DNS amp - source address 3
Published: 2013/11/06
9月ごろ中国からどうとかいわれていたパケットですが、その後も断続的に観測されていて最近では10月26日ごろに再度観測されてます。
最近は、一つの観測ポイントでしか観測できないソースIPアドレスがあります。見難いですが、11/1ごろの赤い線。これは特定のISPの特定のIPでのみ観測されました。
Openresolverサーチ用のパケットと実際の攻撃のパケットの見分けがつかないのは相変わらずですが、この特定ポイントでの大量のクエリはそれ以外とはまったく異なる特性を示してます。
それ以外に関しては数カ月前から使われているamp用ドメインが継続的に使われていて、その中に新規のamp用ドメインが毎日1つずつ追加されている感じ。
調査用のクエリの種類が増えたのと、以前盛んに調査を行っていた人達のクエリが9月末でぱったりなくなったりと、調査系の方々もいろいろあるようです。
by jyake