Symantec Endpoint Protectionで「ポートスキャン攻撃をログに記録しました。」というメッセージが頻発に表示されることがあります。
その場合はさらに、「クライアントはIPアドレス (IPアドレス) からのトラフィックを、今後 600 秒遮断します。」と続きます。
ポートスキャン攻撃を受けていて、その攻撃元からのトラフィックを遮断する・・・一見すると何の問題も無さそうですが、この攻撃元がインターネットに接続するため社内などに設置したルーターで、この検出そのものが誤りであった場合は、600秒間、すなわち10分もの間、インターネットに接続できなくなります。
ルーターはネットワーク情報を得るために常時何らかの情報をネットワーク内に送受信しており、それをポートスキャンと勘違いするわけです。
その場合の対処方法は以下の通り。
- 「ネットワークの脅威防止」の「オプションの設定」を選択する。
- 「ポートスキャン検出を有効にする」のチェックを外す。
サーバーで集中管理している場合は、この「ネットワークの脅威防止」のオプションボタンは押せなくなっているので、サーバー側で設定を変更し新しく出来たポリシーを配備することになります。
顧客側でこうした誤作動が頻発すると仕事を止めてしまうことになります。早急な復旧作業が必要が大切です。