ファイヤーウォールを入れていてもMAC標準搭載のファイヤーウォールにログが残る

＞NetBarrierでUDPをクライアントのデフォルトではブロックしないということは、そもそもUDPはMacにとっては脅威ではないのでしょうか？でもMacfwの詳細設定のところに「UDPトラフィックをブロック」というものがあります。ということは、Macにとっても程度はわかりませんがある程度は脅威だからこの設定があるのかな思うのですが。.....UDPはTCPと比べるとそんなに注意をしなくて良い存在なのでしょうか？
理論と実戦に違いがあるように、セキュリティ対策や取り組み方を含めfirewallのアーキテクチャにもベンダーにより差異があり、製品（ルータを含む）に反映されます。
不正アクセスにおいて、TCPほどUDPにウェイトを置かない考えもあります。TCPのように接続確立（例：3 way handshake）セッションがなく（datagramの）一方通行です。TCPに要求される信頼性の高いパケット転送を必要としませんので、パケットの欠落や間違いの際に再送されません。それで、ストリーミングビデオ／オーデォ、ビデオコンファレンス、ゲームやVoIPに利用されています。
コンピュータや周辺機器が日進月歩であるように、ハッカー技術も同様です。現実の脅威は、インターネットで公表されるよりも早いのです。 セキュリティ専門家Tsutomu Shimomura VS ハッカー Kevin Mitnick 攻防戦（約１０年前）以降、歴史が示しています。
UDP の脅威の一端を示すDNS攻撃に関する小論文があります。（以前、私があなたに質問したのは、これに関係があります）D. Atkins 氏の "Threat Analysis of the Domain Name System" に書かれています。RFC 文書館（ http://www.rfc-archive.org/getrfc.php?rfc=3833 ）にあります。例えば、クライアント側マシン環境に要因がないとして、 DNSサーバアドレス/53番ポートからクライアントマシンのIPアドレス/数値の大きいポート番号（例：49778）へのUDP/DoS攻撃です。OSプラットフォーム無差別です。６０〜１００以上のパケットの攻撃をほぼ同時に受けます。TCPもUDP も不正アクセスは誰も歓迎しません。
＞これらのポートに頻繁にアクセスがある場合、すでにバックドアが作成された後で再侵入をしようとされているということでしょうか？ それとも、バックドアを作成するためにここから侵入しようと狙っている（つまり、まだ侵入はされていなくてバックドアも作成されていない）ということなのでしょうか？
そうとは限りません。しかし、Windows機を使用しているということですから、バックドアの脅威はあります。まず、firewall野他に、セキュリティの監査ポリシーの基本設定（管理ツール経由）をされること、レジストリ改編を監視／防御機能を含む信頼性の高いspayware製品を導入する、Microsoft のセキュリティ分析freeware（名称失念）でご自身のマシンのセキュリティ脆弱耐性を検査する、セキュリティ強化に関する保存版雑誌を読む、などはされた方が良いでしょう。バックドア潜入は、一般ユーザーでは通常発見できません。バックドア侵入に利用されたポート／作られたポートは、沢山あります。マックでの実害は聞いたことがありません。
＞またポート１３７、１３８、１３９、４４５はWindowsを標的とする無効あるいは不正なアクセスとのことですが、これらのポートがMac使用時にブロックされず開放されていたとしても、Macでは侵入されない（できない）ということでしょうか？
Windows使用時には必ずブロックしないといけないけれどもMac使用時はWindows程の脅威はないと思って良いのでしょうか？
不正なポートスキャンやピング行為が何のために行われるか考えてください。また、『Mac使用時はWindows程の脅威はない』というよりも、複数レイヤー構造と複雑な認証メカニズムを備えるアーキテクチャーではWindowsのように侵入／システム内部攻撃は難しいという事です。だからと言って、ソフトウェア／各種設定レベルの再認識は大切です。
＞pfw: 35000 Deny UDP 221.1.206.131:57684　220.221.33.123:1026 in via ppp0 ...以下略
＞この攻撃は相手を特定して行うのでしょうか？それとも相手は特定せずたまたま私がその対象となっただけなのでしょうか？
これは、China Netcom Corporation Ltd 社の管理するhigh portから貴ISPのPlala Networks かわ割り当てられたIPアドレスに対してUDP パケットのフラッディング攻撃ですよ。同じhigh port番号からの攻撃ですから、恐らく、malwareが埋め込まれた結果です。実セッションがこれよりも多いのでしたら、DoS攻撃と同じです。 DoS攻撃の被害には接続速度の低下レベルから疑似フリーズ、クラッシュなどいくつかの局面があります。このような攻撃は、即座に Plala Networks（kojin@plala.or.jp）のセキュリティの最も詳しい方（全てのISPにいるとは限りません）にセキュリティ対策強化を要請しま

