だれかのなにかに役立てるウェブ制作者YoTaの趣味ブログ

DS216jにESET警告「ARPキャッシュポイズニング、悪意トラフィック送信」の対処法

ウイルスバスターのESET SMART SECURITY9を使っているのですが、自宅NASにDS216jを導入してから、パソコンを起動するたび、ポップアップ画面で警告が出るようになりました。

NASのDS216jを導入後、ESETのポップアップでARPキャッシュポイズニング攻撃や悪意のあるトラフィック送信の警告が出てきた

ARPキャッシュポイズニング攻撃の警告

ネットワークの脅威がブロックされました、とエラーが表示されてます。

err1

「ネットワークのコンピュータが悪意のあるトラフィックを送信しています。これはコンピュータを攻撃する試みである可能性があります。」とのこと。ふむふむ。

ネットワークイベントがブロックされましたの警告

こちらのエラーパターンもありました。

err2

「ネットワークイベントがブロックされました。ネットワークの重複するIPアドレス。ネットワークのコンピュータは悪意のあるトラフィックを送信しています。これはコンピュータを攻撃する試みである可能性があります。」とのこと。

ESETでDS216jのブロックされたトラフィックを見てみると・・・

err3

結果は、
・systemに対して、受信NETBIOS要求を遮断。
・svchost.exeに対して、受信SSDP(UPNP)要求を遮断。
とのこと

最初のsystemに対するNetBIOSの通信では、通信先の相手マシンを見つける操作において、たぶんDS216jが自分のPCにトラフィック送信した時のものをESETが拾っているのだと思います。そして自分のPCは共有環境内からの探索をオフにしているので、遮断されていたという結果になる、と推測。遮断している本体はwindowsなのかesetなのか分かりませんが・・・。

次に、SSDPは、LAN内部にあるデバイスの発見・操作をするためのプロトコル「UPnP(ユニバーサルプラグアンドプレイ)」の一部の規格名です。svchost.exeは、windowsのシステムファイルで、Windowsのサービスを一括管理するプログラムになっています。タスクマネージャなんかを見ると、いつも動いてるのが良く分かります。

err4

svchost.exeは、様々な働きをしていて、そのうちの一つにUPNPのプロセスが含まれる様子。言われてみれば、自分のマイコンピュータを開いた時、NASは表示されてなかったような・・・。つまり、自分のPCおよびNASがUPNPで認識し合おうとしていた時のトラフィック履歴なのだと思います。DS216jはネットワークドライブに直接割り当てたので、べつにupnpが動作してなくても問題はなかったので、単に自分が気づいていなかった、ということなのでしょう。ただ、分からないのは、upnp動作というだけなら、べつに認識して良いはずなんですが、どうしてエラーになっているのだろう・・・。うーん。詳しい人の解説が欲しいです。

余談ですが、svchost.exeはwindowsではいつも起動しているので、ウイルス偽装にも使われやすい名称のようです。ヘンにメモリを喰っていたり、ディレクトリを見た時にwindowsのシステム階層化にない場合は、極めて怪しい実行ファイルになりますので、慎重に対処しましょう。

対処方法は、ESETのidsの例外にds216jのIPを登録して、ポップアップで警告しないように設定すればOK

IDS例外に登録しておき、ds216jのトラフィックは問題視しなくていいことをESETに調教してあげましょう。

err5

IDS例外はいつでも編集可能です。ESETを開いて、「設定>画面右下の詳細設定>検索で「ids」と入力>idsの例外」から編集できます。

err6

まとめ

いかがでしたでしょうか。NASを買って、トラフィックの警告が出た時は、とりあえずトラフィック登録してしまって、ポップアップ通知しないように設定してしまって良いかと思います。(たぶん・・・!)

ページ上部に戻る