[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[connect24h:03551] Re: dns に関するパケットのログについて

山中です。
しかPさん、レスありがとうございます。

> > (1)(2)に関しては、7/18の21時29分から21時31分の間だけのアクセスだったので
> > 不正なアクセスと思っているのですがどうでしょうか?
> 一部のOS(つか、リゾルバ)は、1023以下のポートでdnsを引きにいくようです。
> 私の経験ではWin2000とLinuxがそうでした。
> #ただ単に設定が悪いと言われればその通りなんでしょうけれど・・・・
> #面倒だからチェックはしていません。
こちらに関しては、しばらく様子をみて判断したいとおもいます。

> > (3)に関しても、送信元が使用しているポート番号が気になっています。
> > 現在は、eee.fff.ggg.hhh:53当てのパケットは通し、eee.fff.ggg.iii:53当ての
> > パケットは止めています。
> この話題(53<->53)はsnort-users-MLでも話題になっていました。
> たしか、そう言う場合もある、と言う話に落ち着いていたかと。
> #あやふやです。手元にログがないし、あさる根性もないし(^^;
> #盛り上がっていたのは、たしかMACアドレスも変じゃない?って話題もついて
> #いたからだったかもしれません。
こちらは、とりあえず両方とも通すことにしました。
理由は、家で使用しているISPのdnsがこのパターンで参照にくる為と、
他のIPアドレスも調べたところ、大手ISPのdnsサーバーだったりgwサーバー
やプロクシーサーバー(ホスト名だけで判断しましたが)らしきとこからの参照
ばかりだったので、パケットを通すことにしました。

> #http://www.geocrawler.com/redir-sf.php3?list=snort-users
すべて英語ですね。拒絶反応が・・・
ひまを見つけて、翻訳ソフト使ってじっくり見たいと思います。


-- 
Shinichi Yamanaka <y-shin@xxxxxxxxxxxxxxxxxx>


------------------------------------------------------------------------
 えっ、友達とのペアで毎日100万円が当たるチャンス!  楽ぴた倶楽部
                   http://www.rakupita.ne.jp/