Content not available

> これらの中には、工場出荷時に１３７、１３８、１３９、４４５などのポートへの不正アクセスを無効にする機能を取り込んでいます。
通常、家庭やSOHO事務所で使われるようなルータなら、LAN側はプライベートアドレスで使うのが普通ですから、これらのポートを特にブロックするようなことをしていなくても、外からの攻撃は遮断されます。安食さんはFW機能をカスタマイズできるようなルータを使うことを勧められていますが、上記のような使い方なら、そこまで高機能のものを使う必要はありません。あまり高機能なものだと、高いだけで使いこなせない恐れすらあります。上記のような使い方なら、安価なブロードバンドルータを、必要に応じて買い替えてゆくことで十分と思います。（最も、最近のは安価なものでもFW機能はある程度はカスタマイズできるのが普通ですけど）
大部分のユーザに取っては、高機能なルータを使って攻撃のログをきちんと取ることを考えるより、まずは、攻撃を受けても被害を受けない体制を作ることを優先すべきと思います。
ルータを入れておけば、たとえ攻撃を受けて被害を受けても、せいぜいルータが壊れるぐらいで済みます。パソコンをネット直結にしていると、被害を受けた場合、パソコンが壊れれば、金額的にもルータより被害は大きいですし、最悪の場合情報漏洩が起こり、お金には換えられない被害が発生する恐れもあります。ただ、いくらルータを入れていても、メールやウェブ経由でマルウェアを仕込まれたりすることを防ぐことまでは出来ませんので注意が必要なことはいうまでもありません。相手が本気で狙っている恐れがあるのなら、パソコンをインターネット直結なんてしない方がいいです。狙いを定めてそれなりに工作されたパケットを使えば、いくら注意していても、ほんとに一瞬で乗っ取ることも出来ますので。
137、138、139、445 のポートは Windows 共有をオンにしなければ、マックでは無関係のポートです。

これはルータのログの一例ですが

送信元IPアドレス／ポート
211.xxx.xxx.xxx/80
プロトコル アクション
TCP 廃棄[SPI]

