流行に乗っかりました
8/19、インターネットのレスポンスが非常に悪い。 というより、ほとんど反応がない。 回線はつながっているようなので外側の問題とは考えにくい。 時々、諸機器の問題でこういうことが起こり、いつもは適当に再起動さえすれば解決するのですが、今回はなにやら事情が違う。 インターネットの切断を試みるが、切断してもすぐに自動接続されてしまう。 自動接続は外側への通信を要求しないと行なわれないので、通信がない状態で自動接続されるのはおかしい。
そこで、通信ログを見ると、LAN内のPCのうちの一台が猛烈な勢いでICMP(電話でいう「もしもし?」)を送出している。 宛先はIPアドレスをインクリメントした総当たり。 間違いなくウィルスですね。 しかも、その日に報告された「MSBLAST」の亜種「MSBLAST.D」。 情報が少なくて非常に困りました。 幸い、このあたりのウィルスによる通信は外側へは出て行かないようにあらかじめ設定しておいたので、よそ様へは危害を加えていないはずです。 LAN内においても、感染PCを除くすべてのPCはパッチを適用していたので何事もありませんでした。
それにしても、このウィルスはルータを超えて進入するのか? そんなはずはない。 おそらくは、LANと外側の間の通信で被る各種制限を取っ払う目的(ネットゲームなど)で、ルータを挟まずに直接つないだのでしょう。
LAN内からウィルスを取っ払い、ネットワークを復旧。 さて、通信ログを見ると、数秒に一度の割合でこちらに向かう通信が多数。 ICMPを送りつけ、ノード(PCやルータ)の所在を確認したのちTCP135を大量に送出。 間違いなく外側にいるウィルスの挙動。 LAN内に進入されることはないので放っておいても問題はないのですが、いかんせん目障り。 そこで、ICMPを無視していないふりを決めこむことに。 おかげでTCP135は全くこなくなりました。 ルータもコンピュータですから、処理量過多でダウンするのだけは避けたいですね。