投稿日:2005年12月03日 作成鷹の巣

No.19873 FWから出力されたログの内容について。



FWから出力されたログの内容について。

No.19873 投稿時間:2005年12月03日(Sat) 18:35 投稿者名:ぁや URL:

こんばんわ。ぁやです。

初めてお目にかかります。

今回はファイヤーフォールのドロップされたログの内容で下記の内容が出力されていて、
何がなんだかわかりません。

出力内容
/////////////////////////////
TCP packet out of state: First packet isn't SYN tcp_flags: FIN-ACK
/////////////////////////////

この意味は何を意味するのでしょうか?また実際に問題がある内容なのでしょうか
誰か少しでもご存知の方がいらっしゃったらお教え下さい。


無視でかまいません。

No.19874 投稿時間:2005年12月04日(Sun) 09:00 投稿者名:おやじ URL:

> 出力内容
> /////////////////////////////
> TCP packet out of state: First packet isn't SYN tcp_flags: FIN-ACK
> /////////////////////////////

結論から言えば、無視でかまいません。
上記は、TCPの最初のパケットが「SYN」ではなく、いきなり「FIN-ACK」だったので廃棄したメッセージです。
下記に超簡単にまとめてありますが、TCPの通信は、一番最初に「SYN」でコネクションを張り始め、通信が完了したら「FIN-ACK」でコネクションを切断し始める、といのが基本系です。
原因はわかりません(ポートスキャンの一種?)が、切断要求の「FIN-ACK」がいきなり飛んできたということです。
いずれにしても切断要求の「FIN-ACK」なので、これ自体で実害はないです。

http://www.aconus.com/~oyaji/router/tcp.htm


なんで「FIN-ACK」がさきなんんでしょうか?

No.19876 投稿時間:2005年12月04日(Sun) 14:12 投稿者名:ぁや URL:

おやじ様。
ぁやです。
ご返事ありがとうございます。問題ないことが分かりとりあえず安心
しました。分かりやすい資料もありがとうございまた。

でも,なんで「FIN-ACK」がさきなんんでしょうか?
ファイヤーフォールのログの詳細を見つけたのでもしご存知でしたら
教えて下さい。ファイヤーフォールは「Check Point FireWall-1」です。

★詳細ログ
////////////////////////////////////////////
Number: 110979
Date: 日付
Time: 時間
Product: VPN-1 & FireWall-1
Interface: E10001
Origin: FWのIPアドレス
Type: Log
Action: Drop
Protocol: tcp
Service: 1026
Source: SuraceのIPアドレス
Destination: DestinationのIPアドレス
Source Port: https (443)
Information: TCP packet out of state: First packet isn't SYN
tcp_flags: FIN-ACK
////////////////////////////////////////////
よろしくおねがいします。


FIN/ACKを先に送りつけるツールが存在する。

No.19877 投稿時間:2005年12月04日(Sun) 19:05 投稿者名:stranger URL:

> おやじ様。
> ぁやです。
> ご返事ありがとうございます。問題ないことが分かりとりあえず安心
> しました。分かりやすい資料もありがとうございまた。
> > でも,なんで「FIN-ACK」がさきなんんでしょうか?
> ファイヤーフォールのログの詳細を見つけたのでもしご存知でしたら
> 教えて下さい。ファイヤーフォールは「Check Point FireWall-1」です。
> > ★詳細ログ
> ////////////////////////////////////////////
> Number: 110979
> Date: 日付
> Time: 時間
> Product: VPN-1 & FireWall-1
> Interface: E10001
> Origin: FWのIPアドレス
> Type: Log
> Action: Drop
> Protocol: tcp
> Service: 1026
> Source: SuraceのIPアドレス
> Destination: DestinationのIPアドレス
> Source Port: https (443)
> Information: TCP packet out of state: First packet isn't SYN
> tcp_flags: FIN-ACK
> ////////////////////////////////////////////
> よろしくおねがいします。

FIN/ACKを先に送りつけるツールが存在するのです
悪意をもって使ってはいけません

ポートスキャン FIN/ACK その他 関係ありそうな語句でnet検索してみて下さい


ntermって何ですか?

No.19892 投稿時間:2005年12月05日(Mon) 23:48 投稿者名:ぁや URL:

stranger様
ぁやです。
ご返事ありがとうございます。

> FIN/ACKを先に送りつけるツールが存在するのです
> 悪意をもって使ってはいけません
>
とありますが、今回の[Source: SuraceのIPアドレス]と
[Destination: DestinationのIPアドレス]はローカルアドレスで
一度だけnmapを使用しました。しかしそれ以来使用しておらず、今回
出力された時は使用してから数週間がたった時なんです。

あと[Service:1026]の1026は何か調べてみたのですが
ntermって何ですか?別にインストールした覚えもないんです。

ご存知でしたらお教えて下さい。


net検索してください。

No.19894 投稿時間:2005年12月06日(Tue) 10:09 投稿者名:stranger URL:

> stranger様
> ぁやです。
> ご返事ありがとうございます。
> > > FIN/ACKを先に送りつけるツールが存在するのです
> > 悪意をもって使ってはいけません
> > > とありますが、今回の[Source: SuraceのIPアドレス]と
> [Destination: DestinationのIPアドレス]はローカルアドレスで
> 一度だけnmapを使用しました。しかしそれ以来使用しておらず、今回
> 出力された時は使用してから数週間がたった時なんです。
> > あと[Service:1026]の1026は何か調べてみたのですが
> ntermって何ですか?別にインストールした覚えもないんです。
> > ご存知でしたらお教えて下さい。

済みません
ntermでnet検索してください


目次掲示板過去ログ目次▲頁先頭