スベリミナル効果

技術的なことを書こうと思ってたけど何でも書くことにします


通常用

ふざけ用
何でもコメントください… 横長読みにくいとか…
ダジャレ好きの方はこちらにどうぞ→スベリブログ2.0

LAN内に飛ぶ無駄なパケットども

Raspberry Pi 2 Model B 買ってみたのでちょっとWebサーバでも構築してみるか、
と思い諸々設定をし始めて、別なところが気になっちゃってます。

勉強を始めたら本棚の並びが気になってしまい本の整理を始める受験生みたいだ…




はい、取り急ぎ、iptablesを設定しておりました。
debian系は iptables-persistent なんすね、いつもredhat系しか触らないので…

外部への公開を目論んでいるので、変なアクセスが無いか見るため、
iptablesでログを残すようにします。

$ apt-get install iptables-persistent
(略)
$ iptables -N LOGGING
$ iptables -A INPUT -j LOGGING
$ iptables -A LOGGING -j LOG --log-prefix 'DROP: ' -m limit --limit 3/minute
$ iptables-save > /etc/iptables/rules.v4


まあまだ何も無いのでこんな感じです。

$ iptables-save
# Generated by iptables-save v1.4.14 on Sun Apr 26 17:57:53 2015
*filter
:INPUT DROP [26:3354]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [550:98144]
:LOGGING - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22(仮) -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -j LOGGING
-A LOGGING -m limit --limit 3/min -j LOG --log-prefix "DROP: "
COMMIT
# Completed on Sun Apr 26 17:57:53 2015


さて、ログ出てるかなあ…

$ less /var/log/messages
 :
Apr 26 02:43:59 raspberrypi kernel: [46382.284035] DROP: IN=eth0 OUT= MAC=略 SRC=192.168.11.1 DST=192.168.11.5 LEN=60 TOS=0x00 PREC=0x00
 TTL=64 ID=56338 DF PROTO=TCP SPT=3896 DPT=3389 WINDOW=5840 RES=0x00 SYN URGP=0 
Apr 26 02:51:36 raspberrypi kernel: [46839.545994] DROP: IN=eth0 OUT= MAC=略 SRC=192.168.11.1 DST=192.168.11.5 LEN=60 TOS=0x00 PREC=0x00
 TTL=64 ID=27944 DF PROTO=TCP SPT=3029 DPT=21 WINDOW=5840 RES=0x00 SYN URGP=0 
 :
Apr 26 18:08:19 raspberrypi kernel: [ 2772.735817] DROP: IN=eth0 OUT= MAC=略 SRC=192.168.11.3 DST=192.168.11.255 LEN=129 TOS=0x00 PREC=0x00 TTL=128 ID=5013 PROTO=UDP SPT=17500 DPT=17500 LEN=109 
Apr 26 18:08:49 raspberrypi kernel: [ 2802.752873] DROP: IN=eth0 OUT= MAC=略 SRC=192.168.11.3 DST=192.168.11.255 LEN=129 TOS=0x00 PREC=0x00 TTL=128 ID=5019 PROTO=UDP SPT=17500 DPT=17500 LEN=109 
 :
Apr 26 18:08:34 raspberrypi kernel: [ 2788.074868] DROP: IN=eth0 OUT= MAC=略 SRC=192.168.11.3 DST=192.168.11.255 LEN=229 TOS=0x00 PREC=0x00 TTL=128 ID=5014 PROTO=UDP SPT=138 DPT=138 LEN=209 
Apr 26 18:14:36 raspberrypi kernel: [ 3149.712401] DROP: IN=eth0 OUT= MAC=略 SRC=192.168.11.3 DST=192.168.11.255 LEN=239 TOS=0x00 PREC=0x00 TTL=128 ID=5138 PROTO=UDP SPT=138 DPT=138 LEN=219 
 :
Apr 26 18:10:00 raspberrypi kernel: [ 2873.899875] DROP: IN=eth0 OUT= MAC=略 SRC=192.168.11.3 DST=192.168.11.255 LEN=60 TOS=0x00 PREC=0x00 TTL=128 ID=5056 PROTO=UDP SPT=60283 DPT=22936 LEN=40 
Apr 26 18:11:00 raspberrypi kernel: [ 2933.910615] DROP: IN=eth0 OUT= MAC=略 SRC=192.168.11.3 DST=192.168.11.255 LEN=60 TOS=0x00 PREC=0x00 TTL=128 ID=5077 PROTO=UDP SPT=60284 DPT=22936 LEN=40 

