cNotes 検索 一覧 カテゴリ

BINDを狙ったDDoS?

Published: 2008/09/05

今年の6月頃に発生していたbindを狙ったDDoSと同じようなものが大々的に行われているようです。とりあえず9/4の18時ごろまで観測されてました。今回は(も?)単純にDDoSの目的しかないように見えます。

前回は、EDNS0でペイロードサイズの上限を65535まで拡大して、type ANYのクエリを大量に送るが、肝心の弾(応答すべきデータ)が存在しないnameだったので単純に上位DNSへのクエリfloodとしてしか成立していないようなものでしたが、今回は「aol.com」のTXTレコードを検索するクエリをたくさん投げて、その応答を利用してそこそこの帯域を食うUDP floodになっています。ポイズニングでもなさそう、、、というか明確な意味は実は不明です。状況はDDoSに見えます。

 Domain Name System (query)
    Transaction ID: 0x249d
    Flags: 0x0100 (Standard query)
        0... .... .... .... = Response: Message is a query
        .000 0... .... .... = Opcode: Standard query (0)
        .... ..0. .... .... = Truncated: Message is not truncated
        .... ...1 .... .... = Recursion desired: Do query recursively
        .... .... .0.. .... = Z: reserved (0)
        .... .... ...0 .... = Non-authenticated data OK: Non-authenticated data is unacceptable
    Questions: 1
    Answer RRs: 0
    Authority RRs: 0
    Additional RRs: 1
    Queries
        aol.com: type TXT, class IN
            Name: aol.com
            Type: TXT (Text strings)
            Class: IN (0x0001)
    Additional records
        <Root>: type OPT
            Name: <Root>
            Type: OPT (EDNS0 option)
            UDP payload size: 65535
            Higher bits in extended RCODE: 0x0
            EDNS0 version: 0
            Z: 0x0
            Data length: 0

実際のaol.comのTXTレコード。spfレコードが書かれているのでペイロード的には232byteぐらいの応答になります。

 ;aol.com.                       IN      TXT
 
 ;; ANSWER SECTION:
 aol.com.                300     IN      TXT     "v=spf1 ip4:152.163.225.0/24
 ip4:205.188.139.0/24 ip4:205.188.144.0/24 ip4:205.188.156.0/23
 ip4:205.188.159.0/24 ip4:64.12.136.0/23 ip4:64.12.138.0/24 ip4:64.12.143.99/32
 ip4:64.12.143.100/32 ip4:64.12.143.101/32 ptr:mx.aol.com ?all"
 aol.com.                300     IN      TXT     "spf2.0/pra
 ip4:152.163.225.0/24 ip4:205.188.139.0/24 ip4:205.188.144.0/24
 ip4:205.188.156.0/23 ip4:205.188.159.0/24 ip4:64.12.136.0/23
 ip4:64.12.138.0/24 ip4:64.12.143.99/32 ip4:64.12.143.100/32
 ip4:64.12.143.101/32 ptr:mx.aol.com ?all"

送信元は「86.59.84.100」(オーストリアか、、)なんですが、この経路は到達性がなさそうです。単純にbind狙いのDDoSだったのか、それとも応答はすべてこのアドレスに返っていくので逆にこの人がDDoSの被害者なのか?経路到達性がないので、ソースアドレスを改ざしたクエリによるDDoSだったというのが一番有力でしょうか?ソース改ざんの確証もありませんので不明です。

 route:          86.59.0.0/17
 descr:          SIL-NET / Austria
 descr:          Provider Local Registry Block (at.sil)
 origin:         AS3248
 mnt-by:         SIL-MNT
 remarks:        Report spam / net-abuse to: abuse@sil.at
 changed:        cl@sil.at 20050504
 source:         RIPE

spam対策のためにspfを推奨してくれたおかげで、ちょっと大き目のtxtレコードという弾が世界中のDNSに弾籠めされているのでそれを利用した増幅攻撃というかリダイレクト攻撃がやりやすくなったという皮肉?DNSにとってはいい迷惑という皮肉?って嫌味な表現をしちゃだめですね。

今回の場合は、ソースアドレスが固定されていることもあり、許可しているアドレス以外からのクエリーを受け付けない設定がしてあればひとまず単純なブロックは可能だと思います。ただ、攻撃の目的が変化することにより許容しているクライアントがボットになってソース改ざんなしで同様のクエリを投げる可能性もあるのでその場合の対処は困難になります。

[カテゴリ:botnet観察日記]

by jyake