No.2
20
6
600pt
長文で失礼します。
これは分かるかもしれませんが、まずログの見方からです。
例えば、
2007/02/17 00:18:54 IP_Filter REJECT UDP 192.168.0.2:137 > 192.168.0.255:137 (IP-PORT=0)
これは
yyyy/MM/dd hh:mm:ss [event] [protocol] [source IP address:port] > [destination IP address:port]
ですね。
そして、source IP addressが192.168.0.xxという場合は、LAN内からの通信です。
これを踏まえていくつかのeventを見ていきますと、
これは前回の回答にもあるように、Windowsのファイル共有通信だと思います。
Windowsのファイル共有をしていなければ特に問題無いeventです。
これも前回の回答にありますが、外部からの通信をLAN内の端末へNAT変換(NATはご存知という前提で)する際に、対象となるLAN内の端末が見つからなかったというeventです。
仮にオンラインゲームなどをしている場合は問題になるかもしれません。
http://www.megabitgear.com/Support/gapnat/2002_GapNATwonderful_J...
↑のサイトなどが参考になるかもしれません。
これは、TCPの21番ポート、すなわちFTPへの外部からのアクセスがあったというeventです。
おそらく、ポートフォワーディングの設定をされていないと思いますので、宛先不明でreject(拒否)しています。
これも前回の回答にあるように、外部からのポートスキャンなどの可能性が高いと思います。
これについて詳しくお知りになりたいようですが、wikipediaなどにポートスキャンの説明が掲載されています。
http://ja.wikipedia.org/wiki/%E3%83%9D%E3%83%BC%E3%83%88%E3%82%B...
こちらをご参照ください。
これもポートスキャンかと思われます。こちらはTCPの1547番ポートですので、laplinkという通信への外部からのアクセスです。
ポート番号一覧についてはこちらのサイトが詳しいのでご参照ください。
http://www.vwnet.jp/mura/tcpip-port.htm
こんな感じで見ていくと、モデムの初期化前は下記eventが発生しています。
これらの組み合わせで発生しているeventの解読はできるかと思います。
なお、IISに限らずWEBサーバ、FTPサーバのログを見るにはHTTPやFTPの仕様を知ることが一番だと思います。
RFCが日本語に訳されていますので、そちらをご覧になるのがベストです。
その他に、TCP/IPの基本的な部分を知るには「マスタリングTCP/IP 入門編」が良いのではないでしょうか。
ご参考になれば。
No.1
461
500pt
>>>外部からのポートスキャンと思われます
>>できましたら、もう少し詳細に教えて頂けないでしょうか。
こんな感じ?
http://oshiete1.goo.ne.jp/qa863504.html
http://uno.jspeed.jp/papa/bbr/log.html
ISSについていろいろ
http://www.atmarkit.co.jp/fwin2k/operation/iissecurity/iissecuri...
http://www.atmarkit.co.jp/fwin2k/operation/iissecurity2/iissecur...
ISSのログについて(↑の記事の一部)
http://www.atmarkit.co.jp/fwin2k/operation/iissecurity2/iissecur...
ISSのログ解析ツールと手順
http://q.hatena.ne.jp/1136427440
http://wwwlib.fukui-med.ac.jp/library/lib/licsu21/www/iislog/iis...
いろいろと参考になりそうなサイトの紹介、有り難う御座いました。
No.2
206
ここでベストアンサー
600pt
長文で失礼します。
これは分かるかもしれませんが、まずログの見方からです。
例えば、
2007/02/17 00:18:54 IP_Filter REJECT UDP 192.168.0.2:137 > 192.168.0.255:137 (IP-PORT=0)
これは
yyyy/MM/dd hh:mm:ss [event] [protocol] [source IP address:port] > [destination IP address:port]
ですね。
そして、source IP addressが192.168.0.xxという場合は、LAN内からの通信です。
これを踏まえていくつかのeventを見ていきますと、
これは前回の回答にもあるように、Windowsのファイル共有通信だと思います。
Windowsのファイル共有をしていなければ特に問題無いeventです。
これも前回の回答にありますが、外部からの通信をLAN内の端末へNAT変換(NATはご存知という前提で)する際に、対象となるLAN内の端末が見つからなかったというeventです。
仮にオンラインゲームなどをしている場合は問題になるかもしれません。
http://www.megabitgear.com/Support/gapnat/2002_GapNATwonderful_J...
↑のサイトなどが参考になるかもしれません。
これは、TCPの21番ポート、すなわちFTPへの外部からのアクセスがあったというeventです。
おそらく、ポートフォワーディングの設定をされていないと思いますので、宛先不明でreject(拒否)しています。
これも前回の回答にあるように、外部からのポートスキャンなどの可能性が高いと思います。
これについて詳しくお知りになりたいようですが、wikipediaなどにポートスキャンの説明が掲載されています。
http://ja.wikipedia.org/wiki/%E3%83%9D%E3%83%BC%E3%83%88%E3%82%B...
こちらをご参照ください。
これもポートスキャンかと思われます。こちらはTCPの1547番ポートですので、laplinkという通信への外部からのアクセスです。
ポート番号一覧についてはこちらのサイトが詳しいのでご参照ください。
http://www.vwnet.jp/mura/tcpip-port.htm
こんな感じで見ていくと、モデムの初期化前は下記eventが発生しています。
これらの組み合わせで発生しているeventの解読はできるかと思います。
なお、IISに限らずWEBサーバ、FTPサーバのログを見るにはHTTPやFTPの仕様を知ることが一番だと思います。
RFCが日本語に訳されていますので、そちらをご覧になるのがベストです。
その他に、TCP/IPの基本的な部分を知るには「マスタリングTCP/IP 入門編」が良いのではないでしょうか。
ご参考になれば。
丁寧な解説、有り難う御座いました。すこしづつ理解出来てきました。ちなみに、WinxpProにて、ftpとリモートデスクトップを使用しております。勧めて頂いた本を読んで、勉強したいと思います。
1
1
30
29
丁寧な解説、有り難う御座いました。すこしづつ理解出来てきました。ちなみに、WinxpProにて、ftpとリモートデスクトップを使用しております。勧めて頂いた本を読んで、勉強したいと思います。