baidu.comのドメインハイジャック
Published: 2010/01/17
1/12に発生したというbaidu.comのドメインハイジャックについてデータを調べてみました。
baidu.comの通常のアドレスは、ネット環境、または時間帯によって若干異なるものになるのですが今現在はこのようなアドレスになります。
;; QUESTION SECTION: ;baidu.com. IN A ;; ANSWER SECTION: baidu.com. 600 IN A 220.181.6.184 baidu.com. 600 IN A 61.135.163.94 baidu.com. 600 IN A 220.181.6.81 ;; AUTHORITY SECTION: baidu.com. 68789 IN NS ns4.baidu.com. baidu.com. 68789 IN NS ns3.baidu.com. baidu.com. 68789 IN NS dns.baidu.com. baidu.com. 68789 IN NS ns2.baidu.com. ;; ADDITIONAL SECTION: dns.baidu.com. 117959 IN A 202.108.22.220 ns2.baidu.com. 64349 IN A 61.135.165.235 ns3.baidu.com. 70063 IN A 220.181.37.10
このアドレスが1/12〜1/13にかけて別のアドレスに変えられていたようです。
2009/1/12 12:00- 1/12 15:00JST 174.121.0.7 2009/1/13 16:00- 1/13 22:00JST 174.121.0.2 2009/1/12 12:00- 1/13 15:00JST 127.0.0.1
127.0.0.1の応答が混在していた期間は、攻撃者との戦いの跡ですね?
127.0.0.1の応答がなくなってから別のアドレスに引っ張られてますね。。。
引っ張られたアドレスはアメリカのホスティングサービスですね。
NetRange: 174.120.0.0 - 174.123.255.255 CIDR: 174.120.0.0/14 OriginAS: AS13749, AS21844, AS30315, AS36420 NetName: NETBLK-THEPLANET-BLK-16 NetHandle: NET-174-120-0-0-1 Parent: NET-174-0-0-0-0 NetType: Direct Allocation NameServer: NS1.THEPLANET.COM NameServer: NS2.THEPLANET.COM Comment: RegDate: 2009-03-23 Updated: 2009-03-23
baidu.comがどうかはわかりませんが、ICPや規模の大きなネットサービスはトラフィックマネージメントのためにDNSを利用して、頻繁にアドレスを、中には国を超えて変えてくるので、パッと見アドレスが変わったというだけではハイジャックされたと判断できないことが多いです。ま、whoisで調べればいいわけですが。長期的なアドレスの利用状況の追跡も必要ですね。
by jyake