先日投稿した記事「WHS2011 共有フォルダにアクセスできない~ESET Smart Securityと名前解決(LLMNR)について」の直後、ESET Smart Security(以後ESET)から「ポートスキャニング攻撃が検出されました」という警告メッセージが表示されました。
警告メッセージを回避すべくESETの設定画面を見直し回避する事はできましたが、その方法が正しい方法なのか、それとも他設定があるのか気になったのでCanon IT ソリューションズに質問してみました。
今回は、Canon IT ソリューションズからの回答を踏まえたクライアントPCにインストールしたESETから「ポートスキャニング攻撃が検出されました」の警告が表示された場合の対処法をメモ。
2013.07.27 Windows 8でも同現象を確認しました。
現象
今回の現象はWHS2011と同一ネットワークに接続しているWindows 7 64bitをインストールしたクライアントPC 2台で確認できました。Windows 8でも確認しました。
- クライアントPCのESETの[詳細設定]画面を開く
- [IDSと詳細オプション]→[信頼ゾーンにおけるマルチキャストアドレスの解決を許可(LLMNR)]にチェックする
- 設定を適用し、少し時間をおいたところで画面右下に「ポートスキャニング攻撃が検出されました」の警告が表示される
ログファイル(XML)を取得し確認してみると下記のように記録されています。
ソースのプロトコルおよびポート番号を確認するとUDP5355番と記録されているので、LLMNRであることがすぐにわかります。 - 少し放置した後のログを確認すると、40~60分間隔で検出し続けました。
対処法
Canon IT ソリューションズから回答をいただいた内容には対処法が2つ書かれていました。私が見つけたのは後者の対処法でしたので、質問して正解だと考えています。
方法1 [アクティブな保護(IDS)から除外するアドレス]を利用する
- ESETの[詳細設定]画面を開く
- [パーソナルファイアウォール]→[フィルタリングモード]を[例外付きの自動モード(ユーザー定義ルール)]に変更
- [パーソナルファイアウォール]→[ルールとゾーン]→[ルールとゾーンの設定]の[設定(E)…]をクリック
- [ゾーン]タブ→[アクティブな保護(IDS)から除外するアドレス]にWHS2011のIPアドレスを入力
私はWHS2011を固定IPアドレスを割り当てていますので、単一IPv4アドレスを選択し、入力してみました。
- 設定を適用
- Windowsを再起動
方法2 [UDPポートスキャン攻撃を検出]を利用する
Canon IT ソリューションズより、方法2は方法1で改善されない場合の対処法です、とのこと。- ESETの[詳細設定]画面を開く
- [パーソナルファイアウォール]→[IDSと詳細オプション]→[侵入検出]を開く
- [UDPポートスキャニング攻撃を検出]のチェックを外す
- 設定を適用
- Windowsを再起動
方法1の設定を施してから2日経過しました。
ファイアウォールのログを追ってみましたが、設定適用後から「ポートスキャニング攻撃が検出されました」の警告は表示されていません。
