DNS amp - impactpoint.ru , editdns.info
Published: 2009/06/27
5月6月前半の話ですでに対策済みですが、継続していたということで追記。
今年の初めから発生しているDNS ampによるDDoSの継続です。
4/7 「DNSサーバーへのDDoS 今回はamp」,
4/8 「DNS amp deepholeforyou.info」,
4/9 「DNS amp turan-online.info」
まず巨大なTXTレコードを仕込んだドメインを準備し、ソース改ざんにより攻撃対象からのクエリと見せかけたTXTレコード検索のDNSクエリを大量に投げつけて、その巨大で大量な返り値を、攻撃対象にぶつけることでサービス不能に陥れるものです。
詳細は各記事で。
で、前回の記事からの追加分。
- IMPACTPOINT.RU (5/15〜18頃 )
- editdns.info (5/28頃〜)
domain: IMPACTPOINT.RU type: CORPORATE state: REGISTERED, NOT DELEGATED person: Tim R Stabbins phone: +7 702 6405500 e-mail: timstabbins@gmail.com registrar: REGTIME-REG-RIPN created: 2009.05.05 paid-till: 2010.05.05 source: TC-RIPN
Domain ID:D28537698-LRMS Domain Name:EDITDNS.INFO Created On:15-May-2009 10:57:23 UTC Last Updated On:15-Jun-2009 07:55:15 UTC Expiration Date:15-May-2010 10:57:23 UTC Sponsoring Registrar:Regtime Ltd. (R455-LRMS) Status:CLIENT HOLD Status:CLIENT TRANSFER PROHIBITED Status:TRANSFER PROHIBITED Registrant ID:CO493246-RT Registrant Name:Tim Stabbins Registrant Organization:Private Person Registrant Street1:242 North Main Street Registrant Street2: Registrant Street3: Registrant City:Centerville Registrant State/Province:UT Registrant Postal Code:84014 Registrant Country:US
4/9に書いたturan-online.infoに関しては6/12ごろまで観測されていました。
現状はこれらのドメインはすべて対策済みです。
いろんなアナリスト?ネタとしてどこかでしゃべってた人たちがいたのに、攻撃発生状況は継続しているけど最近は全然情報として聞かないですね。。。
被害規模の問題なのか、目立つ被害が見えない?から、それとも他のDDoSと同じで珍しいものではなくなったから?古いネタになったから?確かに去年かおととし最初にさわがれた時点でもbotを利用したDDoSの中の割合でいえばかなり小さな、地味な話だったわけで、、、
で、まぁ、とりあえずDNS ampはいまだに継続してますということで。
by jyake