[plamo:15740] Re: Windows の80と139

[早間義博]

> > （１）ポート139 への外部からのアクセスが殆ど Web （ポート８０）
> >      サーバに来る。
> 
> ちょっと意味不明なんですが，「Port 139 へのアクセスが 80 番ポートを開
> けている Web サーバに来る」という意味でしょうか?
>

そう言う事です。
 
> 
> Web サーバは公開されているサーバだ，という事でしょうか? それ以外に公開
> されているサーバはありますか?
> 

・５ＩＰアドレスがインタネットに接続されています。
・各々のＩＰは個別のホストに接続されます。
・Web (80) のアクセスを受け取るのは１台のみです。他のホストへの
  ポート80へのアクセスはは規制（drop）されていてログに記録されます。
・SMTP は 3 ホストで取り扱っています。他のホストへの smtp へのアク
  セスはは規制(drop)されていてログに記録されます。
・ポート 137-139 への外部からのアクセスは総て規制(drop)されていて
  ログに記録されます。
・その他のポートも同様に外部からのアクセスを受け付けないホストへの
  アクセスは規制(drop)されていてログに記録されます。

記録でポート 139 へのアクセスが destination アドレスが殆ど webサー
バ として働いている ホストに集中しているのです。

種々のアタックの時、全ホストに対して均等（？）にアクセスがある事が
多いのですが ポート 139 に関しては何故か web （ポート 80）を開いて
いるホストに集中しています。

ポート 137 へのアクセスはかなりアタック的なアクセスで全ホストに来
ているものが多いのです。soure IP から見ると個別の様でもドメインレ
ベルで検証すると全ホストにアクセスがあります。
１例ですが偶数と奇数を分けてアクセスしています。
 port  source IP       destination IP
  137  XXX.XXX.XXX.3   yyy.yyy.yyy.9
  137  XXX.XXX.XXX.3   yyy.yyy.yyy.11
  137  XXX.XXX.XXX.3   yyy.yyy.yyy.13
  137  XXX.XXX.XXX.3   yyy.yyy.yyy.15
  137  XXX.XXX.XXX.4   yyy.yyy.yyy.8
  137  XXX.XXX.XXX.4   yyy.yyy.yyy.10
  137  XXX.XXX.XXX.4   yyy.yyy.yyy.12
  137  XXX.XXX.XXX.4   yyy.yyy.yyy.14

> > 
> > 推測ですが、WinXP は、
> > 
> > (1) 与えられた共有名は、「Webフォルダ(WebDAV)」としてアクセスする。
> >     →ゆえに、port 80 を見る。
> > 
> > (2) port 80 で繋げられないので、smb 共有としてアクセスする。
> >     →ここで、port 139 とかを見る。
> 
> ちなみに、
> 
> ** apacheのaccess_logより。
> 
> 192.168.0.71 - - [22/Oct/2002:14:38:13 +0900] "OPTIONS / HTTP/1.1" 200 -
> 192.168.0.71 - - [22/Oct/2002:14:38:13 +0900] "PROPFIND /samba HTTP/1.1" 404 2
> 72
> 
> こんなログが載っておりました。
> （Samba共有名は「samba」としています。）


早間 > 自宅でも、Windows(XP) で samba 経由で linux にアクセスすると必ず
早間 > web にアクセスします。
早間 > 
早間 > Windows(XP?) は ポート80 へのアクセスとポート139へのアクセスが切り
早間 > 離せ無いのでしょうか。

は無関係のようですね。

web サーバはサーバ名でのみアクセスを受け付けて直接 IP でのアクセス
は Illegal access としているので XP がつながっていると Illegal
access のレポートに載ってしまいます。

-- 早間  yossi@yedo.src.co.jp