hn.kd.ny.adsl

最近ftpのbruteforceの攻撃元としてログにこのホスト名が大量に記録されています。

よくよく調べてみると、スパムの送信のためにMTAに接続してきたログなどにも残っていたりしますし、フィッシングサイトに利用されていたような情報もあったりします。

簡単にしらべてみたところ、このASの

 AS4837
 China-Network-Communications-Group China Network Communications

下記のアドレスブロックのすべてのIPアドレスの逆引きとして「hn.kd.ny.adsl」が登録されています。このASの所有アドレスは多いので他のアドレスブロックにも同様の設定がされているものがあるかもしれません

 115.48.0.0/12
 125.40.0.0/13
 222.136.0.0/13

ftpdとかsshdとかがログを記録する際に逆引き情報をしらべて記録するので、このホスト名がログ上に大量に残るわけですが、実はこのホスト名はこれだけ大量のIPアドレスの逆引き情報として登録されていると。

つまりAS4837のこれらのアドレスブロックからの攻撃に関してはすべてこのホスト名が記録されるわけです。

「.adsl」とか存在しないTLDが使われているのは気持ち悪いわけですが、実はホスティングサービス等では、日本でも似たようなことがよく行われています。バーチャルホスティング等で利用するIPアドレスなので正引きさえ正しければよく、逆引き情報の意味も特に必要ないので、ドメイン名の規則も無視してただ単に逆引き情報があればいい的な運用がされています。

「.adsl」のような存在しないTLDや逆引き情報がIPアドレスとまったく同じものなど。

ただ、ここまで大きなレンジ、大量のIPアドレスに対して同じ逆引き情報が登録されているのはいかがなモノかと思いますね。

フレッツ等のアクセスラインサービスでは、自分のPCにアサインされるIPアドレスの逆引き情報がないと、Webとかメールとかアクセスできないコンテンツがいろいろあるので、これらのサービスのIPアドレスにはちゃんと逆引き設定しているわけで、IPアドレスごとに固有のドメインがちゃんと設定されています。でも、その目的からすると上記のように全部同じ逆引き情報でもいいわけですが保守運用上の問題でちゃんと識別できる必要があるので普通は個別の逆引き情報を設定します

ただ、IPv6なんて特に逆引きできればいい的な運用されそうで同じようなことをされそうで不安ですね。

[カテゴリ:DNS観察日記]

by jyake