- ベストアンサー
ワームによるルーターへの影響
今世間をにぎわせているWORM_SQLP1434.AとかW32.SQLExp.Wormと呼ばれているワームですが、ルーターの動作を不安定にするという可能性はあるでしょうか? 実は昨日ネットワークが不調になったということで現地へ見に行ったら、SQL Server 2000(SP2)が稼働しているサーバーに不具合はなかったのですが(トレンドマイクロのツール、netstatコマンドで確認済み)、ルーター(YAMAHA RT60W)の回線のランプが激しく点滅し、外部からも内部からも接続が不可になっていました。電源を再投入しても直らなかったので、結局工場出荷時の状態に戻して再設定したら正常になりました。 このワームの活動が活発になり始めたといわれているのが25日の午後2時頃から。ネットワークが不調になったのが同日2時半頃。時間的に符合するんですよね。 YAMAHAのWebサイトには情報はありませんでした。 回線はOCNエコノミー(128Kbps)です。
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
- ベストアンサー
セキュリティホールMEMOのMLからの転載ですが、 > 何か、udp1434のパケットがやたら多量 一分間に3000packet も来ている これは、多くのIPアドレスを使っているところのようです。 >自宅へ 14:30~17:00 で 170ぐらいきています。 > 異なるネットワークブロックも見たのですが、クラスC一つ > あたり約200packet/1分 流れて来てる様です。 > 大学では今日の 14:30:50 から 0.5-1.5 パケット/分/ホスト、 > 自宅では今日の 14:32:57 から 同程度来ています。 >うちの研究室のネットワークなどでも多数のパケットを受けています。 >すでにDDoS状態となり、回線が輻輳しているケースも見られるようです。 これらのことからもわかるように、25日は、日本国内でも激しい攻撃にさらされました。 会社のFirewallにひとつもログがないとは非常に考えにくいです。ログのとり方の問題と思われます。 ところで、現在ですが、沈静化しました。 私の自宅のADSL回線で、1日に10以下に収まっています。 モニタしても見つからないのも不思議じゃないです。 ちなみに、そのときの様子がうかがいしれるとあるところのログです。 突然激しいパケットロスが起こってます。 http://average.matrix.net/Weekly/markP.html これだけの激しい攻撃を受けたせいで、ルーターが不安定になったと私は想像します。RT60w自体、それほどルーティング速度が優れているわけでもありませんし。
その他の回答 (1)
- kaitou-man
- ベストアンサー率60% (86/141)
大量のトラフィックであちこちのルータがダウンしたもようです。 そのせいで単なるネットワークの速度低下ではなく、韓国ではネットの停止にまで行ったようです。
お礼
ご回答ありがとうございます。 2年前のCodeRed騒ぎの時にはルーターの中にもバッファオーバーフローを起こしておかしくなるものが相次ぎましたが、今回のワームではそういうことはあまり聞きません。 今回そこのルーターがおかしくなった際には、うちの会社のファイアーウォールにはいっさいUDP1434ポートのパケットは検出されていませんし、日本ではそれほど深刻な状態ではなかったので、ワーム騒ぎとルーターの不具合(故障?)がたまたま同時期にでたのかなぁと考えています。 昨日も同様な現象が起きたということでして、電源を再投入してもらったら直りました。 ますますルーターの故障の可能性が増えました。 その後、SQL Server 2000にSP3をあてた上で、わざとルーターでUDP1434番ポートをあけ、サーバーでパケットをモニタリングしてみましたが、いっさいUDP1434番ポートのパケットは飛んできませんでした。
お礼
ご回答ありがとうございます。 >会社のFirewallにひとつもログがないとは非常に考えにくいです。ログのとり方の問題と思われます。 その可能性もあるかもしれません。 ファイアーウォールの外側にさらしているホスト(FreeBSD)も何台かあって、それぞれipfwでパケットフィルタリングして不要なパケットがきたらログをとるようにしているのですが、UDP/1434は見あたりませんでした。 実は今日も2回、ルーターがハングアップしまして、「故障じゃなかろうか?」という判断に傾きかけています。 RT60W自体、ログの機能があるのですが、ハングアップして電源を落とすとクリアされてしまいますので、どういう理由でハングアップしたのかを探ることができないんですね。 で、明日再度現地に赴き、PCからパケットをモニタリングしてみることにしました。 故障以外にDoS攻撃も考えられますし。