CATV JCOMのIPアドレス
WINIPCFGでみてびっくり。
ひでー会社。
どこのCATVのサービスも同じってほんと?
ノートンパーソナルファイアーウォールは入れてるけど。
いや、プライベートアドレスを配ってるところもあるよ。
ところで漏れも JCOM なんだけど、
12 ビットもあるセグメントをどうにかしてくれ。
137-139 が飛びまくって、超ウザい。
もっとルータを立てて仕切るか、
それくらいケーブルモデムで止めてくれよ。
それにしてもJ-COMは、IP固定どころかホスト名が
完全に固定になるのがつらい。うっかり生でfusianaやると
ちょっとあせる。
そうか。137-139 は、あんまり飛んでこないのか。
あっ、それと、JCOM のデフォルトルータが飛ばしてくるマルチキャスト、
ウザくない?
ところで漏れんとこには、よく 53 とか 111 を叩いてくるヴァカがいるが、
そっちではどお? (ログられてんのよぉ〜 →ヴァカ)
53とか111ってポート番号?
ノートンだとポートをブロックしたことしかわかんないよ。
たまにバックオフィスとかトロイとか表示されるけど全部ブロック
してない可能性あるから怖いね。
FIREWALL には何を使っているんすか?
漏れんとこは、ipchains だよ。
失礼、まちがえました。
情報あんがと。
月イチくらいで変わるってこと?
完全にsage進行してるからレスに気付かなかったよ。
確かにあのパケットはうざい。ダンプ取ってると邪魔。
まあフィルタかけてはいるけど。
俺のところにくるのは多い順に
SUNRPC、FTP、PROXY、TELNET、PRINTER、HTTP
って感じ。たまにSrcPortとDstPortが同じの、
lionらしきパケットとかも来るけど。トロイ狙いは来たこと無い
国でいうと中国、韓国がよくSUNRPC狙ってきて、
台湾がよくFTP、PROXY狙ってくる。そして直に
telnetポートにアクセスしてくるのはいつもUS野郎(w
いくらなんでもいきなりtelnetで繋ごうとするな!
せめて下調べぐらいしてくれ
グローバルIPアドレスのリース期間は1週間だけど、
その期間終了してもなるべく同じ人にIPわりあてるんだってさ。
会社は半固定って言ってるけど、ことんど固定みたい。
WINDOWSのスタートから「ファイルを指定して実行」で
「WINIPCFG」を実行してみれ。
漏れんとこも、ほとんど同じだよ。(→ポート/国)
US 野郎は逆引きできちゃうのが多いかも。踏まれてるのかな。
あっ、今見たら、知らないポートが叩かれてる。
dst=2049/tcp …って、なに? src=80 だし。
やっぱりどこも同じなんだな。ところでそのポートは
NFS(Port 2049/udp,tcp)でしょう。いちおうセキュリティ
ホールになり得るものです。
ソースが80・・・まさかWEBブラウズした際の
応答パケットじゃないよね(w
えっ、NFS って、2049 だっけ?
をぃをぃ、マジなら物騒だな。
でも、漏れんとこの /etc/services には載ってないけど?
> ソースが80・・・まさかWEBブラウズした際の
> 応答パケットじゃないよね(w
いや、向こうからセッションを張りにきてるんだよ。
アドレスは…おっ、逆引きできちゃう。
え゛っ!? → mentai.2ch.sc
確かにその時間、逝ったような気がするけど...。
でも、どーゆーこと? なんか、アタマ混乱してきた。
鬱堕刺膿...。
おそらく素人が鯖立てて踏み台にされてんだろうな。
IPアドレスが変わるのは基地局の大幅なシステム変更があった時くらいかな?
