DNS amp - source address
Published: 2013/10/04
毎日、攻撃なのか探索なのかわかりませんがたくさんのパケットが届きます。
ほとんどのIPv4アドレスレンジに順番にUDP53へDNSクエリが投げつけられてくる状況です。
7,8年前のWormとかその後のbotの感染対象探しや、OpenRelayやOpenProxy探しの網羅的なスキャンに似たような状況ですね。
日によっては世界中のいろいろなコミュニティかグループかアカデミックかからとどくOpenResolverやDNS調査パケットの方が多かったりするのには若干引きます。攻撃より多く観測されたらそれは調査といえるのか?と思ったりもしますが、普通の人はそれを調査か攻撃かの区別はできないので攻撃の一つして淡々とブロックしてしまえばいいかと。
グラフは、これらクエリのソースIPアドレスの状況を表しています。とりあえず明確に調査用とわかるものは除外してます。
DNS amp攻撃の場合はこのソースIPアドレスが攻撃対象となるわけですが、攻撃に利用できそうなOpenResolver探し、昔のWormのように、実は何の目的もなく無作為にパケットを投げまくっていて、それがたまたま多くなった時にamp攻撃のように見えるっぽい挙動まで様々です。攻撃元の正体や原理を突き止めたいですね。
グラフの目立つ部分は、9/11から9/29までの間中国からの探索パケットいわれていたトラフィックです。9/18に向けてのようなイメージもありましたが、9/29まで続いてぱったりと止まっています。その他、ほぼおなじホスティング会社やISPをソースとするものが継続的に観測されていて、そこに、攻撃目的なのか、全く異なるIPが混ざるという日々です。
by jyake