cNotes 検索 一覧 カテゴリ

dnschangerのアドレスブロック の一部が再割当て?

Published: 2012/08/13

7/9で暫定DNS サーバは停止しましたが、

8/10からアドレスブロックの一部が再割当てされて経路配信も行われ始めているらしいので調べてみました。

ちょうど一ヶ月たったタイミングということもあり、何かの意図があるのかないのかわかりませんが、感染したままの端末はこのアドレスと通信しようとするので、悪意があるならば攻撃に利用できる可能性がありますし、悪意がなかったとしたら、感染端末からのトラフィックをうけつづけることになるし、5年もブラックリストに登録され続けているprefixですから、普通に使うには何かしらの不都合が生じるでしょうから、普通の利用ではないんじゃないかと思うのですがどうなのでしょう?

たぶん通信ブロックの対象ですよね。。。

そう考えると逆に、一度騒動をおこしたアドレスブロックが、まっとうなアドレスブロックとして復帰できるのはどういったタイミングなのだろうと考えてしまいますね。すべてのブラックリストから外されたタイミングでしょうか?それならリストから外されるタイミングはどう決められているのか?難しいですね。


情報を調べるとこのような感じで。


 67.210.0.0/20
 77.67.83.0/24
 93.188.160.0/21
Origin ASAS NameFirst SeenLast Seen
AS27983Red Intercable Digital S.A.2012-05-24 13:59:33 UTC2012-05-24 14:05:48 UTC

 64.28.176.0/20
 213.109.64.0/20
Origin ASAS NameFirst SeenLast Seen
AS19108SUDDENLINK-COMMUNICATIONS - Suddenlink Communications2012-05-18 14:26:51 UTC2012-05-30 18:41:00 UTC
AS27983Red Intercable Digital S.A.2012-05-24 13:59:33 UTC2012-05-24 14:05:48 UTC

 85.255.112.0/20
Origin ASAS NameFirst SeenLast Seen
AS56831INEVO Inevo Labs SRL2012-08-10 12:37:28 UTC2012-08-13 09:37:21 UTC
AS19108SUDDENLINK-COMMUNICATIONS - Suddenlink Communications2012-05-18 14:27:21 UTC2012-07-09 13:15:51 UTC
AS27983Red Intercable Digital S.A.2012-05-24 13:59:33 UTC2012-05-24 14:05:44 UTC

このprefixだけは経路も聞こえてます。

 BGP routing table entry for 85.255.112.0/20
 Paths: (5 available, best #5, table Default-IP-Routing-Table)
  Not advertised to any peer
  4725 3356 1299 51474 56831
    219.67.158.65 from 211.14.3.252 (211.14.3.252)
      Origin IGP, metric 300, localpref 90, valid, internal
      Community: 9607:3252
      Last update: Sat Aug 11 00:54:20 2012
 
  2516 3356 1299 51474 56831
    203.181.98.33 from 211.14.3.253 (211.14.3.253)
      Origin IGP, metric 200, localpref 90, valid, internal
      Community: 2516:1030 9607:3253
      Last update: Sat Aug 11 00:54:11 2012
 
  2516 3356 1299 51474 56831
    203.216.201.1 from 211.14.3.242 (203.216.201.1)
      Origin IGP, metric 100, localpref 90, valid, internal
      Community: 2516:1030 9607:2011
      Originator: 203.216.201.1, Cluster list: 211.14.3.249 
      Last update: Sat Aug 11 00:54:09 2012
 
  2516 3356 1299 51474 56831
    203.216.201.1 from 211.14.3.250 (203.216.201.1)
      Origin IGP, metric 100, localpref 90, valid, internal
      Community: 2516:1030 9607:2011
      Originator: 203.216.201.1, Cluster list: 211.14.3.249 
      Last update: Sat Aug 11 00:54:09 2012
 
  2516 3356 1299 51474 56831
    203.216.201.1 from 203.216.201.1 (203.216.201.1)
      Origin IGP, metric 100, localpref 90, valid, internal, best
      Community: 2516:1030 9607:2011
      Last update: Sat Aug 11 00:54:04 2012
 inetnum:         85.255.112.0 - 85.255.127.255
 netname:         INEVO-NET
 descr:           Inevo Labs SRL
 country:         RO
 org:             ORG-ILS3-RIPE
 admin-c:         IP1902-RIPE
 tech-c:          IP1902-RIPE
 status:          ASSIGNED PI
 mnt-by:          RIPE-NCC-END-MNT
 mnt-lower:       RIPE-NCC-END-MNT
 mnt-by:          INEVO-MNT
 mnt-routes:      INEVO-MNT
 mnt-domains:     INEVO-MNT
 changed:         hostmaster@ripe.net 20120810
 source:          RIPE
 
 % Information related to '85.255.112.0/20AS56831'
 
 route:           85.255.112.0/20
 descr:           Inevo Network
 descr:           Innovating Communication
 origin:          AS56831
 mnt-by:          INEVO-MNT
 changed:         office@inevo.ro 20120810
 source:          RIPE

[カテゴリ:botnet観察日記]

by jyake