この前IPアドレスが変わったのは1月にあったIP体系の変更時だったと思う。
ってことは、半年以上変わってないっすね。
鯖立てて遊んでるから便利と言えば便利っすね。w
ちなみに、ウチにくるゴミパケットのランキングは
1位 局から飛んでくるマルチキャスト(120秒位に一回)
2位 111番ポート
3位 137番ポート
4位 53番ポート
5位 トロイ各種のポート
って感じっすね。門番の子羊君が守ってくれてます。
>ってことは、半年以上変わってないっすね。
半年以上じゃなくって、半年位の間違い。。。
鬱氏・・・・・
いまパケットモニタで1分間ログとってみたら、
BOOTPC/DHCP 4パケット
ARP要求 16パケット
こんだけ来てたよ。もちろんその間ネットワークは
一切使ってない。たまに嵐のようにARPが来る時も
ある。
ipchains の DENY ログだけだから、そこまではわからん。
snort 入れてあるけど、内向きだし。
ところで今でもポートスキャンかけてきてんの? →JCOM
お隣さんとかちょっと調べてみたら、
FrontPage 突っ込んだままで丸見えのヤツとかが結構いて、
「おまえら、ナメとんのか〜っ!」って感じだった。
こっちは必死になって塞いでんのにぃ...。
実は白状すると、
設定をシクって、2 度ほどこわ〜いメールが来たことある。
ポートスキャンはさすがにかけてないんじゃないの。
ところでこわ〜いメールってどんなの?
ポートスキャンかけられたことがあるって事?
詳細きぼーん。
最初の頃、JCOM が漏れんとこにポートスキャンかけて調べてたよ。
あれっ、漏れだけ? み〜んな、そうだとばかり思ってたんだけど...。
設定をシクって、しばらくの間、いくつかのポートが外向けに空いたままに
なっちゃったことがあるんだけど、ものの 1 週間ほどでコワ〜いメールが
来たよ。あとから調べてみると、その時刻にちゃんとログにも残ってたし。
〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜
** ** <*******@***.zaq.ne.jp> 様。
日頃、当社のインターネット接続サービスをご利用いただき、ありがとうござ
います。
さて、当社では皆様が常に快適にインターネット接続サービスをご利用いただ
けますよう、通信状況などをモニター致しております。
*月**日にも一度、メールをお送りいたしましたが、*月**日17時40分の時点で、
まだ各種サーバー(FTP、Telnet、SMTP、DNS、finger、WWW、IMAP、NFS他)が稼働
していることを確認いたしました。
当社の個人向けインターネット接続サービスにおきましては、お客様がサーバ
ーをたてられることを認めておりません。
また、外部への公開を意図したものではないとしましても、不用意にサーバー
を立ち上げることは、とりわけ当社のインターネット接続サービスのように常時
接続の環境である場合、セキュリティ上、きわめて危険です。
**様におかれましては、直ちにサーバーを止めていただくか、少なくとも外
部からは接続できないように設定を見直していただきますよう、重ねてお願い申
し上げます。
*****************************************
(株)ジェイコム関西 ***局
インターネット技術部
:
:
〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜
うわ〜、確かにバッチリ監視してるな(w
おれもたまにApache + tomcat立てることが
あるから気をつけよ。もちろん外からは弾いてるけど
ところでJ-COMのネットワーク環境って、
WhatsUpGoldとかで調べられのかね。ばれるかな
その時はポートスキャンしてるって言ってましたよ。
ウチが加入してから局からスキャンされたことはないっすけどね。
で、やっぱ鯖立てがバレると警告メール来るんすね。。
気休めにApacheのconfファイルに以下の記述をしてますけど・・・
Order allow,deny
allow from all
deny from zaq.ne.jp kmsc.co.jp
他のISPとか串とか使って調査されたらバレバレなんすけど、あくまでも気休めって事で・・・w
ほぉ、窓方面ではこーゆーツールを使うわけね。
窓ばかりが相手だとこういうのでもいいのかも知れないが、
そうじゃなかったら、これだと思いっきりログられないか?
事実、漏れのお隣さんには、窓じゃないやつもいたよ。
漏れはもっぱら、nmap でステルススキャンだな。
ただし、むやみには絶対、使わない。
ポートを叩かれたとか、自分とこのテストとか、そーゆーときだけ。
専守防衛…って、ちょっと違うかな。でも気持ち的にはそんな感じ。
このスレのみんなもたぶんそうだと思うけど、
ハッカーではあるけれど、決してクラッカーにはならない。
パケットのダンプとってルーター使ってるかどうかも
チェックしてるかもね。まあ文句言ってくる訳じゃない
からしてないんだろうけど。
ちなみに俺は、複数台接続しようとは思わないが、
セキュリティを高めるためにfloppyfw使ってる。
ん?WhatsUpGoldはポートスキャン用のツールじゃないよ。
ネットワーク状態を監視する為の管理ツール。俺はポート
スキャンされた時はパケットダンプのログ見て、それをもとに
Pacmon Pro使って同じパケット送り返してやる。
あと>>29 は >>27へのレスね
> Order allow,deny
> allow from all
これだと全部通っちゃうよーな...?
