端末間でSynchronize(同期を取る)するための手順が飛ばされているため正常に通信ができない


これらの組み合わせで発生しているeventの解読はできるかと思います。


なお、IISに限らずWEBサーバ、FTPサーバのログを見るにはHTTPやFTPの仕様を知ることが一番だと思います。

RFCが日本語に訳されていますので、そちらをご覧になるのがベストです。

その他に、TCP/IPの基本的な部分を知るには「マスタリングTCP/IP 入門編」が良いのではないでしょうか。

ご参考になれば。

id:cryfish

丁寧な解説、有り難う御座いました。すこしづつ理解出来てきました。ちなみに、WinxpProにて、ftpとリモートデスクトップを使用しております。勧めて頂いた本を読んで、勉強したいと思います。

2007/02/26 21:07:27

コメントはまだありません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません