ワーム動向解析レポート

□ワーム動向解析レポート - SQL Slammer -

1-1. ワーム概要

SQL Slammer ワームは Microsoft SQL Server 2000 および MSDE 2000 をターゲットにしたワームであり、感染活動のみ行いシステムの改竄といった活動は行いません。しかし、大量の攻撃パケットを送信するため、感染したマシンのパフォーマンスが低下したばかりでなく、世界的規模でネットワークのスループット低下を引き起こしました。サイズは 376 バイトで、UDP ヘッダ、IP ヘッダを含めても 404 バイトとコンパクトながらネットワークにこれだけの影響を与えたことから、如何に大量のパケットが送信されたかが分かります。

1-2. 感染手法

SQL Server が使用する udp/1434 に対して攻撃パケットを送信します。

1-3. 感染を防ぐ対策

SQL Server 2000 関連のセキュリティパッチを適用する
ルータやファイアウォールで udp/1434 を遮断する

ルータやファイアウォールでは一般的に外からのアクセスは出来ないようになっていますが、それに加えて中から出ていく udp/1434 を遮断しておくと万が一感染してしまっても他のホストへの影響を食い止められます。

詳しくは SQL Server および MSDE を標的とした SQL Slammer ワームに関する情報

2. アクセスの検出方法

～ Linux の場合～
システムログにフィルタリングの記録が残るので、grep コマンドを使い該当の部分を出力します。まず、root など /var/log/messages ファイルにアクセスする権限のあるユーザに切り替えます。その後 grep コマンドを実行します。該当のログがある場合は下のような出力がされます。下の例は見易いように適当なところで改行してあります。

# su
$ grep 'PROTO=UDP .* DPT=1434' /var/log/messages*
Jan 25 14:29:56 hostname kernel: ip_dropIN=ppp0 OUT= MAC= SRC=***.***.***.**
DST=***.**.***.** LEN=404 TOS=0x00 PREC=0x00 TTL=108 ID=17703
PROTO=UDP SPT=1062 DPT=1434 LEN=384

3. アクセス数の推移

下は自宅のサーバでの検出数をグラフにしたものです。1 月 25日 13時以前、少なくとも過去 2週間はまったく検出されませんでした。それが 14 時から急に始まり 16 時がピークとなりました。日付が変わり 26日になってからは 0～2回／h となり収束したようです。

推移状況のグラフ

4. 送信元ホストのエリア

現在解析中です。