• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

ニュース

「SQL Slammer対策としてポートをフィルタリングしている組織は注意」――JPRS

勝村幸博 2003/02/07 ITpro

 日本レジストリサービス(JPRS)は2月7日,SQL Slammer対策としてUDP 1434番ポートをフィルタリングしていると,DNSなどの他のサービスに影響を与える恐れがあるので注意するよう呼びかけた。DNSサーバーからクライアントへの応答に,UDP ポート1434番が使用される場合があるからだ。無条件でUDPポート1434番へのトラフィックをフィルタリングしている組織は要注意である。

 この問題については,ネットワーク技術者などが意見を交換する「JANOG(JApan Network Operators' Group)」のメーリング・リストでも話題になっていた。

 DNSサーバーはUDP 53番ポートを使用する。これに対して,クライアントがDNSサーバーへリクエストを送信する際には,通常,1024番以上の任意の UDPポートを使用する。このときUDP 1434番ポートが選択されれば,DNSサーバーはそのポートに対して,リクエストの応答を送信する。ここで,UDPポート1434番が無条件でフィルタリングされていると,クライアントは応答を受信できない。

 クライアントだけの問題ではない。クライアントからのリクエストを受けて,他のDNSサーバーへリクエストを送信するDNSキャッシュ・サーバーについても同様である。UDPポート1434番をフィルタリングしていると,キャッシュ・サーバーは他のDNSサーバーからの応答を受信できない場合がある。

 しかも,代表的なDNSサーバー・ソフト「BIND」のバージョン8および9では,初期化などをしない限り,一度選択したポートを利用し続けるという。つまり,キャッシュ・サーバーが一度UDPポート1434番を選択すると,そのキャッシュ・サーバーのユーザーは名前解決を一切できなくなってしまう。

 このため,データの送信あるいは受信先が UDP 1434 番ポートであっても,もう一方が UDP 53 番ポートである場合には,フィルタリングしないことが望まれるとしている。

 とはいえ,フィルタリングのルールは組織の環境やポリシーによって決めるものなので,上記のフィルタリングのルールを強制するつもりはなく,あくまでも参考情報として提供していると断っている。

◎参考資料
ウィルス・ワーム等への対処としてフィルタリングを行う場合の注意(日本レジストリサービス)

(勝村 幸博=IT Pro)

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る