ネットワーク詳しい人助けて!!!!

■ このスレッドは過去ログ倉庫に格納されています
1以下、5ちゃんねるからVIPがお送りします2020/02/01(土) 20:56:22.022ID:5Whi6YsB0
TcpMonitor立ち上げたら不審な通信があって、この通信の根元が解らない

https://i.imgur.com/9UpnVEO.png

この「hosted〜」ってホストと不定期にUDP通信してるんだけど、PID出ないから良く解らない
ブラウザ落としても不定期にUDP通信してるし、今まで見たことないホストでググっても情報殆どない
IP変更を両方(ルータ再起動でv4のIP変更、ipv6に変更)試したけど、UDP通信は止まらない

ちょくちょく通信やプロセスは見てるんだけど、今回のはあまりに不審だし見に覚えない...誰か助けて!

2以下、5ちゃんねるからVIPがお送りします2020/02/01(土) 20:57:02.586ID:mjj4eXKX0
身に な?(´・ω・`)丿

3以下、5ちゃんねるからVIPがお送りします2020/02/01(土) 20:58:20.557ID:WcTsxX2T0
ブロックしろよ

4以下、5ちゃんねるからVIPがお送りします2020/02/01(土) 20:59:30.895ID:WcTsxX2T0
取り敢えずそのポートとIDをブロックリストにぶち込んどけ

5以下、5ちゃんねるからVIPがお送りします2020/02/01(土) 20:59:40.101ID:3xerQd6G0

6以下、5ちゃんねるからVIPがお送りします2020/02/01(土) 20:59:54.298ID:mQ9doUpO0
>>3
ブロックwwwwwwwww
馬鹿すぎ

7以下、5ちゃんねるからVIPがお送りします2020/02/01(土) 20:59:56.729ID:9V2s9R8I0
社内seなら失格だな
初動がおかしい。
まずはLAN抜いて初期化するぜ

8以下、5ちゃんねるからVIPがお送りします2020/02/01(土) 20:59:59.347ID:3xerQd6G0
↑みろ

9以下、5ちゃんねるからVIPがお送りします2020/02/01(土) 21:00:16.607ID:5Whi6YsB0
普通こちらか能動的なセッションが保たれていたらIP変えれば通信止まるもんね
でも、ipv4とv6両方試してIP変えたけどすぐhosted~のホストとUDP(UL)通信が始まるから、
もしかしてウイルスやら何か感染してるのかなってプロセス見ても、特別怪しそうなのなくて解らない...

>>3
ブロックは出来るけども、もしウイルスとかだったら面倒くさいから根本を絶ちたい
でもウイルスにかかるような身におぼえないし、IP変えても通信してるからこっちから送ってるわけだよね
通信の挙動だけ見るとトロイっぽくて凄く怖い

10以下、5ちゃんねるからVIPがお送りします2020/02/01(土) 21:01:15.719ID:mQ9doUpO0
ブロック馬鹿はほっといていいよ多分なんも知らないやつ

11以下、5ちゃんねるからVIPがお送りします2020/02/01(土) 21:02:23.200ID:5Whi6YsB0
>>8
ゲームとかやってないしSteamとかも入ってないのに何だろこれ
ホストでググると16年前の記事で中華スパムとか出るけど記事が古すぎてなんとも...

12以下、5ちゃんねるからVIPがお送りします2020/02/01(土) 21:02:25.957ID:SmJgIDE10
edpかedr

13以下、5ちゃんねるからVIPがお送りします2020/02/01(土) 21:02:32.466ID:3xerQd6G0
>>8
誤爆した

14以下、5ちゃんねるからVIPがお送りします2020/02/01(土) 21:04:26.066ID:5Whi6YsB0
>>10
この通信の根源を特定するにはどうしたらいいのか
バイナリ見ても良く解んないし...

