cNotes 検索 一覧 カテゴリ

baidu.comのドメインハイジャック

Published: 2010/01/17

1/12に発生したというbaidu.comのドメインハイジャックについてデータを調べてみました。

関連:Twitter.comのドメインハイジャック


baidu.comの通常のアドレスは、ネット環境、または時間帯によって若干異なるものになるのですが今現在はこのようなアドレスになります。

 ;; QUESTION SECTION:
 ;baidu.com.                     IN      A
 
 ;; ANSWER SECTION:
 baidu.com.              600     IN      A       220.181.6.184
 baidu.com.              600     IN      A       61.135.163.94
 baidu.com.              600     IN      A       220.181.6.81 
 
 ;; AUTHORITY SECTION:
 baidu.com.              68789   IN      NS      ns4.baidu.com.
 baidu.com.              68789   IN      NS      ns3.baidu.com.
 baidu.com.              68789   IN      NS      dns.baidu.com.
 baidu.com.              68789   IN      NS      ns2.baidu.com. 
 
 ;; ADDITIONAL SECTION:
 dns.baidu.com.          117959  IN      A       202.108.22.220
 ns2.baidu.com.          64349   IN      A       61.135.165.235
 ns3.baidu.com.          70063   IN      A       220.181.37.10

このアドレスが1/12〜1/13にかけて別のアドレスに変えられていたようです。

 2009/1/12 12:00- 1/12 15:00JST 174.121.0.7
 2009/1/13 16:00- 1/13 22:00JST 174.121.0.2
 2009/1/12 12:00- 1/13 15:00JST 127.0.0.1 

127.0.0.1の応答が混在していた期間は、攻撃者との戦いの跡ですね?

127.0.0.1の応答がなくなってから別のアドレスに引っ張られてますね。。。

引っ張られたアドレスはアメリカのホスティングサービスですね。

 NetRange:   174.120.0.0 - 174.123.255.255 
 CIDR:       174.120.0.0/14 
 OriginAS:   AS13749,  AS21844,  AS30315,  AS36420
 NetName:    NETBLK-THEPLANET-BLK-16
 NetHandle:  NET-174-120-0-0-1
 Parent:     NET-174-0-0-0-0
 NetType:    Direct Allocation
 NameServer: NS1.THEPLANET.COM
 NameServer: NS2.THEPLANET.COM
 Comment:    
 RegDate:    2009-03-23
 Updated:    2009-03-23

baidu.comがどうかはわかりませんが、ICPや規模の大きなネットサービスはトラフィックマネージメントのためにDNSを利用して、頻繁にアドレスを、中には国を超えて変えてくるので、パッと見アドレスが変わったというだけではハイジャックされたと判断できないことが多いです。ま、whoisで調べればいいわけですが。長期的なアドレスの利用状況の追跡も必要ですね。

[カテゴリ:DNS観察日記]

by jyake