cNotes 検索 一覧 カテゴリ

DNS amp - source address 5

Published: 2013/12/08

9/18に関連しているのではないかと言われていた122.136.196.X(中国)からのスキャンですが10/27を最後に観測されなくなりました。9/7ごろからスタートしている攻撃でしたので時期的に9/18をまたいでいましたが、かなり長期間であったこともあり果たして関連はあったのでしょうか?

その後目立つアドレスレンジが80.x.x.xあたりに変わっています。

また観測ポイント毎に観測できる攻撃(ソースIP)に違いが出るようになっています。ただし攻撃用ドメインは全観測ポイントで共通的に観測されています。

また、一部のアドレスレンジのみAMPというかリフレクション対象にならない場所もあるようです。これたまたまいままであまり使われていなかったアドレスなので攻撃側のOpenResolver探索に漏れがあるということだけかもしれません。

[カテゴリ:DNS観察日記]

by jyake