15以下、5ちゃんねるからVIPがお送りします2020/02/01(土) 21:05:35.032ID:3xerQd6G0
ってかプロセス番号確認してタスクマネージャでその番号のプロセス見ればプログラムの特定はできるだろ…

16以下、5ちゃんねるからVIPがお送りします2020/02/01(土) 21:07:46.890ID:5Whi6YsB0
>>15
TcpMonitorでPID出ないんだけどどうやって見れば良い?
画像の通りChromeとかはPID出てるけどhosted~は出てない

17以下、5ちゃんねるからVIPがお送りします2020/02/01(土) 21:08:25.155ID:3xerQd6G0
>>16
右クリックしてコピーからできるだろ

18以下、5ちゃんねるからVIPがお送りします2020/02/01(土) 21:09:58.620ID:vcM5/wWf0
通信が嫌ならホスト名なり何なりで塞いじゃえばいいし、
どうしても根本から止めたいけどプロセスわからない言うなら、消去法で他のプロセスどんどn止めていけば分かるんじゃないの

19以下、5ちゃんねるからVIPがお送りします2020/02/01(土) 21:13:00.873ID:5Whi6YsB0
>>17
PIDが表示されてないって事なんだけど右クリックからコピー?
Chromeの通信はPID表示されてるし右クリコピーできるよ、
でも問題のhostedはPIDがpingみたいにないからプロセスが解らないの
>>1の画像の通りだよ

20以下、5ちゃんねるからVIPがお送りします2020/02/01(土) 21:17:44.205ID:5Whi6YsB0
無理か...

21以下、5ちゃんねるからVIPがお送りします2020/02/01(土) 21:18:37.568ID:3xerQd6G0
>>19
コマンドプロンプト開いてnetstat -anoで同じポート使っているプロセスを特定したらいいよ

22以下、5ちゃんねるからVIPがお送りします2020/02/01(土) 21:18:51.998ID:kU4cP5VV0
管理者で起動しろよマヌケすぎ

23以下、5ちゃんねるからVIPがお送りします2020/02/01(土) 21:20:20.352ID:wt1Kz+WM0
ネットワーク監視の派遣やってたことあるが、何も考えずにアラート報告してただけだから、よくわからん

24以下、5ちゃんねるからVIPがお送りします2020/02/01(土) 21:23:12.407ID:3xerQd6G0
管理者権限のコマンドプロンプトでnetstat -anobやれば一発で特定できる

25以下、5ちゃんねるからVIPがお送りします2020/02/01(土) 21:23:21.242ID:5Whi6YsB0
>>21
https://i.imgur.com/5Oi5hCC.png
毎回ポート変わってる、そもそもプロセスから吐いてんのかなこれ...

26以下、5ちゃんねるからVIPがお送りします2020/02/01(土) 21:23:42.912ID:AjuG+/vbM
>>25
管理者権限って知ってる?

27以下、5ちゃんねるからVIPがお送りします2020/02/01(土) 21:28:03.568ID:5Whi6YsB0
>>24
PID特定できました、svchostでした
ググってみたらsvchostってトロイがよく寄生するらしい
なんか怖くなってきた

28以下、5ちゃんねるからVIPがお送りします2020/02/01(土) 21:30:15.767ID:3xerQd6G0
>>27
プロセスの実行ファイルの場所を確認しろ

それが変な場所なら偽装プロセス

29以下、5ちゃんねるからVIPがお送りします2020/02/01(土) 21:31:19.372ID:VIhNg0EI0
そういえばXPとかセブンの時はタスクマネージャでサービス追えなかったけど10だとどのサービスか簡単に出せるようになってるよね

30以下、5ちゃんねるからVIPがお送りします2020/02/01(土) 21:36:13.263ID:VIhNg0EI0
全く関係ないけどWiresharkって一時期ダウンロードできなくなってた記憶があるんだけど俺の記憶違い?

31以下、5ちゃんねるからVIPがお送りします2020/02/01(土) 21:43:15.127ID:5Whi6YsB0
>>28
特定できたと思ってたけど違ったっぽい
プロセスでちゃんと「使用され続けてるポート」じゃないとコマンドで出ないよね
たくさんtcpmonitorで観測できるポートを何度もnetstat -anobして調べたけど一致するポートが出てこない
一応念のため近いポートで使われてたsvchostは全部調べたけどディレクトリは全て正規の所だった
ちなみにtcpmonitorも管理者権限でやってみたけどPID出なかった

32以下、5ちゃんねるからVIPがお送りします2020/02/01(土) 21:45:19.107ID:rHLfmAR00
ブロック馬鹿にしてる人いるけどなんで?
そんなに変なことなの?

