悪性ドメインのAAAA応答について 2
Published: 2011/07/01
今度は、malwaredomainlist.comのデータをもとにAAAA応答を返すドメインを調べてみました。
件数 | % | ||
---|---|---|---|
A | 2142 | 93.7% | |
AAAA | 30 | 1.5% | すべてAレコード有り |
登録なし/無効なアドレス | 142 | 6.2% | |
全体 | 2284 |
リストアップされているドメインの総数は前回よりはるかに少ないですが、AAAA登録ありは30個ありました。いずれもAレコードも登録されています。
ドメイン | IP | 逆引き | country | |
---|---|---|---|---|
santacruzinfo.com.br | 2001:12e8:3::158 | NONE | BR | Brazil |
alternativateam.cz | 2001:1528:124:200:216:3eff:fe00:33 | hz-w4.hosting90.cz. | CZ | Czech |
ceskyjiretin.cz | 2001:1528:124:200:216:3eff:fe00:8a | hz-w1.hosting90.cz. | CZ | Czech |
foustka.com | 2001:1528:146:0:1:29:2000:1 | NONE | CZ | Czech |
www.echo-raum.ch | 2001:1b50::82:195:225:127 | NONE | CH | Switzerland |
navettes.eu | 2001:41d0:1:1b00:213:186:33:19 | cluster010.ovh.net. | FR | France |
www.navettes.eu | 2001:41d0:1:1b00:213:186:33:19 | cluster010.ovh.net. | FR | France |
camila09.com.sapo.pt | 2001:8a0:2104:ff:213:13:145:4 | NONE | PT | Portugal |
fotosblog.com.sapo.pt | 2001:8a0:2104:ff:213:13:145:4 | NONE | PT | Portugal |
joana014.com.sapo.pt | 2001:8a0:2104:ff:213:13:145:4 | NONE | PT | Portugal |
nossasfotos00848.com.sapo.pt | 2001:8a0:2104:ff:213:13:145:4 | NONE | PT | Portugal |
nossasfotos00866.com.sapo.pt | 2001:8a0:2104:ff:213:13:145:4 | NONE | PT | Portugal |
nic.bupt.edu.cn | 2001:da8:215:4038:250:56ff:feb7:1e0d | NONE | CN | China |
siva4kids.org | 2a00:ec8:401:1:a011::1 | web11.tiscomhosting.nl. | NL | Netherlands |
multilateraal.nl | 2a00:ec8:401:1:a043::1 | web43.tiscomhosting.nl. | NL | Netherlands |
8z8.de | 2a01:238:20a:202:1086::86 | ip6w86.rzone.de. | DE | Germany |
ab18toys.mobi | 2a01:238:20a:202:1086::86 | ip6w86.rzone.de. | DE | Germany |
bachundbluesdresden.de | 2a01:238:20a:202:1086::86 | ip6w86.rzone.de. | DE | Germany |
dp-medien.eu | 2a01:238:20a:202:1086::86 | ip6w86.rzone.de. | DE | Germany |
utopia-muenchen.de | 2a01:238:20a:202:1086::86 | ip6w86.rzone.de. | DE | Germany |
www.haushoffmann.de | 2a01:238:20a:202:1086::86 | ip6w86.rzone.de. | DE | Germany |
www.max-discus-dream.de | 2a01:238:20a:202:1086::86 | ip6w86.rzone.de. | DE | Germany |
www.petersennet.de | 2a01:238:20a:202:1086::86 | ip6w86.rzone.de. | DE | Germany |
vural-electronic.com | 2a01:238:20a:202:1088::88 | ip6w88.rzone.de. | DE | Germany |
www.vw-freaks.net | 2a01:238:20a:202:1088::88 | ip6w88.rzone.de. | DE | Germany |
www.from-jucar.de | 2a01:238:20a:202:1090::144 | ip6w90.rzone.de. | DE | Germany |
www.raucherhimmel.de | 2a01:238:20a:202:1090::144 | ip6w90.rzone.de. | DE | Germany |
users.atw.hu | 2a01:270::4 | users.atw.hu. | HU | Hungary |
www.iphonedevcamp.nl | 2a01:7c8:eb:0:95:170:72:226 | webhosting6.transip.nl. | NL | Netherlands |
ironman703singapore.com | ::ffff:202.73.57.36 | NONE | SG | Singapore |
- 基本的にDNS-BHと重複するドメインそのもの、もしくは同じホスティング会社を利用しているものでこちらのリストにしか登録されていなかったものが多い
- 同じホスティング会社なのでこちらでも逆引きをちゃんと設定してあるものが多く見える
- 一つずつとはいえBRやCNもありますね。
こちらでもやはり
「::ffff:x:x:x:x」というIPv4-mapped addressの応答があるドメインがありますが、なんなんでしょう・・・
外部からのIPv6通信のためということはありえないので、内部処理につかってるんでしょうか?このアドレスはAAAAの応答はあるわけですが、IPv6で公開しているものというわけではないですね。でもクライアント環境がデュアルスタックになると、このIPv4-mapped addressと通信しようとするので、最悪はこのサイトとは通信できないかもしれませんね。
とりあえずこれらのホスティング会社を利用すれば、spam誘導サイトも、マルウェア配布も自動的にIPv6対応してしまうということですかね。
by jyake