 |
 |
|
| 最新ニュース |
|
|
【 2009/12/25 】 【 2009/12/24 】 |
|
|
||||||
|
||||||
|
||||||
| JPRS、Slammer対策のポートフィルタリングで注意を呼びかけ | ||||||
|
||||||
|
||||||
|
||||||
|
株式会社日本レジストリサービス(以下JPRS)は、ウイルスやワーム等への対処としてフィルタリングを行なう際の注意事項をWebサイトに掲載した。Slammerウイルスへの対策として行なわれている“UDP 1434番ポートへのアクセス遮断措置”をとった際に起きうる障害についてにまとめている。 Slammerウイルスには、感染したサーバーからランダムなIPアドレスのUDP 1434番ポート(ms-sql-m、マイクロソフトのSQL Serverが利用しているポート)宛てに大量のパケット送信を行なう特徴があった。このため感染防止策として、UDP 1434番ポートへのアクセスを制限、また遮断する緊急措置をとるケースが多かった。 JPRSによれば、こうしたフィルタリングによってDNS応答に障害が出る可能性があるという。通常、DNSの問い合わせは、DNSサーバーのUDP 53番ポートに対して行なわれるが、この時クライアント側のポートは、通常1024番以上の任意のUDPポートが使用される。この際に、クライアント側がUDP1434番ポートを選択する場合があり、UDP1434番ポートへのアクセスを無条件に遮断した場合、このクライアントからのDNS応答までもが遮断されることになるという。 またDNSの代表的なソフトウェア「BIND8」「BIND9」 のキャッシュサーバーでは、一度問い合わせに利用するポートを決定した後は、初期化などの操作を行なわない限りそのポートを利用し続けるという特性がある。このため、最初にUDP1434番ポートが選択された場合、その後同じキャッシュサーバーからのDNS問合せに対する応答はすべてフィルタリングされる形となり、キャッシュサーバを利用しているユーザーによるDNS問い合わせに障害が発生する可能性がある。 JPRSでは、こうした障害を防ぐために、ウイルス等がUDP 53番ポートを利用していることが明らかでない場合は、データの送信・受信先がUDP 1434 番ポートであっても、他方がUDP 53番ポートであるトラフィックはフィルタリングしないように設定することを呼びかけている。同社では「Slammerのような特定のポートを対象とするワームの場合、そのトラフィックをフィルタリングするのは暫定的な対応として有効である。ただし、1024番以上のポートをフィルタリングする場合には、他のサービスへの影響の可能性があることを考慮し、適切な設定を行なうことが望ましい」としている。
■ URL ウィルス・ワーム等への対処としてフィルタリングを行う場合の注意(JPRS) http://jpinfo.jp/topics/030207.html 関連記事:ウイルス「Slammer」リンク集(INTERNET Watch) http://internet.watch.impress.co.jp/www/article/2003/0128/slammer.htm (青木美英) 2003/02/07 14:45 |
 |
|
| Broadband Watch ホームページ |
|
|
|
|
 |
|
| Copyright (c) 2003 Impress Corporation All rights reserved. |
|