サポートシェアリングソリューション
OKWAVE Plus
「ソニーネットワークコミュニケーションズ株式会社」コミュニティ、サービス終了のお知らせ
「ソニーネットワークコミュニケーションズ株式会社」コミュニティをご利用いただき、誠にありがとうございます。
2022年11月30日(水)16:00をもちまして、「ソニーネットワークコミュニケーションズ株式会社」コミュニティは
サービスを終了し、運営元の「OKWAVE」にサービスを移行させていただきます。
「ソニーネットワークコミュニケーションズ株式会社」コミュニティをご利用いただいていたユーザー様は、
今までの会員ID(OKWAVE ID)とパスワードにて、「OKWAVE」をご利用いただけます。
あらゆる悩みや疑問を解決できるQ&AサービスOKWAVEにて、これまでと同様に、質問や回答を投稿し、
疑問の解決にお役立てください。
「OKWAVE Plus の利用」に関するアンケートご協力のお願い
アンケートに答えると抽選で500名様にAmazonギフト券100円分をプレゼント!
回答締切:2022年12月7日(水)18:00まで
アンケートはこちら

このQ&Aは役に立ちましたか?

1人が「役に立った」と評価
ベストアンサー
すぐに回答を!

[Error][アラームログ] DoS攻撃

2021/08/17 10:14

HG8045QにNetgearのルーターをブリッジーモードで接続しています。接続機器が多いのと、HG8045Qの設置場所から離れた2階で有線接続する必要もあるためです。(ちなみに、HG8045Qの接続場所は、設置業者の人から「ここしかないですね」と言われてしまったので不本意ながら1階になっています)

ある日、HG8045Qの[ログ]を見てみると、以下のようなエラーが記録されていました。
[Error][アラームログ] アラームID:303500,アラームレベル:エラー,DoS攻撃 種別:smurf 送信元IPアドレス:***.***.***.*** 宛先IPアドレス:255.255.255.255 送信元MACアドレス:10-0c-6b-ec-27-5a
これは、毎日ほぼ同時刻に1回記録されています。

気味が悪いので、[送信元MACアドレス:10-0c-6b-ec-27-5a]このMACアドレスが誰のものかを、https://uic.jp/mac/ で調べました。
結果、[Vendor name: NETGEAR]とのこと。
つまり、HG8045Qにブリッジーモードで接続したルーターから、毎日1回、DoS攻撃と判断されるアクセスが行われているということです。

ここで質問なのですが、以上のことから、
1)Netgearから[DoS攻撃]を受けている。
2)Netgearのルーター経由で、誰かから[DoS攻撃]を受けている。
3)何らかの信号はあるものの、攻撃では無く、HG8045Qの勘違い。
4)その他
どれに該当するでしょうか。
情報が少なくてすみません。現状わかる範囲のことは記載致しました。
他に確認すべきこと、その方法などがありましたらそれもご教示願えますと幸いです。
以上、宜しくお願い致します。

※OKWAVEより補足:「So-netの各種設定」についての質問です。

質問者が選んだベストアンサー

ベストアンサー
2021/08/18 20:02
回答No.3

解決の助けになったのであれば良いですが、改めて読み返して気になるところは※で伏字をされている【送信元IPアドレス:***.***.***.***】が192から始まるプライベートアドレスかどうかでしょうか。

外部のグローバルIPアドレスであってもご自身が付与されているグローバルIPアドレスであれば良いと思いますが、まったく関係ないIPアドレスであればHG8045Qのログが正しく、何かしらの攻撃を防いでいることになるのかと。

Netgearのログは12時間ごとの周期がありますので、正規動作かと思いますが、HG8045Qのログとの時間差と回数の差がありすぎて気になりますね。
Netgearの機器はブリッジモードなのですよね?

