[connect24h:3901] Re: プロバイダのDNSからポートスキャン？

[Yutaka Kokubu <bun@xxxxxxxxxx>]

こんにちは。国分です。

> ここ最近、自宅で利用しているケーブルテレビのインターネットサービスのDNS
> サーバからポートスキャンをされることが多発しています。２台あるDNSサーバ
> 両方から。少ないときで１０回ていど。多い時は４０回以上です。
> TREND MICRO GateLock X200を使っているので、どのポートに対してスキャンさ
> れているのか分からないのですが、

GateLock についてよく知らないので、はずしているかもしれませんが。
DNS クエリーの応答をポートスキャンと誤認してはいないでしょうか？

例えば、
xxx.xxx.xxx.xxx = クライアント
yyy.yyy.yyy.yyy = DNS サーバ
とすると、DNS問い合わせのやりとりは、
Request(1):  xxx.xxx.xxx.xxx:1024 -> yyy.yyy.yyy.yyy:53
Reply(1):    yyy.yyy.yyy.yyy:53 -> xxx.xxx.xxx.xxx:1024
Request(2):  xxx.xxx.xxx.xxx:1025 -> yyy.yyy.yyy.yyy:53
Reply(2):    yyy.yyy.yyy.yyy:53 -> xxx.xxx.xxx.xxx:1025
Request(3):  xxx.xxx.xxx.xxx:1026 -> yyy.yyy.yyy.yyy:53
Reply(3):    yyy.yyy.yyy.yyy:53 -> xxx.xxx.xxx.xxx:1026
となります。

ここで、Reply だけ見ると、
Reply(1):    yyy.yyy.yyy.yyy:53 -> xxx.xxx.xxx.xxx:1024
Reply(2):    yyy.yyy.yyy.yyy:53 -> xxx.xxx.xxx.xxx:1025
Reply(3):    yyy.yyy.yyy.yyy:53 -> xxx.xxx.xxx.xxx:1026
となるため、これをポートスキャンとして検知してしまっている
のではないかと思います。

以前 SonicWALL で似たような動作をしたことがありました。
Request を出した後 Reply が返ってくるまでに時間がかかりすぎて、
Request が通過した事を SonicWALL が忘れた後に
Reply が返ってきていたため、ポートスキャンっぽくなってました。

ポートスキャンと判断している通信のソースポートを見てみれば、
上記が原因かの切り分けはできると思います。
ログからわからないようであれば、しばらく Sniffer を仕掛けてみてはどうでしょう。

--
// Yutaka Kokubu <bun@xxxxxxxxxx>

--[PR]------------------------------------------------------------------
♪♪ フリーエムエル 春のキャンペーンのご案内 ♪♪
メルセデスベンツ・HONDA Fit・デジカメ・商品券をプレゼント！
応募はこちらから→ http://ad.freeml.com/cgi-bin/ad.cgi?id=aT0yW
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online  www.gmo.jp