それを簡易IPアドレスサーチで調べると

211.xxx.xxx.xxx　を　whois.apnic.net　で検索しました
% [whois.apnic.net node-2]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html
inetnum: xxxx
netname: CxxxxIDC
country: xxx
descr: xxxx SYSTEM xxx. INTERNET SERVICES xxx
descr: INTERNET COMMUNICATIONS
admin-c: xxxx
tech-c: xxxx
status: ASSIGNED NON-PORTABLE
changed: xxx@xxxxxx.com.xxx xxxxxx
mnt-by: MAINT-xxxx-AP
source: APNIC
person: xxxx
nic-hdl: xxxx
e-mail: ipmaster@xxxx-cxxxx.com.xxx
address: NO.1 xxxx
phone: +xxx-xxxxxx-xxxx
fax-no: +xxx-xxxxxx-xxxx
country: xxx
changed: xxxx@xxxx-cxxxx.com.xxx xxxx
mnt-by: MAINT-xxxx-AP
source: APNIC
person: xxxx
nic-hdl: xxxx
e-mail: ipmaster@xxxx-cxxxx.com.xxx
address: NO.1 xxxx
phone: +xxx-xxxxxx-xxxx
fax-no: +xxx-xxxxxx-xxxx
country: xxx
changed: xxxx@xxxx-cxxxx.com.xxx xxxx
mnt-by: MAINT-xxxx-AP
source: APNIC
inetnum: xxxx
netname: Cxxxx
country: xxx
descr: xxxx SYSTEM xxx. INTERNET SERVICES xxx
descr: INTERNET COMMUNICATIONS
admin-c: xxxx
tech-c: xxxx-xxx
status: ASSIGNED NON-PORTABLE
changed: xxxx@xxxx-cxxxx.com xxxx
mnt-by: MAINT-xxx-Cxxxx
source: xxxx
person: xxxx
nic-hdl: xxxx
e-mail: ipmaster@xxxx-cxxxx.com.xxx
address: xxxx,
address: xxxx
phone: +xxx-xxxxxx-xxxx
fax-no: +xxx-xxxxxx-xxxx
country: xxx
changed: ipas@xxxx.net.xxx xxxx
mnt-by: MAINT-NEW
source: xxxx
person: xxxx
nic-hdl: xxxx-xxx
e-mail: ipmaster@xxxx-cxxxx.com.xxx
address: xxxxxxxxxxxxxxxxxxxx
address: xxxx
phone: +xxx-xxxxxx-xxxx
fax-no: +xxx-xxxxxx-xxxx
country: xxx
changed: ipas@xxxx.net.xxx xxxx
mnt-by: MAINT-NEW
source: xxxx

という程度の情報です。

前回投稿文に誤字脱字があり、読みづらいと思います。ご勘弁ください。
発言忘れているうちの、ひとつ思い出しました。プララは『パケットフィルタ』無料サービスを導入しているはずです。そのサービス中にはUDP 不正アクセス防御も含まれていると思います。サポートへ問い合わせてみてはどうですか？一定の効果があるかもしれません。但し、フィルタリング内容次第では、ストリーミング（例：QuickTimeなど）は機能しなくなります。
また、ポート１３９や関連の１３５−１３８および４４５からの不正アクセスが防止できていないとすると、ISPのフィルタリング構築仕様次第（例：外部からのポートスキャンを許す）では、これらポートに対するポートスキャンを偽装したフラッディング攻撃に見られる最近の不正アクセス実態に対応していないかもしれません。

ありがとうございます。すると127.0.0.1からのポートスキャンで１０３３がオープンになっているのは心配ないという事ですよね。安心しました。
はにさんがおっしゃる通り、tcp/ipの知識が十分でないので、大丈夫なのか大丈夫でないのか自分では見極めができない状態で、おまけにmacは昨年から使い始めてまだよくわかっていません。すみません。
　
ポートスキャンもここで教えて頂いて初めて実行してみました。
127.0.0.1から自分のマシンへのポートスキャンと、Shields Up!のような外部から自分のマシンへポートスキャンをしてみるのとは意味が違うのですね？
外部から自分のマシンへポートスキャンをすると当然ポートが開いているかどうか試しているわけですからFWにブロックした形跡が残りますよね。そのブロックした形跡なのですが、自分のポートに対してブロックできているかどうかですから記録のされ方としては（自分のIPアドレスがaaa.bbb.ccc.dddで、ポート１から５０までをポートスキャンした場合）
aaa.bbb.ccc.ddd:1　送信元のIpアドレス:送信元のポート番号
aaa.bbb.ccc.ddd:2
aaa.bbb.ccc.ddd:3

.
.
.
と、このようにログが残るはずですよね？違うのでしょうか？
127.0.0.1からポートスキャンした場合も同じようにログが残るはずでしょうか？
（ポート１０３３は別として）
どうも、私のは変なログが残っているような気がします。
　

> 自分のポートに対してブロックできているかどうかですから記録のされ方
部屋の別のマック(10.3.9)から 10.4.5 に対してポートスキャンしてみると、
Mar 4 12:18:02 pbg4-2 ipfw: 12190 Deny TCP 192.168.200.15:57966 192.168.200.33:10 in via en1
Mar 4 12:18:05 pbg4-2 ipfw: 12190 Deny TCP 192.168.200.15:57966 192.168.200.33:10 in via en1
Mar 4 12:18:08 pbg4-2 ipfw: 12190 Deny TCP 192.168.200.15:57966 192.168.200.33:10 in via en1
...
という具合になります。がっちゃんさんが書かれているのとは逆で、「送信元マシン：ポート 受信マシン：ポート」です。同じポートに対して、９回テストして次のポートに移っています。
ローカル(127.0.0.1)からポートスキャンした場合にはログは残りませんでした。

