DNS amp 中国のIPからの探索パケット
Published: 2013/09/15
2008年頃から継続するDNS amp。最近特にひどいというわけではなく、継続的に中国とオランダを中心にとどきつづけているわけですが、
9/7から9/13 16:30頃まで観測されていた、中国のIPからのドメイン検索は
約24時間休憩したあと
9/14 14:20ごろから、
新しいドメインへのクエリになりました。これは255個のAレコードが登録されているタイプ。
先週のドメインは8月初めに観測されていた中国発の攻撃用ドメインですね。ドメインを引けなくする等の対策済みのISPもあるだろうと。
だいたい毎週金曜日の夜から土曜にかけて活発化するので、週末になってその他の新旧攻撃用ドメインに関するクエリも混在して届きます。
機械的、WORM的な挙動に見でどこでも観測されてしまうもののように見えます。みつけたら
- 攻撃用ドメインを引けなくする
- 送信元IPはだいたい同じなのでIPでブロックしておく
の繰り返しで対策する感じですかね。一年前に使われていた攻撃用ドメインがいまだに使えるようになってたりするのは問題かなぁと。
by jyake