33以下、5ちゃんねるからVIPがお送りします2020/02/01(土) 21:45:27.292ID:kU4cP5VV0
Microsoft Message Analyzerはもう消えた

34以下、5ちゃんねるからVIPがお送りします2020/02/01(土) 21:46:08.205ID:5Whi6YsB0
通信する一瞬だけプロセス動いてすぐ死んでんのかな
今根気よくnetstat -anob連打してTCPMoniorと照合作業してるけどポートが全く合わない...

35以下、5ちゃんねるからVIPがお送りします2020/02/01(土) 21:50:13.381ID:kU4cP5VV0
困ったらとりまAPI Monitor使え

36以下、5ちゃんねるからVIPがお送りします2020/02/01(土) 21:52:58.115ID:5Whi6YsB0
うーむ、解らないからとりあえずsvchostの中見てみる...

37以下、5ちゃんねるからVIPがお送りします2020/02/01(土) 21:55:24.012ID:5Whi6YsB0
svchostの中身も怪しい物なかった、これはお手上げ
大人しくルータでipリジェクトしとくしかないか

38以下、5ちゃんねるからVIPがお送りします2020/02/01(土) 22:04:48.289ID:o5/aPqVMa
こんなとこで聞いてまともな答え期待するのが間違ってるw

39以下、5ちゃんねるからVIPがお送りします2020/02/01(土) 22:05:14.083ID:VIhNg0EI0
セッションモニターのところにはどういう風に出てくるの?

40以下、5ちゃんねるからVIPがお送りします2020/02/01(土) 22:14:27.884ID:5Whi6YsB0
>>39
セッションはhosted関係は何も出ないよ、ずっと待って凝視してても出なかった
その間IP監視モニタにはhostedが載ってるんだけどね、セッションモニタを同時に見れないし...
そもそもhostedへの通信始めが必ずUDPだから、セッション確立せずに一方的にパケット送ってるだけの可能性がある

41以下、5ちゃんねるからVIPがお送りします2020/02/01(土) 22:20:30.563ID:VIhNg0EI0
UDPだとそうなるのか
WIN10のリソースモニターとかでは見えないの?
ネットワークのタブで送信してるプロセスとか見れるけど

42以下、5ちゃんねるからVIPがお送りします2020/02/01(土) 22:25:16.965ID:5Whi6YsB0
見えないと思う多分、ローカルのICMP通信にPIDが出ないのと同じように、
管理者権限だろうと何だろうと出ないから、もう特定無理そうだからリジェクトするわ

43以下、5ちゃんねるからVIPがお送りします2020/02/01(土) 22:27:12.856ID:Cq5YxXlG0
どこでキャプチャしてどっち向けの通信なの?

44以下、5ちゃんねるからVIPがお送りします2020/02/01(土) 22:28:02.112ID:3xerQd6G0
リジェクトする前にパケットキャプチャして何送ってるか確認したら?

45以下、5ちゃんねるからVIPがお送りします2020/02/01(土) 22:33:14.792ID:5Whi6YsB0
>>44
https://i.imgur.com/4znxqvl.png
「=」 とか 「or」 が入ってるから何かパラメータっぽいけど良く解らない
いくつか見ても似たような「?」文字ばかりで何とも...