ありがとうございました。やってみました。確かにポート８０がopenになりました。
別件で恐縮ですがNetBarrierをお使いのMadbavooさんにお願いがあります。
「プライバシー」のcookieのところに自分の使用してるブラウザがあります。
Madbavooさんは何のブラウザをお使いでしょうか？
私はSafariを使用していますが、ここにIEのcookieもあります。私はMacでIEを使用していません。どうしてここにあるのでしょう？Appleのサポートに聞いても原因不明。integoに聞いてもデフォルトではここにIEはないはずといわれるし。
Madbavooさんはどうなっていますか？IEありますか？（IEを使用していたらあるのはあたりまえですが）

いろいろありがとうございます。フラッディング攻撃について調べてみました。まだよく理解できていませんが、そういえば今のプロバイダーに変える前、フラッディング攻撃なのかDos攻撃なのかわかりませんがとにかく集中攻撃に会い、当時はwindowsを使用していましたが常駐させていたウィルスバスターが消えたことがあります。
　「迷惑を受けているのは私だけではない」事からすると私個人を狙った攻撃ではないのでしょうか？
　せっかくMacに買い替えてさらなる出費は痛いですがやっぱりルーター購入した方が良さそうですね。
　ちなみに純粋なサイト閲覧、メール送受信等の基本的な使用しかしないのですがどこかおすすめのルーターがありましたら教えて頂けないでしょうか？
　プロバイダーにもログを送って調べてもらいます。先日既に一回メールは出したのですが。

＞ここにIEのcookieもあります
ありますよ...apple.comとmac.com(両方ともiToolsPlugin)が...
その画面をよく見てみると「値」ってところがあってその値が「installed」になってますね。
他の値をみると(safari部分)英数字の羅列で明らかに上記とは違うようです。
macに始めから入っているものなのかもしれません...(単純にinstalledと書いてあるから...)
どっちにしても知らないサイトのクッキーではないし、ぼくは気にしてませんが...
気になるなら「値のinstalledって何？」とintegoに問い合わせてみてはいかがでしょうか。
上記とは別に「知らないcookie」があり、気持ち悪いなら消せばいいと思いますし
IEを起動してIEの新たなcookieの記録のされかたとかも見てみれば
この「cookie」という機能も把握できると思いますし...
ところで、このトピックを立てた時の問題は解決しましたか？
このまま行くと次から次へとになってしまうので、解決したならこれは終わりにして
次なる疑問(トラブル？)などは別のトピックを立てることをお勧めします...

ありがとうございました。
消してしまえば一番良いのですが私としてはWindowsを使用していて猛烈な攻撃にあったのでこのMacを購入してしばらくマイクロソフト製品とは距離をおいてインターネットしてみようと思っていたのでIEのcookieを見たときはギョッ！としました。
　
integoさんにデフォルトで入っているものなのか聞いてみたら「違います」と言われappleに聞いてみると私の使用しているOSX10.4.5にはIEは入っていないそうで。
最後にマイクロソフトに聞いてみたらWebサイトがcookieを置くのでそれはappleの問題じゃないですか？？と言われて現在も原因不明です。
ですが、ここのトピックとは別問題なのでMadbavooさんがおっしゃる通りこの件はここではこれで終わりにします。
横道にそれてすみませんでした。

