事の発端
自宅で使用している無線の調子が悪いと家族から言われ、ログを調べるとこんなログがでていた。
無線LANの不調か?
一体何が起きているか分からなかったので、とりあえずSNSで情報を呼びかけたら以下のような回答がきた。
NAT(Network Address Translator)だから、ルータのプライベートアドレス空間からグローバルアドレス空間の対応付け。ルータが内側(プライベート空間)と外側(グローバル空間)の、どちらかのインタフェースが見えないってことじゃ?どちらにしろ、ありえん現象だろうから、素直にルータ reboot したほうが、いいと思うけど。
なので、とりあえず再起動すると、ログは吐き出されなくなったので無事解決。
かと思ったら、第二の問題が
大量のUDP Connection rejected
そうしたら、次はこんなログが大量に吐き出されていることが後日わかった。
このアクセス元を調べると、なんとUSだった(Akamai Technologiesとは?)
この時は、外から攻撃されてると思ってたので、無線LANを初期化 & MACアドレス制御 & ANY接続拒否など、ありとあらゆるセキュリティ対策を実施。それでもログに出てくる。つまりは、無線LANにアクセスしてるPCかスマホがウイルス感染で、コマンド実行されてる?と思って、それぞれの端末を調べることにした。
調べる方法
家には昔使ってた無線LANが残ってたので、怪しい端末とそうでない端末とで、接続する無線LANを変えて、ログをみることにした。(つまり、無線LANを2つ設置している状態) で、ログの残った方にアクセスしてる端末を、さらに分割していき、最終的に端末を割り出す。という方法をとった。 もっと、効率のいい方法もあるかもしれないが、地道に段階を踏むことにした。
特定された端末の調査
さて、これで原因となっている端末(Windows)が特定できたわけですが。ここからの解決は早かったです。とにかく、ログにはこんな風に残っていました。
UDP connection rejected from aaa.aaa.aaa.aaa:AAAAA to bbb.bbb.bbb.bbb:BBBBB UDP connection rejected from ccc.ccc.ccc.ccc:CCCCC to bbb.bbb.bbb.bbb:BBBBB
aaa.aaa.aaa.aaa:AAAAはアクセス元、bbb.bbb.bbb.bbb:BBBBはルーターに割り振られているIPアドレスになっていました。(たぶんみんな同じ?) つまり、BBBBのポートをLISTENINGしているアプリケーションを探せばいいのでは?!という結論に至りました。
netstatコマンド
そこで、netstatコマンドを利用します。netstatコマンドを用いることで、どのポートをどのアプリケーションが使用しているのかを確認することができます。(管理者権限でないと見れないので、管理者権限でプロンプトを開いてください)
そこで、netstat -ano -b
を打つと以下のように表示されます。
ここで確認するのはローカルアドレスとアプリケーション名です。先ほどログで確認したポートBBBBを使っているアプリケーションを確認します。するとnetsession_win.exe
というアプリケーションが見つかるはずです。(そのほかのアプリケーションが使っていたら、それは別問題なので、ここのコメントなどに残してください。調べられたら調べます...。)
netsession_win.exe
netsession_win.exe
はadobeからソフトウェアなどをインストールするときに強制的にインストールされるそうです。(adobeに関わらず、大きなデータをダウンロードするとき(オンラインゲームのデータとか)にもダウンロードされるようです)
で、このソフトウェアを提供しているのがCDNのAkamaiだったのです。公式には以下のように書かれていました。
ファイアウォールで、Akamai が管理する IP アドレスが多数の異なるポート経由でこちらの IP アドレスにアクセスしようとしていると報告されました。これは攻撃のように思われます。どのような状況なのでしょうか?
お客様がご覧になったメッセージは、ファイアウォールで守られているユーザーが Akamai NetSession Interface を使用していることを意味しています。Akamai NetSession Interface は Download Manager クライアントであり、Akamai のお客様がソフトウェアやその他のデジタルコンテンツをダウンロードできるように使用されています。Akamai NetSession Interface は、コンテンツをダウンロードし、プロキシ、ファイアウォール、NAT(ネットワーク・アドレス・トランスレーション)などのネットワークデバイスを通じた接続を促進するために TCP と UDP ベースのプロトコルを両方使用しています。
参照: エンドユーザー FAQ | カスタマーサポート | Akamai
そして、ここからさらにリンクを辿っていくと、以下のように書いてありました。
Akamai NetSession Interface Extended(以下「NetSession Interface」)はお客様のコンピューターにインストールされる安全なネットワーキングサービスであり、インターネットからダウンロードされるコンテンツの速度、信頼性、効率性を高めます。 NetSession Interface を使用すると、インターネットや他の NetSession Interface ユーザーのコンテンツをダウンロードすることができ、またさらに他の NetSession Interface ユーザーも、お客様のアップロード帯域幅のごく一部を利用して、お客様のコンピューターからそのコンテンツの情報をダウンロードできます。 NetSession Interface はバックグラウンドで動作し、コンテンツのダウンロードを実行していない時に使用するコンピューターのリソースやアップロードの帯域幅はごくわずかです。
参照: NetSession Interface 使用許諾契約 | アカマイ
つまりは、「分散型ダウンロード支援ツール」ってところでしょうか。なんせ、悪さをしているわけではなさそうなので、そのままにしておきますが。あまりにも、帯域をつぶすようだったら考えようですね。