漏れは ipchains で、会社から以外は全部はじいてる。
IIJ のバックボーンとかなら自動でパケット調べてるとかいう話だけど、
JCOM はそこまでできないんじゃないかなぁ?
ちなみに漏れんとこはキャッシュのために squid が入ってるけど、
ただ入れただけじゃあ、串だといわれる(実際、そうなんだが)ので、
わざわざ squid を調教して、完全匿名 squid(=完全匿名串) にしてある。
だからパケットを一目、見ただけでは、串経由はわからないはず。
でも、なんで、こんなこと、しなきゃ、ならんのか...。
確かに複数台がつながってるけど、
どうせ家族が同時に使うことなんて、ありはしないのに...。
みんなは、どうしてんの?
…やはり漏れは咎められるべきなんだろうか。
まあ文句言ってはこないだろうからいいんじゃないの?
つーかルーターとかに本気で文句言ってくるようなら、
マジでそのうちつぶれるでしょ、J-COMなんて。
そういや俺、HTMLフィルタリングする為にPerlで
ローカルプロクシ書いて使ってるけど、HTTP_CONNECTION
をcloseにして使ってるから串って思われるかも。
うん。わかってるっすよ。
仲間内で遊び用に使ってるんで、変に規制するのもアレかと思って・・・
だからせめて、ZAQと関西マルチメディアサービス(ZAQの親)だけを規制してるんすよ。
ちなみに、ZAQではセキュリティの為って大義名分を使えばルーターは黙認してくれます。
私の知り合いで正面切ってZAQに「ルーター使ってもいいか?」って聞いた人がいますが、
サポート窓口の答えがそれでした。但し当然ながら無保証って付け加えられたそうです。
変える事は無いよ、というより変えられない。
絶対変わらないから意味ないんだけどね
割り込みレス
JCOMがどう判断してるのか知らないけど
もしポートスキャンの結果だけで判断してるのなら
Apacheの設定で弾くのは意味無いと思う
ありがとう。なんだか少し、気持ちが軽くなったよ。
そういや全然関係ないけど、少し前(って、もうだいぶ前かな)、
JCOM が上流を 2 本にした…ってアナウンスがあったでしょ?
そのときの説明が「デュアルホームになりました!」だってさ。
全く笑わせるよね。
本っ当に、言葉知らないヴァカばっかり集まってるのかな? →JCOM
あのとき、みんなは可笑しくなかった?
漏れは職場の同僚とウケてました。
おれJ-COMに加入したの5月からだから知らなかったよ。
つーかそれまで家にインターネット環境無かったし。
まあ確かにJ-COMはかなりヴァカだと思うけどね。
1ですが、なるほど、そういう理由もあるのですね。参考になりました。
JCOMはそんな釈明もちろんしませんでしたが。
吸収されたタイタスの加入者なんか料金あがったり、
制約増えたり不満でしょうね。
>>36
確かにHOST名にコンピュータの識別番号入っていました。
HOST名からIPわかるのでしょうか?
こおいふ質問は「初級ネットのほうが良いのかな?」
逆引きしてついてくるホスト名は、"zaq" のうしろに
IP アドレスの 16 進表記をくっつけただけだから、
ホスト名だけから、簡単に IP アドレスがわかる。
DHCP で IP アドレスを配ってて、逆引きもできるようにしてある ISP は、
どこも、似たようなモンだよ。
16進数を10進数に変換すればよいのですね。
ありがとうございました。
ところで、アメリカのB級映画ではないですが、アッタックって
セキュリティー会社がソフト売るために.....ってことないかな?
普通は cj1234567-a.sugnm1.kt.home.ne.jp みたいな感じで、
最初に割り当てられるアカウント名っつーかコンピュータ名が
頭につくよ。つまり完全固定
普通のJ-COMって?
ツールは使ったらバレバレだね。やめとこう
だからぁ、どこだったら「普通」なの?
つーかせめて上りを倍にしろ
今日、とうとう接続できなくなりました。
FreeBSDは接続には使えないということでしょうか。
解約します。
へっ?
なんで?
メンテのあと、単に配給されている IP アドレスが変わっただけじゃないの?
