奇怪な現象が出ているのでチョット見て欲しいという相談を知り合いから受けた。
お話しを聞いてみると、
あるノートPCを会社のネットワークに接続してしばらくすると、
会社全体がインターネットにアクセスできなくなる、ということであった。
もう少し詳しく状況を説明すると、
この現象は先週末から起き始めた。
そのノートPCのOSはWindows2000。
PCがウィルスに感染した可能性が高いので、
Windows Update 行って OSも最新の状態にしたし、
インストールされている Symantec AntiVirus Corporate Edition
の Virus Definition File も最新にしてスキャンを掛けた。
しかし、この日曜日の21日現在、ウィルスを発見できなかったそうである。
会社で使われているルーターは SONICWALL。
このルーターがしばらくすると、完全にハングアップしてしまう。
ハングする直前のログを取り出してみると、
08/21/2005 15:38:09.544 The cache is full; 6144 open connections; some will be dropped 192.168.20.52, 4428, LAN 216.1.XXX.XXX, 445, WAN
こんは感じ。
このノートPCのユーザーの方も、ネットワークに繋がないと仕事にならないし、
かと言って、ネットに繋ぐと しばらくしてから、その方を含め会社の全員、
インターネットが使えなくなってしまう、というジレンマであった。
実は昨日、私も現場に呼び出されて行ってみると上記のような状況であったのだ。
おそらくウィルスかスパイウェアの仕業と思われるが、
AntiVirusでも引っかからなければ、それらを特定するのは非常に難しく
解決には時間がかかりそうであった。
さて、この局面で、私が行った 次の一手 をご紹介しておこう。
このジレンマを抜け出すためには、ノートPCを直そうとせず、
先ず、ルータがハングしないようにすること。
そうすれば、たとえPCの中にウィルスが居続けたとしても、
そのPCの持ち主の方も、他の社員の方々もインターネットでの仕事を続けられる。
では、なぜ、ルータはハングしたのか?
上記のログを解析してみると、「The cache is full」とか「open connections」
という記述がみつかる。それから、ポート番号 445 への接続であったことがわかる。
ちなみに、上記「192.168.20.52」というのが、その時点での問題ノートPCのIPアドレス。
以上のことから、
「問題ノートPCのウィルスが自己増殖するために、不特定のIPアドレスのポート445 に向かって、
大量のパケットを送信している。 ルータはNAT(Network Address Translation)を行うために、
そのパケット情報を一時的にメモリに保持しておかなければならないが、
そのパケットの数が多すぎてメモリがパンクしてしまっている。」
という仮説が立てられる。
では、上記仮説が正しかった仮定すると、どうしたら、この現象の発生をくい止めることができるのか。
要は簡単で、問題のパケットを受け取らなければよいだけの話し。
そこで、
「LAN側の不特定のIPアドレスから、WAN側の不特定のIPアドレスのポート番号445に対するTCPパケットを拒絶する」
という記述をSONICWALLのパケット・フィルターに追加した。
問題ノートPCのユーザーの方から聞いた話しでは、
その後、ルータはハングしなくなったそうである。
ただし、これはあくまでも暫定的な解決方法であり、
おそらく、問題ノートPCには何ならのウィルスが存在していると考えられる。
その後の展開については後日のエントリーとさせていただく。
カテゴリー:
通信
21:20
| コメント (0)
| トラックバック (0)