DNS amp - impactpoint.ru ， editdns.info

5月6月前半の話ですでに対策済みですが、継続していたということで追記。

今年の初めから発生しているDNS ampによるDDoSの継続です。

4/7 「DNSサーバーへのDDoS 今回はamp」,

4/8 「DNS amp deepholeforyou.info」,

4/9 「DNS amp turan-online.info」

まず巨大なTXTレコードを仕込んだドメインを準備し、ソース改ざんにより攻撃対象からのクエリと見せかけたTXTレコード検索のDNSクエリを大量に投げつけて、その巨大で大量な返り値を、攻撃対象にぶつけることでサービス不能に陥れるものです。

詳細は各記事で。

で、前回の記事からの追加分。

• IMPACTPOINT.RU　　（5/15〜18頃 ）

• editdns.info 　（5/28頃〜）

 domain:     IMPACTPOINT.RU
 type:       CORPORATE
 state:      REGISTERED, NOT DELEGATED
 person:     Tim R Stabbins
 phone:      +7 702 6405500
 e-mail:     timstabbins@gmail.com
 registrar:  REGTIME-REG-RIPN
 created:    2009.05.05
 paid-till:  2010.05.05
 source:     TC-RIPN

 Domain ID:D28537698-LRMS
 Domain Name:EDITDNS.INFO
 Created On:15-May-2009 10:57:23 UTC
 Last Updated On:15-Jun-2009 07:55:15 UTC
 Expiration Date:15-May-2010 10:57:23 UTC
 Sponsoring Registrar:Regtime Ltd. (R455-LRMS)
 Status:CLIENT HOLD
 Status:CLIENT TRANSFER PROHIBITED
 Status:TRANSFER PROHIBITED
 Registrant ID:CO493246-RT
 Registrant Name:Tim Stabbins
 Registrant Organization:Private Person
 Registrant Street1:242 North Main Street
 Registrant Street2:
 Registrant Street3:
 Registrant City:Centerville
 Registrant State/Province:UT
 Registrant Postal Code:84014
 Registrant Country:US

4/9に書いたturan-online.infoに関しては6/12ごろまで観測されていました。

現状はこれらのドメインはすべて対策済みです。

いろんなアナリスト？ネタとしてどこかでしゃべってた人たちがいたのに、攻撃発生状況は継続しているけど最近は全然情報として聞かないですね。。。

被害規模の問題なのか、目立つ被害が見えない？から、それとも他のDDoSと同じで珍しいものではなくなったから？古いネタになったから？確かに去年かおととし最初にさわがれた時点でもbotを利用したDDoSの中の割合でいえばかなり小さな、地味な話だったわけで、、、

で、まぁ、とりあえずDNS ampはいまだに継続してますということで。

[カテゴリ:DNS観察日記]

by jyake