数字引っ張りすぎじゃないか?(w
>>54
IPアドレスの付け替えなら今までにもたまーにありましたが、問題ありませんでした。
マシンの名前を、例の名前 cj1234567-a にしたけれど、
JCOMのサービス設定Webページにしか行かず、
PCの名前が間違っている、またはMACアドレスの登録を行ってくれ、と言われ、
MACアドレスを再度設定しなおしてみても変化無し。
Win2k機に換えてやってみればはっきりするんでしょうけれど…。
今まで出来ていた事が出来なくなるのはショック。
そういえば、
「お客様の設定がまだお済みでない場合は、早急に移行の手引きに従って設定してください」
っていう内容の葉書がしつこく来てたような気が。
それはいい案だね。
うちは会社の管理者だから、会社のネットワークに関しては比較的自由。
だから、会社のネットワークと自宅にVPNで繋いでる。
だからhttpd、mailサーバー立ち上げてるよ。堂々とね。
zaq側からのポートスキャンでは全く分からないからいいね。
> 数字引っ張りすぎじゃないか?(w
そういわれりゃ、確かにそうかも。スマソ。
若い番号…ってのが、なんだか、ちょっと嬉しくてsa。
>>56
ふぅ〜ん。それは確かにヤな気分だね。
でも漏れんとこも、似たようなことはあったよ。
ケーブルモデムが古い MAC アドレスをなかなか忘れてくれない…みたいな?
そういえば、そのときは NT だとスコンッと受け付けてくれたなぁ。
J-COM@Nethome って、MAC アドレスを「登録」しなきゃいけないの?
J-COMに吸収される前のタイタスもそうだった。
ケーブルモデムの古いMACアドレス消すのってどうやるんだっけ。
IPの解放、いや違うか。モデムの電源しばらく切っとけば良かったかな?
なにやら妙な ICMP を飛ばしてきやがったぞ。
過去ログ防止 age
モデム切ればいいのはallnet.
dhcpクライアントがhost名吐いてないだけなんじゃないの?
俺も7月からタイタス>JCOMになった口だけど
FreeBSDで問題なく接続できてるぞ。
亀レス、スマソ。
ipchains の DENY ログ(↓)。
Jul 14 22:34:16 * kernel: Packet log: input DENY eth1 PROTO=2 *.*.*.1:
65535 239.255.255.250:65535 L=32 S=0x00 I=9036 F=0x0000 T=1 O=0x00000494 (#32)
マルチキャスト…じゃ、ないよねぇ?
なんだこれ、ICMPのタイプはいったい・・・
これだけは知っとけ!みたいなことや、セキュリティの基本を学べるところないですか?
CATVなんでダイアルの時と比べてちんぷんかんぷんなんです。教えてください。
ttp://members.tripod.co.jp/eazyfox/
http://salami.2ch.sc/test/read.cgi?bbs=isp&key=987731417
protocol=2 は IGMP だった。
ICMP は protocol=1。
スマソ。
あれから nstreams ってツールを入れて tcpdump のパケットログを解析させてみたけど、
それでもわからなかった。
…鬱だ。
やつじゃないの?マルチキャストのメンバー確認で。
俺はJ-COM@NethomeだからZAQはよくわからんけど、
ちなみに俺は局からのIGMP、DHCP/BOOTPとかは全部
弾いてるよ。我ながら受け入れてやれよって感じだけど。
うちでは約 2 分おきに
Jul 16 14:15:43 * kernel: Packet log: input DENY eth1 PROTO=2 *.*.*.1:65535 224.0.0.1:65535 L=32 S=0x00 I=4960 F=0x0000 T=1 O=0x00000494 (#32)
ってのと
Jul 16 14:17:54 * kernel: Packet log: input DENY eth1 PROTO=2 *.*.*.1:65535 224.0.0.2:65535 L=32 S=0x00 I=5533 F=0x0000 T=1 O=0x00000494 (#32)
ってのは、確かに飛んでくる。
ちなみにこの 2 種類のマルチキャストは
224.0.0.1=ALL-SYSTEMS.MCAST.NET
224.0.0.2=ALL-ROUTERS.MCAST.NET
だから、ある意味、わかりやすいよね。
でもデスティネーションのアドレス(239.255.255.250)見てもわかるとおり、
こーゆーヤツじゃ、ないんだ。
何だかわかったら教えてね
RFC を調べてみると、なんだかこのパケット、間違ってるよ〜な気がする...。
239.255.255.250 のグループのメンバーを問い合わせているか、アナウンスしているみたいなんだけど、
destination ip がそれ自身になっているという、理解に苦しむパケットだ。
そもそも、こんなマルチキャストアドレス、使っちゃいけないんじゃないかなぁ。
どうせ、また ZAQ のヴァカ技術者が…(以下省略)。
確かにアドレスだけ見てもなんだか変だね。
しかし結局俺には理解不能だ。俺も今度1日中
パケットキャプチャして、色々研究してみよ。
でもこの季節はもうまともな話できなくなるだろうから、
しばらくこの板には来ない事にするよ。じゃね
そうか。(忙しいのかな?)
