BINDを狙ったDDoS?
Published: 2008/09/05
今年の6月頃に発生していたbindを狙ったDDoSと同じようなものが大々的に行われているようです。とりあえず9/4の18時ごろまで観測されてました。今回は(も?)単純にDDoSの目的しかないように見えます。
前回は、EDNS0でペイロードサイズの上限を65535まで拡大して、type ANYのクエリを大量に送るが、肝心の弾(応答すべきデータ)が存在しないnameだったので単純に上位DNSへのクエリfloodとしてしか成立していないようなものでしたが、今回は「aol.com」のTXTレコードを検索するクエリをたくさん投げて、その応答を利用してそこそこの帯域を食うUDP floodになっています。ポイズニングでもなさそう、、、というか明確な意味は実は不明です。状況はDDoSに見えます。
Domain Name System (query) Transaction ID: 0x249d Flags: 0x0100 (Standard query) 0... .... .... .... = Response: Message is a query .000 0... .... .... = Opcode: Standard query (0) .... ..0. .... .... = Truncated: Message is not truncated .... ...1 .... .... = Recursion desired: Do query recursively .... .... .0.. .... = Z: reserved (0) .... .... ...0 .... = Non-authenticated data OK: Non-authenticated data is unacceptable Questions: 1 Answer RRs: 0 Authority RRs: 0 Additional RRs: 1 Queries aol.com: type TXT, class IN Name: aol.com Type: TXT (Text strings) Class: IN (0x0001) Additional records <Root>: type OPT Name: <Root> Type: OPT (EDNS0 option) UDP payload size: 65535 Higher bits in extended RCODE: 0x0 EDNS0 version: 0 Z: 0x0 Data length: 0
実際のaol.comのTXTレコード。spfレコードが書かれているのでペイロード的には232byteぐらいの応答になります。
;aol.com. IN TXT ;; ANSWER SECTION: aol.com. 300 IN TXT "v=spf1 ip4:152.163.225.0/24 ip4:205.188.139.0/24 ip4:205.188.144.0/24 ip4:205.188.156.0/23 ip4:205.188.159.0/24 ip4:64.12.136.0/23 ip4:64.12.138.0/24 ip4:64.12.143.99/32 ip4:64.12.143.100/32 ip4:64.12.143.101/32 ptr:mx.aol.com ?all" aol.com. 300 IN TXT "spf2.0/pra ip4:152.163.225.0/24 ip4:205.188.139.0/24 ip4:205.188.144.0/24 ip4:205.188.156.0/23 ip4:205.188.159.0/24 ip4:64.12.136.0/23 ip4:64.12.138.0/24 ip4:64.12.143.99/32 ip4:64.12.143.100/32 ip4:64.12.143.101/32 ptr:mx.aol.com ?all"
送信元は「86.59.84.100」(オーストリアか、、)なんですが、この経路は到達性がなさそうです。単純にbind狙いのDDoSだったのか、それとも応答はすべてこのアドレスに返っていくので逆にこの人がDDoSの被害者なのか?経路到達性がないので、ソースアドレスを改ざしたクエリによるDDoSだったというのが一番有力でしょうか?ソース改ざんの確証もありませんので不明です。
route: 86.59.0.0/17 descr: SIL-NET / Austria descr: Provider Local Registry Block (at.sil) origin: AS3248 mnt-by: SIL-MNT remarks: Report spam / net-abuse to: abuse@sil.at changed: cl@sil.at 20050504 source: RIPE
spam対策のためにspfを推奨してくれたおかげで、ちょっと大き目のtxtレコードという弾が世界中のDNSに弾籠めされているのでそれを利用した増幅攻撃というかリダイレクト攻撃がやりやすくなったという皮肉?DNSにとってはいい迷惑という皮肉?って嫌味な表現をしちゃだめですね。
今回の場合は、ソースアドレスが固定されていることもあり、許可しているアドレス以外からのクエリーを受け付けない設定がしてあればひとまず単純なブロックは可能だと思います。ただ、攻撃の目的が変化することにより許容しているクライアントがボットになってソース改ざんなしで同様のクエリを投げる可能性もあるのでその場合の対処は困難になります。
by jyake