46以下、5ちゃんねるからVIPがお送りします2020/02/01(土) 22:37:09.996ID:3xerQd6G0
アスキーでデコードしてもなんも意味わからないバイナリなら分からんな

47以下、5ちゃんねるからVIPがお送りします2020/02/01(土) 22:43:34.632ID:5Whi6YsB0
特定できそうな文字列とかパラメータがないから無理っぽい
どんなプロセスかも何送ってるかも解らないのにIP変更してもUDPでULし続けてる
ほんと怖い、マルウェアとかトロイ関連ならプロセス解るだろうし、ほんと意味不明

48以下、5ちゃんねるからVIPがお送りします2020/02/01(土) 22:48:01.001ID:5Whi6YsB0
まってまってまって、ちょっと怪しい事になってきた
やばいやばいやばい

49病巣院クルリ ◆ExSH/7DvkA 2020/02/01(土) 22:49:19.431ID:CIq6DY6m0
なに

50病巣院クルリ ◆ExSH/7DvkA 2020/02/01(土) 22:55:35.999ID:CIq6DY6m0

51以下、5ちゃんねるからVIPがお送りします2020/02/01(土) 22:57:22.599ID:5Whi6YsB0
netstat -anobかけたらsvchostがUDPでポート:1900使ってる

で、ググったら警視庁がSSDPリフレクション攻撃の警告PDF出してた
「 UDP を利用するプロトコルを悪用するリフレクター攻撃 」

「ほとんどすべてが疑似ランダムの送信元ポートからの攻撃」って当てはまってるし、
「1900のUDPを遮断するとオンラインゲームに接続できなくなる可能性があります」って書いてあるけど、
hosted~~~~i3d.netの「i3d.net」ってオンラインゲーム用のサーバーらしいんだよね

つまり、踏み台にされてるって事かもしれない、いやーまじかーやべえ

52以下、5ちゃんねるからVIPがお送りします2020/02/01(土) 23:03:33.460ID:5Whi6YsB0
だめだでも結局根本的な所が解らないから憶測でしかない
諦めてリジェクトする、はぁ...俺に技術と知識があればこんな事には...
くそったれ

53病巣院クルリ ◆ExSH/7DvkA 2020/02/01(土) 23:04:04.308ID:CIq6DY6m0
ネットワーク板で聞きなよ

54以下、5ちゃんねるからVIPがお送りします2020/02/01(土) 23:04:20.549ID:3xerQd6G0
とりあえず部屋の掃除だけはしておけよ…

55以下、5ちゃんねるからVIPがお送りします2020/02/01(土) 23:06:24.283ID:CTw+dYyO0
パケットキャプチャして何の通信か見ろ

56以下、5ちゃんねるからVIPがお送りします2020/02/01(土) 23:17:19.831ID:5Whi6YsB0
あああああああやっぱ踏み台だあああああああああああ
記事になってらあああああああああああああああああああ
ASCIIで5年前に記事になってら...

SSDP攻撃の踏み台になってたマシンからーム業界の鯖を狙い撃ちしてるんだってよ
家庭用のマシンやルータ・プリンタがが踏み台にされて、
大手ゲーム業界の鯖にDDosかける攻撃に加担させられるらしい
i3d.netがゲームIP用の鯖って、まんまこれじゃん...

あーあ犯罪に加担した事になるんかこれあー最悪

57以下、5ちゃんねるからVIPがお送りします2020/02/01(土) 23:21:13.008ID:5Whi6YsB0
ちょっとルータのファームアップしてくる...
ID変わるけどはー最悪、多分SSDPだあーやだ
ネットワーク板行って本格的に聞くわもう

58以下、5ちゃんねるからVIPがお送りします2020/02/01(土) 23:22:16.056ID:3xerQd6G0
ルーターの型番とファームのバージョンは?

59以下、5ちゃんねるからVIPがお送りします2020/02/01(土) 23:23:47.186ID:wf0mCiQpa
DDos程度なら問題ないだろ

60以下、5ちゃんねるからVIPがお送りします2020/02/01(土) 23:30:29.882ID:S3zLmTvr0
>>58
PR500-MI、今06.00.0013から06.00.0015の最新版に上げてきたからID変わった
恐らくSSDP攻撃で鯖に負荷かける踏み台にされてるので間違いなさそう
今から1900だけリジェクトしてくる

61以下、5ちゃんねるからVIPがお送りします2020/02/01(土) 23:32:09.045ID:3xerQd6G0
部屋だけは掃除しておけよ…

■ このスレッドは過去ログ倉庫に格納されています