一度Netgearの機器を取り外してみて、同様の現象が継続するかの確認もお勧めします。

お礼

ありがとうございます。
送信元は192〜です。
接続はブリッジモードです。(NetgearでいうところのAPモード)

> Netgearのログは12時間ごとの周期がありますので
そうなのですね。勉強になりました。
あとは、時刻の差ですね。あとで、両機器を再起動してみます。
それと、Netgear無しでの様子も確認してみます。

何度もお手数をおかけしてすみません。
とても助かりました。有難うございました。

2021/08/18 21:22

このQ&Aは役に立ちましたか?

この質問は投稿から一年以上経過しています。
解決しない場合、新しい質問の投稿をおすすめします。

質問する

その他の回答 (3件中 1~3件目)

2021/08/17 21:56
回答No.2

記録された送信元MACアドレスは、質問者さまの所有されているNetgear製品のMACアドレスとは一致しているのでしょうか?

また、Netgear製品のログには、同時刻にキープアライブパケットのような送信が無いか残っているかも見られても良いかもしれません。

一旦その攻撃が記録される時刻頃にNetgear製品を外してみてどうなるかを試されても良いかもしれません。

本題とは逸れますが、気持ち悪いようであれば当該製品を他社製品に買い替えるのも手かと思います。

お礼

ご回答有り難うございます。
Netgearのルーターを確認し、MACアドレスが一致しておりました。ご指摘有り難うございました。

また、Netgear側のログも見ることが出来ましたので、確認致しました。
送信元IPアドレスも一致していました。しかし、Netgear側のログは下記のように1日に2回発信されており、HG8045Q側の1日1回と回数が合っておりませんでした。時刻も異なっているのですが、その点は機器内の設定時刻のズレかなと思っています。

[Internet connected] IP address: **.**.**.**, Tuesday, Aug 17,2021 20:56:09
[Internet connected] IP address: **.**.**.**, Tuesday, Aug 17,2021 08:56:09
※HG8045Q側のDoS攻撃と判断されている当該ログの時刻は[2021-08-17 16:27:59]なので時刻はズレている。
※Netgearの時刻は毎日8:56と20:56で、HG8045Q側は16:27。どちらもその点では一定時刻。

以上のことから、HG8045QのログにあったDoS攻撃とは、Netgearのルーターからの接続信号であろうと判断しました。(2回と1回という回数の違いが謎のままではありますが)

なんとか解決できましたのもご指導のおかげです。本当に有り難うございました。

2021/08/18 09:44

補足

補足です。
両機器の時刻設定を確認しましたが、しっかりとNTP同期されており、時刻に誤りはありませんでした。
ということは、Netgearの発信側と、HG8045QのDoS攻撃ログとの時刻がズレていることは気になりますね。Netgear側には8時台と20時台のログしかなく、16時台のログがないので。
まぁ、ただ、発信元IPアドレスの一致と、MACアドレスが一致しているので、時刻のことはわからないままで置いておくことにします。
念のため、補足のご報告でした。

2021/08/18 09:49

2021/08/17 14:24
回答No.1

送信元IPアドレスがNetgearルータのアドレスか確認すべきですが、
おそらく、3)だと思います。
Netgearのルータからの通常の通信だと思います。
毎日同じ時間であることや送信先IPアドレスがブロードキャストであることから、NetgearのルータのDHCPの定期的な確認の通信と思われます。

DoS攻撃と書いてあってもその可能性があるということであって、
100%断定できませんが、状況的にはDoS攻撃とは考えづらいです。

外部から誰かがNetgearルータをのっとって、
それが攻撃しているという可能性もないとは言えませんが、
限りなくその可能性は低いと思います。

また、どのような環境でもネット側からの攻撃はあるものです。
頻度や送信元などで本当に攻撃かは判断するしかないと思われます。

お礼

ご回答有り難うございます。
大変わかりやすいご説明と、落ち着いた解析に厚く御礼申し上げます。
ご指摘の通り、毎日同時刻に1回なので、定期的な確認の通信の線でもう少し様子を見ることにします。
有り難うございました。

2021/08/17 17:47

お礼をおくりました

さらに、この回答をベストアンサーに選びますか?

ベストアンサーを選ぶと質問が締切られます。
なおベストアンサーを選びなおすことはできません。