web-dev-qa-db-ja.com

SonicwallがSmurf増幅攻撃警告をスローする原因は何ですか?

最近、新しいラップトップをセットアップしました。さまざまな開発者ツールをインストールした後、ラップトップがネットワークに接続されるたびに、Sonicwallファイアウォールがアラートメールを発行し始めました。メッセージ(芸術的に変更されたソースIPを使用)は次のとおりです。

「アラート-侵入防止-スマーフ増幅攻撃の削除-192.168.1.19、8、X1-255.255.255.255、8」

NICカードが有効になっているとき、および/またはラップトップが起動したときにのみ発生しました。

ラップトップでTCPViewを実行するためにさまざまな試みを行いましたが、ポート8トラフィックを検索し、Sonicwallアプライアンスを監視して偽のトラフィックがないか確認しましたが、それを絞り込むことができませんでした。 Microsoft Security Sweeper CDを起動してスキャンを実行し、Malware Bytesなどを実行して、システムにマルウェアが侵入したかどうかを調べようとしましたが、すべてクリーンになりました。

TCPViewを実行しているときに気付いたのは、システムがポート80でリッスンしているように見えることでした。VisualStudio 2010をインストールし、IIS Expressなどがおそらく実行中であると考えたため、最初はシステムを閉じました。しかし、昨夜、エクスプローラでフォルダを右クリックし、そこに XSP Web Server を挿入するオプションに気づきました。Googleのクイック検索で、XSPが何であるか、そしてそれがMonoの開発を探索するために最近インストールされた MonoDevelop IDE の一部。

今朝、私はMonoDevelopをアンインストールしてラップトップを再起動しました-Sonicwallアプライアンスからの警告メールはありませんでした。

私は、この情報を入手して、「潜在的に侵害されたシステム」をめぐってIT部門と突然闘っている他の人がアラートの1つの可能性に注意を向けられるようにしました。また、Sonicwallの怒りを招くネットワークの初期化時にXSP(またはMonoDevelop?)が何をしているのか知りたいです。

編集:上記を強調します。どうやらXSPサーバーが問題を引き起こしたのではなく、ネットワークに接続しているときにも問題が発生しているようです。これを反映するように質問のタイトルを変更しました。

3
cpuguru

これが実際にスマーフ攻撃であることを確認しましたか?トラフィックが多いですか?

または、ファイアウォールのIPアドレスは実際にはIPですか?

実際の「攻撃」のパケットダンプを確認すると役立ちます。誰かがここで被害者である必要があり、それがあなたである場合、あなたはあなたの道にやって来るICMPメッセージの洪水を見るはずです。

smurf.Powertech.no は、適切に構成されていないネットワークのレジスタを持っているため、smurf攻撃を許可します。彼らのサイトからの引用:

SARを使用すると、インターネットに接続されたIPネットワークを調査して、加害者がスマーフ増幅に使用できるように構成されているかどうかを確認できます。

できるだけ早くパケットダンプを開始し、トラフィックの送信元を特定できるかどうかを確認する必要があります。スマーフ攻撃は理論的にはスプーフィングされているので難しいかもしれませんが、パケットダンプはおそらくいくつかの重要なポインタを与える可能性があります。

あなたのケースでうまくいくかもしれないTcpdumpコマンド:

tcpdump -w test.pcap udp port 8
2
Chris Dale