＞　「迷惑を受けているのは私だけではない」事からすると私個人を狙った攻撃ではないのでしょうか？
関係当局（例：警視庁サイバーポリス、情報処理推進機構、ＳＡＮＳ協会などの定点観測）の公開情報、ネットワーク上のＩＰパケット観測・分析、貴殿の発言内容などを基に、あなた個人だけをを狙った攻撃ではないという判断です。
ただ、以下のように不正アクセスを受ける理由は沢山あります。ご自身で消去法により最終判定してください。
・　システム環境設定にスキがある
・　P２Pプログラムを使用している
・　ＷＡＮ側へ定期／不定期を問わずパケットを送出するプログラムが、当該サービスを利用しないのに常時アクティブになっている。
・　ベンダーの望まない又は許諾しないソフトウェアの利用法を行っている
・　ＩＳＰ側のDＮＳやＤＨＣＰサーバの構成内容に問題を生じている
・　悪意のある者が興味を示すプログラムの開発をしている
・　悪意のある者を刺激するコンピュータ名称を採用している
・　悪意のある者／予備軍のスキル向上行為
・　ハッカー同士の争いの巻き添え。
・　コミニュケーション能力に問題があり、対人関係で敵を作りやすい（例：業界関係者に叱責して逆恨みを買う）。
・　まとまった金額の決済や機密プロジェクトの連絡に暗号化されていないメールのやり取りが常態化している。
・　Firewall が頑強であったり攻撃手法を狂わせる試み等々、悪意のある者の欲求不満を招き、腹いせにDoS （フラッディング含む）やDDoS攻撃を受ける。
・　ハッカーと対峙する能力または経験がある場合
＞純粋なサイト閲覧、メール送受信等の基本的な使用しかしないのですがどこかおすすめのルーターがありましたら教えて頂けないでしょうか？
今急いで購入することはないでしょう。ボーナスシーズンになれば新製品も出るでしょうし。Apple 純正のfirewall とNetwork Utility（ Utilities ホルダ内）で間に合います。フェイル・セーフ（fail-safe）を重視したいのであれば、ルータがあると安心感は高まるでしょう。不正アクセスとどのように距離を置きたいか／対処したいかによって求めるルータ機能が決まってくると思います。ベンダーへの照会も含めて十分に下調べをすれば購入後に後悔しないで済みます。
将来あなたがＩＳＰを変更する計画があるのでしたら、「Who's There?」という製品は役立つでしょう。不正アクセスに使用されたポート番号、不正アクセスされたポート番号サービス内容、リスクのレベルなどをリアルタイムに表示します。瞬時にアクセス元の名称、所在地、ネットワーク管理者、セキュリティ担当部署などの連絡先を表示すると同時に調査依頼英文メール（カスタマイズ可能）を自動生成するので、送出ボタンを押すだけです。対処結果によりどこのＩＳＰがセキュリティ対応に優れているか、どこのＩＳＰが再帰的に同じネットブロックからの不正アクセスを許すかなど判定できます。
先日あなたが報告されていたポート番号のうち、1027への攻撃目的が分かりました。ご希望でしたら、ＵＤＰパケット解析結果をお知らせします。数日前から各地で被害の出ているWinnyによる個人情報流失にも関係がありそうです。

ここで教えて頂いた皆さん、安食さんのアドバイス、ご意見はとても参考になります。私のレベルではまだまだ理解できない事もあり、次々と質問の嵐になってしまいますがすみません。
今、安食さんに教えて頂いた事を頭に入れつつ再度自分のFWのログを調べています。すると安食さんがおっしゃっていたポート５３からのアクセスもあったり、他にも？と思うアクセスがあり、また後日お伺いするかもしれませんが、、。
今のところざっと判明しているのは中国からの攻撃が多く、またポート１０２６、１０２７への攻撃が以上に多いこと、普段FWのログではあまり見た事のないポート８０からの攻撃（アクセス？）をブッロクしている形跡があることもわかりました。
１０２７への攻撃目的を調べて頂きどうもありがとうございました。
解析結果ぜひお伺いしたいです。よろしくお願いします。

私これから外出します。細かなことは夜投稿します。又長文になると思います。
＞ポート５３からのアクセスもあったり
DNSサーバーからのアクセスです。DNS が正常に働いている場合のクライアント側とサーバ側の応答（目には見えません）プロセスですが、飛んでくるパケットの量とシーケンスによってはそうではないです。が、DNS からのDoS攻撃であったとしても、マシンが壊れることはないので安心してください。一時フリーズしたり、ネットへのアクセスが立たれるようでしたら、再起動してください。
ポート1027への攻撃（パケット内に仕掛けが組み込まれている可能性大）ですが、Windowsマシンは起動しないように--夜説明します。