だいぶ出てるなおい、なんだこりゃ、LANだけでこれかよ。
気になって夜も7時間くらいしか眠れないよ。(ベタな小ボケ1スベリ)

一つ一つ片付けていこう…

  • ルータからのスキャンっぽいやつ

SRC=192.168.11.1 DST=192.168.11.5 PROTO=TCP SPT=3896 DPT=3389
SRC=192.168.11.1 DST=192.168.11.5 PROTO=TCP SPT=3029 DPT=21

192.168.11.1 はBUFFALO ルータ、192.168.11.5 は raspです。
RDP(TCP/3389)とかいかにもスキャンしてるぜって感じで怖かったです。
ルータがオイタされている系(下記参照)かと思いました…
Remote Desktop (RDP) が使用する3389番ポートへのスキャンに関する注意喚起

でもググったら仕様でした。以下のサイト様が解説されております。
「ポートスキャン攻撃をログに記録しました」が頻繁に表示される問題の原因が無線LANルータにあった| 情報科学屋さんを目指す人のメモ

以下のバッファローのヘルプ通り解除することで止まりました。
パソコンのセキュリティーソフトウェアが無線LAN親機から3389や8080ポートにDOS攻撃されたというログを残しますが、止める方法はありますか - アンサー詳細 | BUFFALO バッファロー

  • キュイの戦闘力(18000)を彷彿とさせる17500ポートへのブロードキャスト

SRC=192.168.11.3 DST=192.168.11.255 PROTO=UDP SPT=17500 DPT=17500

192.168.11.3 は管理グダグダのWindows PCです。
srcとdst同じでなんかのアプリっぽいなあ…

と思いググったらすぐに分かりました。以下のサイト様参照。
VPSでDropboxを使うなら、LAN Syncを止めよう! - Soukaku's HENA-CHOKO Blog

DropboxにLAN Syncなんて機能あったのか… しかもVPSとかで迷惑をかけていると言う…
もうすぐにこんな機能抹殺です。ポチっとな。

へっ、きたねえSyncだ。(2スベリ)

  • 不服三郎(22936)のブロードキャスト

この程度の語呂合わせしか浮かばなかった…(3スベリ)

SRC=192.168.11.3 DST=192.168.11.255 PROTO=UDP SPT=60284 DPT=22936

これもまたWindows PCから1分毎に出ているようです。同様にググります。
左手は添えるだけ、トラブルはググるだけ…

NAS Navigator2が製品を検出するときのプロトコルは何ですか - アンサー詳細 | BUFFALO バッファロー
またBUFFALOか。確かに昔NAS買ってすぐ撤去したんだった…
管理ソフトが入ったままだった模様…


おまわりさん、こいつです。

サービス停止でパケットは止まりました。
さよなら、不服三郎。

  • NetBIOSさんたち

SRC=192.168.11.3 DST=192.168.11.255 PROTO=UDP SPT=138 DPT=138

まあ、これはしょうがないとして、ログに出ないようにしときましょう。

iptables -A LOGGING -p tcp --dport 137:138 -j RETURN


とりあえず私のLANは以上でございました。
ってかほぼBUFFALOでしたね、、、このバッファロー(バッキャロー)!と言いたい。(4スベリ)

いや、入れたのは僕なんですけどね…


あなたのLANは大丈夫か、是非チェックしてみてください。



素材