« シンプル・サーバ・システム | メイン | これで良かったのか? »
2006年05月26日
DNSへのDDoS攻撃?
どもども。KACKUNです。
なんだかVPSのDNSサーバ(うちはdjbdnsを利用させてもらってます)のログがえらい事に。
64.18.135.129~64.18.135.255から、毎秒4回ほどリクエストが来ています。しかも最近ずっとらしい。
以下、tinydnsのログより抜粋。
@400000004476e86d054f8134 401287d4:dfa5:ffc1 - 00ff se
@400000004476e86d0eb5387c 40128782:0035:e066 - 00ff sh
@400000004476e86d1265b1a4 401287ff:1dbf:b18b - 00ff se
@400000004476e86d2eb8134c 401287ca:81ac:82a7 - 00ff se
@400000004476e86d3658d974 401287b7:0035:4300 - 00ff sh
@400000004476e86d39e53484 401287db:3ae5:8712 - 00ff se
@400000004476e86e14a5d5d4 401287ea:54a5:83f7 - 00ff se
@400000004476e86e18a545d4 401287a2:0035:1fa8 - 00ff sh
@400000004476e86e2297f6f4 40128796:a03c:7bc5 - 00ff se
@400000004476e86f01eaf58c 401287e0:fee8:d147 - 00ff se
最初の@で始まる数値は時刻(TAI64N形式)、その次の401287xx:xxxx:xxxxはIPアドレスの16進数:ポート番号:IDを表します。次の「-」は、名前が解決できなかったことを意味します。その次の「00ff」はクエリの種類で、これは全ての型を表しています。さらにその後がクエリに使われた文字列(普通はwww.kackun.comとかが入る)なんですが…
何なの?「se」とか「sh」とか!?もしかして「スウェーデン」と「セントヘレナ島」?
うーん。あまり実感がないけど、これもいわゆるDDoS攻撃かな。
逆引きしてみたら、ここもデータセンタっぽい。それぞれのIPに違うドメインのホスト名がついてるけど…まとめてbot化されてるとか!?…いや、パケットを偽装してる可能性もあるな…
それに、何故うちを狙うんだ…ルートサーバでもあるまいし(汗)
と思っていたら、「DNSの仕組みを悪用したDDoS攻撃が発生、国内サーバも『踏み台』に」という記事を発見。これか!?
djbdnsの場合、公開用DNSとキャッシュは別々なので大丈夫だけれど…bindなサイトだと、確かにキャッシュサーバ的動作するところもあるもんな~…。
気になったあなたはJPRSの対策記事も読んでください[^^;]
まぁ、とりあえず自分の被害はログが溢れることだけですが…対処しないとまともにログが読めない[^^;;]
投稿者 KACKUN : 2006年05月26日 20:33
トラックバック
このエントリーのトラックバックURL:
http://www.kackun.com/mt/mt-tb.cgi/493