RTシリーズの予期しない発呼に関するFAQ

WindowsNTやWindows2000などのDCE準拠RPC(TCP/UDPポート番号135)の発呼

[ DCE準拠RPC ]

• DCE準拠RPC

  ＜インターネット＞ ------+-------------------------------+------------------------ | | | .............................................. | . +-------------+ +-----------------------+ . | . | DCE準拠RPC |…| RPCを利用したサービス | . | . +-------------+ +-----------------------+ . | . (ポート番号135) ↑ . | ........↑..........................↑........ Windows | ↑ ↑ 　〜〜〜〜〜〜〜〜〜〜〜↑〜〜〜〜〜〜〜〜〜〜〜〜〜↑〜〜〜〜〜〜〜 : : ↑ ↑ ISDN網 : : ↑ ↑ +-------------+ ↑(1) サービス情報を ↑(2) サービスの | ルータ | ↑ 問い合せる ↑ 提供を受ける +------+------+ ↑ ↑ | ↑ ↑ ------+-------------↑----------------+---------↑------------- ↑ | ↑ ........↑..........................↑........ . +----------------------------------------+ . . | RPCで提供されたサービスを利用するソフト| . . +----------------------------------------+ . .............................................. Windows

• 定期的に勝手に繋がってる。

  インターネットの応答速度測定周期が長い場合は、 規則正しく周期的にルータが勝手に接続しているように見えます。

• 切っても切れない。切っても勝手に繋がる。

  メールの着信を自動確認する周期設定が短い場合は、 ルータの接続を手動で切断しても、 次の着信確認時にルータが勝手に接続してしまいます。

• ルータは、パソコンの電源が入っていると、プロバイダに繋ぐ、しくみなの？

  ルータは、そのようなことはできません。
  パソコンの電源が入れられると、DCE準拠のRPCへの問い合せを行なう ソフトウェアが動きだすということです。 ルータは、パソコンの指示に従って、プロバイダに接続するだけです。

• 発呼要因を表す「IP Commencing」ログの例

  PP[XX] IP Commencing: TCP 192.168.0.2:1024 > 外部ホスト:135 端末(192.168.0.2)が、外部のホストの135番ポートにTCP通信を始めようとし て、発呼しました。

• 対策案 (DCE準拠のRPCを利用したサービスを必要としないので塞ぐ)
  1. NetBIOS機能のフィルタにDCE準拠のRPC(TCP/UDPポート番号135)を 加えてください。

     # NetBIOS機能の意図しない発呼を抑え込むフィルタ # (ポート番号表記版) ip filter 1 reject * * udp,tcp 137-139 * ip filter 2 reject * * udp,tcp * 137-139 ip filter 100 pass * * * * * ip lan secure filter in 1 2 100

     # NetBIOS機能の意図しない発呼を抑え込むフィルタ # (ニーモニック表記版) ip filter 1 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 2 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 100 pass * * * * * ip lan secure filter in 1 2 100

     # NetBIOS機能+DCE準拠のRPCの意図しない発呼を抑え込むフィルタ # (ポート番号表記版) ip filter 1 reject * * udp,tcp 135,137-139 * ip filter 2 reject * * udp,tcp * 135,137-139 ip filter 100 pass * * * * * ip lan secure filter in 1 2 100

     # NetBIOS機能+DCE準拠のRPCの意図しない発呼を抑え込むフィルタ # (ニーモニック表記版) ip filter 1 reject * * udp,tcp 135,netbios_ns-netbios_ssn * ip filter 2 reject * * udp,tcp * 135,netbios_ns-netbios_ssn ip filter 100 pass * * * * * ip lan secure filter in 1 2 100

[ ちょっと、Q&A ]

• RPCって何の略？

  remote procedure call, リモート プロシージャ コール

• RPCって言えば、UNIXじゃない？

  です...よね？
  UNIXで用いられるRPCは、TCP/UDPポート番号111が利用されます。 このポート番号の名前は、"sunrpc"(SUN Remote Procedure Call)です。 ということで、WindowsNTなどで用いられる「DCE準拠のRPC」は UNIXで用いられるRPCとは別物のようです。

  Keyword Decimal Description ------- ------- ----------- sunrpc 111/tcp SUN Remote Procedure Call sunrpc 111/udp SUN Remote Procedure Call

• DCE準拠のRPCに割り当てられたキーワードは？

  Keyword Decimal Description ------- ------- ----------- epmap 135/tcp DCE endpoint resolution epmap 135/udp DCE endpoint resolution

• どのようなサービスがRPCを使っているの？

  WINSマネージャ、DHCPマネージャなどが使っているようです。

[ 関連FAQ ]

• DNS情報の静的登録
• ログ/Syslog
  • 「IP Commencing」というログの意味を教えてください。
• 知らない間にダイヤルアップ接続してしまいます。
• Windows
  • Windows 95 の入ってる PC をつないでおくと定期的に発呼しちゃいます
  • なぜポート137,138,139(NetBIOS,便利な機能)を、フィルタするんですか？

[ マイクロソフト社の検索エンジンで"135"を探す ]

• http://search.microsoft.com/japan/
  • http://www.microsoft.com/JAPAN/support/kb/articles/J045/2/07.htm
    [NT]TCP/IP ポートの使用について
  • http://www.microsoft.com/JAPAN/support/kb/articles/J045/8/06.htm
    [NT]RPC 上での不正な攻撃が原因で Rpcss.exe が CPU を 100% 消費
  • http://www.microsoft.com/JAPAN/support/kb/articles/J030/4/61.htm
    [NT]TCP ポート 135 へのアタック後に WINS マネージャに障害発生
  • http://www.microsoft.com/JAPAN/support/kb/articles/J042/9/76.htm
    [NT] ファイアウォールを介したドメイン間の信頼関係の設定方法
  • http://www.microsoft.com/JAPAN/support/kb/articles/J027/3/33.htm
    [XADM] Internet Firewall の為の TCP ポート番号設定
  • http://www.microsoft.com/JAPAN/support/kb/articles/J027/3/35.htm
    [XCLN] インターネット経由で Exchange サーバーに接続する方法について

[ FAQ for RT-Series ]
[ FAQ for 予期しない発呼 / files / 設定 / ログ / IPパケットフィルタ / Windows / Macintosh ]