dnschangerのアドレスブロック の一部が再割当て?
Published: 2012/08/13
7/9で暫定DNS サーバは停止しましたが、
8/10からアドレスブロックの一部が再割当てされて経路配信も行われ始めているらしいので調べてみました。
ちょうど一ヶ月たったタイミングということもあり、何かの意図があるのかないのかわかりませんが、感染したままの端末はこのアドレスと通信しようとするので、悪意があるならば攻撃に利用できる可能性がありますし、悪意がなかったとしたら、感染端末からのトラフィックをうけつづけることになるし、5年もブラックリストに登録され続けているprefixですから、普通に使うには何かしらの不都合が生じるでしょうから、普通の利用ではないんじゃないかと思うのですがどうなのでしょう?
たぶん通信ブロックの対象ですよね。。。
そう考えると逆に、一度騒動をおこしたアドレスブロックが、まっとうなアドレスブロックとして復帰できるのはどういったタイミングなのだろうと考えてしまいますね。すべてのブラックリストから外されたタイミングでしょうか?それならリストから外されるタイミングはどう決められているのか?難しいですね。
情報を調べるとこのような感じで。
67.210.0.0/20 77.67.83.0/24 93.188.160.0/21
Origin AS | AS Name | First Seen | Last Seen |
---|---|---|---|
AS27983 | Red Intercable Digital S.A. | 2012-05-24 13:59:33 UTC | 2012-05-24 14:05:48 UTC |
64.28.176.0/20 213.109.64.0/20
Origin AS | AS Name | First Seen | Last Seen |
---|---|---|---|
AS19108 | SUDDENLINK-COMMUNICATIONS - Suddenlink Communications | 2012-05-18 14:26:51 UTC | 2012-05-30 18:41:00 UTC |
AS27983 | Red Intercable Digital S.A. | 2012-05-24 13:59:33 UTC | 2012-05-24 14:05:48 UTC |
85.255.112.0/20
Origin AS | AS Name | First Seen | Last Seen |
---|---|---|---|
AS56831 | INEVO Inevo Labs SRL | 2012-08-10 12:37:28 UTC | 2012-08-13 09:37:21 UTC |
AS19108 | SUDDENLINK-COMMUNICATIONS - Suddenlink Communications | 2012-05-18 14:27:21 UTC | 2012-07-09 13:15:51 UTC |
AS27983 | Red Intercable Digital S.A. | 2012-05-24 13:59:33 UTC | 2012-05-24 14:05:44 UTC |
このprefixだけは経路も聞こえてます。
BGP routing table entry for 85.255.112.0/20 Paths: (5 available, best #5, table Default-IP-Routing-Table) Not advertised to any peer 4725 3356 1299 51474 56831 219.67.158.65 from 211.14.3.252 (211.14.3.252) Origin IGP, metric 300, localpref 90, valid, internal Community: 9607:3252 Last update: Sat Aug 11 00:54:20 2012 2516 3356 1299 51474 56831 203.181.98.33 from 211.14.3.253 (211.14.3.253) Origin IGP, metric 200, localpref 90, valid, internal Community: 2516:1030 9607:3253 Last update: Sat Aug 11 00:54:11 2012 2516 3356 1299 51474 56831 203.216.201.1 from 211.14.3.242 (203.216.201.1) Origin IGP, metric 100, localpref 90, valid, internal Community: 2516:1030 9607:2011 Originator: 203.216.201.1, Cluster list: 211.14.3.249 Last update: Sat Aug 11 00:54:09 2012 2516 3356 1299 51474 56831 203.216.201.1 from 211.14.3.250 (203.216.201.1) Origin IGP, metric 100, localpref 90, valid, internal Community: 2516:1030 9607:2011 Originator: 203.216.201.1, Cluster list: 211.14.3.249 Last update: Sat Aug 11 00:54:09 2012 2516 3356 1299 51474 56831 203.216.201.1 from 203.216.201.1 (203.216.201.1) Origin IGP, metric 100, localpref 90, valid, internal, best Community: 2516:1030 9607:2011 Last update: Sat Aug 11 00:54:04 2012
inetnum: 85.255.112.0 - 85.255.127.255 netname: INEVO-NET descr: Inevo Labs SRL country: RO org: ORG-ILS3-RIPE admin-c: IP1902-RIPE tech-c: IP1902-RIPE status: ASSIGNED PI mnt-by: RIPE-NCC-END-MNT mnt-lower: RIPE-NCC-END-MNT mnt-by: INEVO-MNT mnt-routes: INEVO-MNT mnt-domains: INEVO-MNT changed: hostmaster@ripe.net 20120810 source: RIPE % Information related to '85.255.112.0/20AS56831' route: 85.255.112.0/20 descr: Inevo Network descr: Innovating Communication origin: AS56831 mnt-by: INEVO-MNT changed: office@inevo.ro 20120810 source: RIPE
by jyake