ネットワークに関する疑問・質問 Part36

[過去ﾛｸﾞ] ネットワークに関する疑問・質問 Part36 (1002ﾚｽ)
上下前次1-新
抽出解除ﾚｽ栞

このｽﾚｯﾄﾞは過去ﾛｸﾞ倉庫に格納されています｡
次ｽﾚ検索歴削→次ｽﾚ栞削→次ｽﾚ過去ﾛｸﾞﾒﾆｭｰ

927(6): 2020/02/02(日)12:09 ID:ODB6D/Ly(1/2) AAS
昨夜TCPMonitorで不審なUDP通信を見つけたのでその通信の根源を特定しようとしたのですが、
自分の力では特定できず、トロイやウイルスの類なのかも解らないため力を貸してください

・昨夜発見したそのUDP通信
画像ﾘﾝｸ[png]:i.imgur.com

192.168.1.7番のPCを立ち上げた瞬間からこの「hosted〜」に対してUDP通信が始まります
そこで通信をしているプロセスを特定すべくnetstat -anobを管理者権限で実行しましたが、
TCPMonitorで観測したポートと一致するポートが出てこない為、特定できませんでした
念のためnetstat -anobで近しいUDPポートを利用していた「svchost」のディレクトリを全て調べましたが
全て正規の場所であり、svchostが利用しているDLLを調べるツールも使いましたが、全て正規のDLLが利用されていました
また、UDP通信のパケットをキャプチャしてデコードもしてみましたが(外部ﾘﾝｸ:i.imgur.com、
省2

928: 927 2020/02/02(日)12:10 ID:ODB6D/Ly(2/2) AAS
ちなみにIPも変えてみましたが、このUDP通信は必ずx.7番のマシンのULから始まるので意味はありませんでした
また、「i3d.net」というホストを調べてみると、どうやら家庭用ゲーム機のオンラインゲーム用のサーバー
を提供する会社のホストだと言う事は解ったんですが、私はオンラインゲームはしておらずSteam等のゲームクライアントの類も
インストールされていないので、本当に検討がつきません

現状はルータ側でLAN・WAN双方向リジェクトで対応しているんですが、
どうにかこのUDP通信の根源を特定したいので、検討がつけば是非アドバイス頂けると助かります

・環境 OS：Win7SP1(常用でない)、ルータ：PR-500MI(最新ファーム)
・試行 AvastによるHDD全スキャン、Chromeの有害ソフトウェア検査機能での検索

932(1): anonymous 2020/02/02(日)17:20 ID:??? AAS
>>927
そのIPアドレス自体はi3Dのやつで間違いなかった
i3Dはゲームだけじゃなくて普通のレンタルサーバーもある
このあたり参考にしてWiresharkでパケットの中身見てみたら？
外部ﾘﾝｸ:knowledge.sakura.ad.jp

933(1): 2020/02/02(日)18:40 ID:??? AAS
>>932
なるほど、であれば悪用したり何かしらの目的を持った個人の可能性もあるんですね
Ｗｉｒｅｓｈａｒｋ入れて見ましたがやはりプロセスの所がUnknownになってしまい特定出来ませんでした
パケットキャプチャしたデータも>>927で貼った画像と同じで、特定出来そうな物は出てきませんでした

あと関係あるか解らないんですが、ググったらSSDPリフレクター攻撃というのがあるらしく、
企業のゲームサーバーへの攻撃目的に一般家庭用のマシンが踏み台にされる事があって、
踏み台にされたマシンからUDP通信によるランダムポートアクセスで企業鯖へDDosが行われるらしいです
i3Dという鯖の性質からしても、もしかしたら私はこれなんじゃないかと思ったのですが、
確固たる裏付けがないので憶測でしかなく、実際の所は解りません

なんとか通信してるプロセスだけでも解れば良いんですが...

934(1): sage 2020/02/02(日)18:56 ID:??? AAS
>>933
>>927で見える443ってポート番号？
UDP443ならQUICだから普通は暗号化されていて中身は見えないと思う。

936(1): 927 2020/02/02(日)19:33 ID:??? AAS
すいませんレス番を名前に入れるの忘れてました
Chromeのアドオンを一応見てみましたが不審な物もなく、
Chromeのプロセスを完全に殺した状態でもUDP通信は止まらないです

あと調べれば調べる程、DDosに加担させられてる気がしてきました...
i3D.netのCEOが表明しているPDFの一部が日本語で掲載されているんですが、その中に

「マネージドホスティングプロバイダ i3D.net は、
同社のクラウドゲームサービスに対する分散 DDoS 攻撃の増加を阻止すると同時に〜」

と書いてあるので、この分散DDosにUDP通信で加担させられているのかなと... 考えすぎなら良いんですが...

941: 927 2020/02/03(月)12:52 ID:??? AAS
>>937
ありがとうございます、解決しました！　→　画像ﾘﾝｸ[png]:i.imgur.com
Avastが原因でした....　つい2〜3日前にAvastがユーザの検索履歴やマウスカーソルの追跡データを無断で収集し、
それを外部に販売していたってニュースが出て大騒ぎになりましたが、今回のUDP通信はまさにそれかもしれませんね...
念のためこれからもhostedはリジェクトします、皆さんありがとうございました

上下前次1-新書関写板覧索設栞歴

ｽﾚ情報赤ﾚｽ抽出画像ﾚｽ抽出歴の未読ｽﾚ AAｻﾑﾈｲﾙ

ぬこの手ぬこTOP 0.049s