５３番ポートへのアクセス件数が微少であれば、無視されてよいです。そのUDPパケットが一度に沢山（40〜100以上）くるのであれば、ルータを購入すれば少しは気が楽になるかもしれませんが、DoS攻撃の検知・報告（機能実装されていれば）がされることにより、気持ちは休まらないかもしれません。それで、ISPのサポート部門のリーダー格の方へ取次いでもらって窮状を報告し、対処してもらう方法がよいでしょう。ISPの変更によって救われるのかどうかはやってみないと分からないでしょう。攻撃する側のスキルレベルによっては解決に至らないこともあります。
1027番前後への不正アクセスはマック機では影響を受けませんが、Windows機を使用しているとのことですので．．．
Microsoftからのセキュリティパッチ・アップデート情報を装ったポップアップ通知をWindowsマシンの画面上に表示して、指定されたサイト（末尾のログでは２ヶ所）からダウンロードさせ、実行型 Malwareを埋め込みます。数日前からWinneyの被害が国内各地で報告されている中には、これによるものもあるかもしれません。この既知の手法は、Windows messaging service 技術を悪用したものです。
万一、別物が徘徊していると困るでしょうから、必要であればWindows にインストールされているfirewallやVirus, spyware 検知・駆除製品が抑止力のあるものかどうか再確認してください。来週１４日前後にはWindows のセキュリティパッチも出ます。
前にお話しましたが、Microsoft Baseline Security Analyzer (MBSA) であなたのWindows機のセキュリティ度を評価されることをお勧めします。
http://www.microsoft.com/japan/technet/security/tools/mbsahome.mspx
にダウンロードサイトへのリンクがあります。セキュリティのゲートウェイは、
http://www.microsoft.com/japan/technet/security/default.mspx
また、アカウントポリシーとローカルポリシーの学習をして、頑強なセキュリティ構成を構築すれば、かなり安心です。外部の者がパスワードクラックをしているのが判定（要経験）できます。頑強であれば、攻撃する側はいずれ諦め、脅威の低い（必要な防御ソフトがインストールされていれば無視もできる）不正アクセスへ移ります。
参考サイトはこの辺にあります：
監査ポリシーの設定
セキュリティの監視および攻撃検出計画ガイド
私の方には以下の２件ですが、異なる中国側のノードからポート1027前後を狙った同一目的の不正アクセスが最近非常に多いです。中にはコンピュータ専門学校からのパケットもあります。但し、常用ルータを別物に変更すると、１３５、１３７〜１３９、４４５番ポート以外の不正アクセスは僅かしか飛んできません。攻撃者は当方の常用ルータをロックオンしているのかもしれません。装置固有の識別番号ＭＡＣアドレスの変更は有効にならないことが多い。
中国側ノードからの悪質な誘いのパケット内容の一部抜粋：
Program misused by the source, Domain ownerとContact情報は含まれません。便宜上、追加しました。
ご注意 :URLを訪れないように。
- Source IP（不正アクセスの発信元）: 221.203.189.44 (UDP Port 32884)
- Destination IP（標的先）: 21x.xxx.xx.209 (UDP Port 1027)
- Date/Time: 2006/03/10 10:01:56+9:00 GMT
- Program misused by the source: unknown
- Domain owner: CNCGROUP Liaoning Province Network,
China Network Communications Group Corporation
- Contact: Guangyu Zhan, abuse@online.ln.cn
DATA Communication Bureau of Liaoning Province, China
- Packet Size: 391
- Protocol: 0x11 (17) - UDP
誘導メッセージ：
Critical System Error! The Windows registry may contain critical errors. Download the Registry Cleaner and Repair Tool from ://www.cleanwinxpreg.com to scan and repair the system registy...
**********
- Source IP and the port: 61.156.42.97 / UDP port 51649