[Network][DNS] DNSアンプ攻撃?を受けているらしい。

NetworkSecurity

今朝方から宅内のDNSサーバの負荷が高いことが気になっていたのですが、どうやらDNSアンプ攻撃?を受けていたようです。合わせてRouterの負荷も凄いことになっていました。

11:26:25.567829 IP fw.kometch.local.32935 > dns1.kometch.local.domain: 24384+ RRSIG? nukes.directedat.asia. (39)
11:26:25.568274 IP dns1.kometch.local.domain > fw.kometch.local.32935: 24384 0/1/0 (84)
11:26:25.640984 IP fw.kometch.local.48053 > dns1.kometch.local.domain: 28587+ RRSIG? nukes.directedat.asia. (39)
11:26:25.641655 IP dns1.kometch.local.domain > fw.kometch.local.48053: 28587 0/1/0 (84)
11:26:25.659440 IP fw.kometch.local.55530 > dns1.kometch.local.domain: 62976+ RRSIG? nukes.directedat.asia. (39)
11:26:25.659791 IP dns1.kometch.local.domain > fw.kometch.local.55530: 62976 0/1/0 (84)
11:26:25.677437 IP fw.kometch.local.53951 > dns1.kometch.local.domain: 15488+ RRSIG? nukes.directedat.asia. (39)
11:26:25.677858 IP dns1.kometch.local.domain > fw.kometch.local.53951: 15488 0/1/0 (84)
11:26:25.705773 IP fw.kometch.local.56555 > dns1.kometch.local.domain: 60544+ RRSIG? nukes.directedat.asia. (39)
11:26:25.706092 IP dns1.kometch.local.domain > fw.kometch.local.56555: 60544 0/1/0 (84)
11:26:25.721647 IP fw.kometch.local.45290 > dns1.kometch.local.domain: 54533+ RRSIG? nukes.directedat.asia. (39)
11:26:25.721785 IP dns1.kometch.local.domain > fw.kometch.local.45290: 54533 0/1/0 (84)
11:26:25.729106 IP fw.kometch.local.44182 > dns1.kometch.local.domain: 16658+ RRSIG? nukes.directedat.asia. (39)
11:26:25.729303 IP dns1.kometch.local.domain > fw.kometch.local.44182: 16658 0/1/0 (84)
11:26:25.733107 IP fw.kometch.local.47886 > dns1.kometch.local.domain: 33446+ RRSIG? nukes.directedat.asia. (39)
11:26:25.733408 IP dns1.kometch.local.domain > fw.kometch.local.47886: 33446 0/1/0 (84)
11:26:25.736417 IP fw.kometch.local.38737 > dns1.kometch.local.domain: 40302+ RRSIG? nukes.directedat.asia. (39)
11:26:25.736559 IP dns1.kometch.local.domain > fw.kometch.local.38737: 40302 0/1/0 (84)
11:26:25.787998 IP fw.kometch.local.60224 > dns1.kometch.local.domain: 50424+ RRSIG? nukes.directedat.asia. (39)
11:26:25.793635 IP dns1.kometch.local.domain > fw.kometch.local.60224: 50424 0/1/0 (84)
11:26:25.804259 IP fw.kometch.local.55000 > dns1.kometch.local.domain: 815+ RRSIG? nukes.directedat.asia. (39)
11:26:25.804404 IP dns1.kometch.local.domain > fw.kometch.local.55000: 815 0/1/0 (84)

Firewallのルールを見なおして、外部から内向きの53/tcp, 53/udpをちゃんと閉じるように設定しなおしました。
ちゃんとセキュリティ対策をしていたつもりになっていましたが、抜けがあったので、この際なのでちゃんと見なおしておこうと思います。

Domain: mydnsscan.us
The domain name MyDnsScan.us made me think of the DirectedAt.Asia. After a quick comparison of the whois data, I see they have matching Re...
DNSキャッシュサーバを使用した「DNSアンプ」攻撃が発生中……再帰的な問い合わせを悪用 | RBB TODAY
 JPCERT/CCは18日、海外の監視団体などから、日本国内のDNSキャッシュサーバを使用した「DDoS(Distributed Denial of Service)」攻撃が発生しているとの報告を受けたとして、注意喚起する文章を公開した。
DNSアンプとは 「DNSアンプ攻撃」 (DNS amp) ディーエヌエスアンプ: - IT用語辞典バイナリ
DNSアンプとは、DDoS(分散DoS攻撃)の一種で、DNSキャッシュサーバーの再帰的問合せ機能を悪用して、パケットを増幅(amplify)させ、大量のDNSパケットを生成して攻撃に利用する手法のことである。DNSアンプでは、DNSサーバーにサイズの大きいTXTレコードをキャッシュさせてから、ボット
この記事を書いた人

kometchtech

うつ病を患いながら、IT業界の末席にいるおっさんエンジニア。科学計算をしたことがないのに、HPC分野にお邪魔している。興味のある分野で学習したことをblogにまとめつつ、うつ病の経過症状のメモも置いておく日々。じつはRouterboard User Group JPの中の人でもある。 Amazon欲しいものリスト / Arm板を恵んでくれる人募集中

いつか、そのとき、あの場所で。rev.2
タイトルとURLをコピーしました