cNotes 検索 一覧 カテゴリ

DNS amp - source address 2

Published: 2013/10/08

9/29 2:00頃以来ぱたっと止まっていた中国のアドレスブロックをソースIPとするトラフィックですが、10/7 16:00に再開してます。

最初は9/29の最後に使っていたaa3247.com(最初に使われたのは9/23)でしたが10/8 12:00頃から4fwhk.com(最初に使われたのは9/29)に変わってます。

一週間以上前に見つかっているドメインの再利用ですのでこの期間に何かしらかの対処は可能かもしれません。

たくさんの観測ポイントのどのポイントでも美しく30分周期で観測。攻撃ではなく攻撃のための探索?Wormっぽい懐かしい感じ。


攻撃ではない調査パケットですが、毎日1回、2週間に1回、かなりまばらに不定期なもの等がありますが、あまりに不定期すぎるもの、動的IPの同じ端末にIPが変わっても何度も来てしまうもの等あり、正しい数値を出すのは難しいんだろうなということが想像できます。

[カテゴリ:DNS観察日記]

by jyake