- PR -

PCから、不審なICMP Echo Request がなくならない

1
投稿者投稿内容
Torabon
会議室デビュー日: 2008/08/06
投稿数: 9
投稿日時: 2009-01-14 13:50
お世話になります。

OS:Windows XP SP2
ActiveDirectory環境のドメイン所属PC から
不審なICMP Echo Requestが送信されているのですがどのような
原因が考えられるでしょうか。

IPアドレスの振り方は以下になります。(サブネットマスクはすべて/24)
PC :192.168.254.10
Default GW :192.168.254.1
DNS server :192.168.10.2
Primary WINS server :192.168.100.2
Secondary WINS server:192.168.100.3

この上記PCから、数分〜10分程度?の間隔で、
1.Secondary WINS Server に対して。
2.上記とは全く関係ない(通常使わない)別のサブネットに
  存在するDNSサーバ(192.168.200.2/24 など)に対して

ICMP Echo Request が3〜4回程度送信されていることがわかりました。
ウイルスなどの可能性も疑いましたが、Trend Micro Virus Buster
コーポレートエディション、Microsoft Live Scanの手動実行、
いずれにも引っかかっていないため、過去のスレッドにあったWelche
等のワームでもないように思われます。
(また、Outlookの送受信、ブラウザでのWebアクセス等のタイミングで
 発生しているようなので、ウイルス/マルウェアの類とは少し違う
 ようにも感じます)

path MTU Discovery のEcho Requestならば、ネームサーバだけでなく、
途中経路のルータなどともパケットのやりとりがあるのではないかと
思うのですが、いまのところ、ネームサーバまでの途中のルータ等に
投げている気配がないため、これも違うのでは、と考えています。

明らかに害意のある挙動というほどではないですが、気味が悪い状態が
続いております。

この通信の原因について、お心当たりがありましたら、些細なことでも
構いませんので、ご教示の程お願い致します。

[ メッセージ編集済み 編集者: Torabon 編集日時 2009-01-16 14:11 ]
ESX3CNK3T5
会議室デビュー日: 2007/09/21
投稿数: 18
投稿日時: 2009-01-14 19:09
DDNSの登録とか
Torabon
会議室デビュー日: 2008/08/06
投稿数: 9
投稿日時: 2009-01-16 10:33
回答ありがとうございます。
DDNSは使っておりません。ネームサーバ宛ということで、WINS、DNS等の
仕様なのかとも疑いましたが、わざわざICMP Echo Requestを自動で
行うような話は聞いたことがないもので。
(ポーリング監視でもしない限り・・・)
たらお
大ベテラン
会議室デビュー日: 2006/12/25
投稿数: 206
お住まい・勤務地: 東京・永代通り
投稿日時: 2009-01-16 13:56
憶測ですが、、。
ドメインの信頼関係から、リソース使用可能なドメインサーバまでの
遅延を確認しているのかと。


(Domain#B)─DNS#B
 |↓icmp echo reply
 |
 |
(Domain#A)─DNS#A …信頼されているドメイン
 |・DNS#Bのリソースが使えることを、ドメインメンバに通知
 |
 |↑icmp echo request/TCP445
Client
 ・DNS#Aまで2ms、DNS#Bまで8msの遅延


_________________
_福田太郎_
Torabon
会議室デビュー日: 2008/08/06
投稿数: 9
投稿日時: 2009-01-19 08:50
引用:

たらおさんの書き込み (2009-01-16 13:56) より:
ドメインの信頼関係から、リソース使用可能なドメインサーバまでの
遅延を確認しているのかと。


回答ありがとうございます。
ドメインサーバまでの遅延確認とのことですが、この仕組みはWindowsネットワーク
独自のものなのでしょうか?
ActiveDirectory関連も調べてみたのですが、探し方が悪いのか、該当する仕組みに
ついての記述を見つけられませんでした。
(Webで調べるとウイルスがらみの情報ばかり出てきてしまいます)
たらお
大ベテラン
会議室デビュー日: 2006/12/25
投稿数: 206
お住まい・勤務地: 東京・永代通り
投稿日時: 2009-01-19 15:23
この挙動は、Active Drectory からだと記憶しています。
人伝えに聞いたので、ソースがはっきりしません。
特徴として、TCP:445(MSDS)を併用します。

全くそっくりの動作をしながら、感染先を探すWormがありましたね。
そっちのほうが有名かもしれません。

_________________
_福田太郎_
1

スキルアップ/キャリアアップ(JOB@IT)