ウィルスバスター2007の無線LANパトロール - ∇ナぁーブらー∂かっフぇー∇

ウィルスバスター2007の無線LANパトロール機能を有効にし30分毎に自動でパトロールする設定にしておいた場合,同一LAN内で過去にARPパケットを受信して判明した活動中のIPアドレスのUDPポート137番をスキャンし,NetBIOSホスト名等を収集する.
ウィルスバスター2006の場合ポートスキャンのタイミングはコントロールできず随時行われるらしいが,2007の場合はほぼ一斉に行われる.
スキャン対象となったIPアドレスへのARP発行は全てのアドレスに対して行われるわけではなく,スキャンされた側から発行している場合もある.両者の数は同程度.
2006の場合はほぼスキャンする側からの発行になるので,2007は受信したARPパケットのEtherアドレス情報の一部を使用してはいるらしい.どのアドレスについては使用されどのアドレスには使用されないのかは不明.
ARPキャッシュのタイムアウトによる影響が考えられるが,発行前1時間を見る限りARPを受信した時間にはよらないらしく,ポートスキャンを行う直前にARPを受信しているはずのアドレスに対しても自らARPを発行している場合としていない場合がある.

ARPアクセスの様子をgraphvisによりグラフ化した結果.中央の上部の四角深緑がウィルスバスター2007をインストールした機械.上からの多数の集中エッジ(ARPを発行された)と下への多数の拡散エッジ(ARPを発行した)をもつ.
参照