08/12/01 22:52:58 hAqAihJA0
>>799
>16158と27777~
これは待ち受けポートで、自分のshareでも設定してる「外部から始まる通信を受け取るポート」の事
貴方のshareが周囲に「受付ポート」を広告するのと同じように、切断時に表示されているのはコネ成立時にBOTが教えてきた「BOT側の受信ポート」な訳だ
つまり、こちらから繋ぎに行く時に使うものだが、実際には「BOTには繋ぎにいけない」ので、BOTの広告するポートはただの見せ掛けと言う事になる
※16158や27777のポートはコネ時に自ポートを書き込まないと不具合があるから仕方なく書き込んでるだけで、実際にそのポートを使用している訳ではない
そして実際にアクセスしてくるポートは以下のような範囲で決まる
XPまでは1024-5000をループ(65535まで拡張可能)
VistaやWindows Server 2008以降では49152~65535をループ(1024-49151はデフォでは使われない)
OSが違えばルールも変わるが、基本的には「ある一定範囲内で且つその時に使えるポートを使い、使い切ったら先頭に戻る」事に変わりは無い
※ランダムなOSもあるけど
なので、BOTからの通信は申告ポートとは関係なく「かなり広範囲なポート」で行われるため、ポートを基準とした遮断には意味が無い
また「貴方も」16157や27776を使った次には16158や27777を使うように、他の人も16158と27777は常に使うので、そのポートで来たからBOTと言う訳でもない
ルータやFWの切断記録を見て「BOTって多いのね」と言うのは間違いで、そのほぼ全てはBOT以外のコネを無意味に蹴った記録なので勘違いしてはいけない
※相手が16158や27777を蹴っている場合、貴方がたまたま16158や27777で繋ぎに行った接続も蹴られている
※同じ相手でもそれ以外のポート(1024-16157,16159-27776,27778-65535)では接続できる
※同じように、BOTもそれ以外のボート(1024-16157,16159-27776,27778-65535)でもアクセスしてくるため、64510分の1の確立でしかBOTを弾けない=それ以外は素通しで意味が無い
つまり、ルーターで特定のポートを弾いてBOTが来ないように見えているのは、気のせいか勘違い
確認したければ「TCP Monitor Plus」等のフリーソフトを使うと、自分もバンバン16158や27777で通信してる事が確認できる
Vistaの人はこの範囲を使わないけどね