Slammer対策のポートフィルタリングでDNSに悪影響も
～JPRSが注意呼びかけ

■URL
http://jprs.jp/
http://jpinfo.jp/topics/030207.html (JPRSの注意)
http://www.nic.ad.jp/ja/dns/filtering.html (JPNICの注意)

　株式会社日本レジストリサービス（以下JPRS）は、Slammerウイルス対策で行なわれているポートフィルタイリングについての注意事項をWebサイトに掲載した。暫定的な措置がDNSの利用などに影響を与える可能性についてまとめている。またJPNICも注意を促す内容をサイトに掲載している。

　Slammerウイルスには、感染したサーバーからランダムなIPアドレスのUDP 1434番ポート（ms-sql-m、マイクロソフトのSQL Serverが利用しているポート）宛てに大量のパケット送信を行なうという特徴があった。このため、緊急の感染防止策として、UDP 1434番ポートへのアクセスを制限、また遮断するといったフィルタリング措置をとるケースが多かった。

　DNSの問い合わせは通常DNSサーバーのUDP 53番ポートに対して行なわれるが、この際にクライアント側（キャッシュサーバー側）では、通常1024番以上の任意のポートが使用される仕組みだ。つまり偶然に1434番ポートが選ばれ、DNSサーバーからの応答が1434番ポートに返される状況も起こりうる。この場合、Slammer対策として1434番ポートへのアクセスを遮断していると、この応答も遮断されてしまい、DNSによる名前解決ができなくなるという。

　JPRSではこうした状況から、むやみなフィルタリングによって相手側発信ポートが53番のUDPパケットまでも遮断してしまうと、DNSに障害が発生することを指摘。Slammer対策で多く採用されたポートフィルタリングはあくまで暫定的な措置で、他のサービスへ影響を与える可能性も高いことを考慮し、SQL Serverへパッチをあてるなど、脆弱性をふさぐための本質的な対策を行なうことを推奨している。

◎関連記事
■ウイルス「Slammer」リンク集

(2003/2/10)

[Reported by aoki-m@impress.co.jp]