DNS amp - source address 4

11/12の0時と8時台に最近使用されたことのある攻撃用ドメイン40種類を同時に使った攻撃？探索？を観測しました。観測されたのは観測ポイント2箇所だけで、ソースIPは同一のものです。（80.82.x.x）

0時と8時の差は、観測ポイントのIPアドレスが違うのでsweepの時差かなと。

最近は、観測されるパケットの攻撃用ドメインとソースIPアドレスが観測ポイントごと違うものが見えてますが、踏み台に利用されるオープンリゾルバのIPアドレスで分類されるっぽいです。だいたいAクラスかBクラスで。世界中をsweepしてるので分散するのは当たり前なのですが。

とりあえず半年以上前から利用されている攻撃用ドメインが未だに利用可能である状況を改善した方が良いと思いますが、そうしたとしても簡単に新しい攻撃用ドメインを作成されるだけなのかもしれません。。。。