残念だけど、また、いつか、どっかで会おうな。
また1人消えたか…そして夏厨は増える一方…
そゆこと?
2 210.197. 80.129 <不明> 810ms ( ICMP )
3 210.197. 80. 1 <不明> 1058ms ( ICMP )
4 210.252.165. 49 <不明> 1511ms ( ICMP )
5 143. 90.139.131 CBCrk-01G2-0.nw.odn.ad.jp 1255ms ( ICMP )
6 143. 90.143. 29 KAJrk-03P8-0.nw.odn.ad.jp 732ms ( ICMP )
7 143. 90.143.197 KOTrk-01P2-0.nw.odn.ad.jp 1152ms ( ICMP )
8 143. 90.143.205 KOTra-01P0-0-0.nw.odn.ad.jp 1957ms ( ICMP )
9 210.132. 93.237 <不明> 1837ms ( ICMP )
10 203.181. 96.161 gsr-ote2.kddnet.ad.jp 1477ms ( ICMP )
11 203.181. 96.174 tr-sj1.kddnet.ad.jp 1559ms ( ICMP )
12 203.181.104. 50 ix-pa2.kddnet.ad.jp 1828ms ( ICMP )
13 203.181.104. 53 ix-pa1.kddnet.ad.jp 1713ms ( ICMP )
14 198. 32.176. 94 bx1.seattle.bellnexxia.com 1581ms ( ICMP )
15 206.108.102.249 core1-paloalto01-srp2-0.in.bellnexxia.net 2000ms ( ICMP )
16 206.108.102.165 bx3-seattle-pos7-3.in.bellnexxia.net 1565ms ( ICMP
dhcpクライアントを変えればいけると思うよ。
参考になるかどうかわからないけど、俺はlinuxでデフォルトのdhcpクライアントを削除して、
dhcpcdというクライアントソフトを拾ってきてそいつを入れれば動いたよ。
同じ穴だけど、FreeBSDで接続できてるぞ。
dhcpクライアント変えな
>>82-83 で思い出したけど、ISC のは v1 だとシクるよ。
出てしまうのですが、どうすれば防げるかどなたかご存じですか?
私はしかたなく別のメーラーを使っていますが。
> 私はしかたなく別のメーラーを使っていますが。
色々な意味で、それが最善の対処。
ありがとうございます。やはりそうですか。
ルーター使用、別メーラー使用、掲示板書き込み時は優秀なJP串刺しでしのぎます。
メール出してる人けっこう多いんだろうな。こわいこわい。
さいきんは匿名串使うほうがこわいよ!!
へぇ、そうなの? なんで?
ちなみに漏れは匿名串使ってる。
っていっても、自分の家に自分で作って立てた(>>32)ヤツだけどね。
だから、全っ然、匿名串になってない…。 (藁
会社からだけは繋げられるように設定してあるけど、
ipchains ではじいてるから、それ以外からは一切、使えない。
よさげ。
FreeS/Wan。
ところで、黄身と白身どっちがすき?
http://www.freeswan.org/
OpenBSD/NetBSD/FreeBSDには、IPv6が標準装備ですから、IPSECも勿論
使えます。ご参考まで。
ちなみに、私は黄身が好きです。
IPv6 だと部屋の中でしか使えない(現状、あたりまえか)
そろそろIPv6もノッてきた感じが。
JCOMと関係ない話だった。スマ。
Outlook Expressで自分にメール送受信してプロパティ開けたら、
やっぱり出てました、コンピュータ名。
これがどう危険なのかわからないけど、なんか気持ち悪いのでメーラー変えます。
2ちゃんねる書き込みのために使ってるプロクシはごていねいに
Interscanかけてくれます。
100〜のスレッドの続きを読む