普段、自分トコに来るメールは、すべてGmailに転送して、携帯で読めるようにしているのだけど、昨日は朝から「転送されるメールが少ない(=メールが届いてない)なぁ〜」と思って、Webにアクセスしても、タイムアウト。IPアドレスでならアクセスできたので、「DNSだけがおかしい」というのは判ったのだけど、会社からでは手が打てないので、帰宅後にDNSキャッシュをクリア。
メールの配送が正常になったのを確認したあとに、syslogを漁ってみたところ、
Jan 25 07:48:15 eswat2 named[23242]: client 206.71.158.30#52179: query (cache) './NS/IN' denied
Jan 25 07:48:15 eswat2 named[23242]: client 206.71.158.30#52689: query (cache) './NS/IN' denied
Jan 25 07:48:15 eswat2 named[23242]: client 206.71.158.30#14378: query (cache) './NS/IN' denied
Jan 25 07:48:17 eswat2 named[23242]: client 206.71.158.30#14308: query (cache) './NS/IN' denied
というアクセスが短時間の大量にあった模様。
多分コレが原因だろうなぁ〜と思っていたら、
Nanogメーリングリストによると、isprime.com のキャッシュ 66.230.128.15と66.230.160.1から、'NS? .' という多量のDNSクエリが届いた模様(一種のDNS増幅攻撃)。ISPrimeからのメールでは76.9.31.42/76.9.16.171に対してDNS再帰攻撃を掛けられたようだ。
yebo blog: 大規模なDDoS攻撃でNetwork SolutionsのDNSサーバに影響
と言う話しがあることを、とあるMLで発見。
コメントする