DDoS?でDNSダウン

普段、自分トコに来るメールは、すべてGmailに転送して、携帯で読めるようにしているのだけど、昨日は朝から「転送されるメールが少ない(=メールが届いてない)なぁ〜」と思って、Webにアクセスしても、タイムアウト。IPアドレスでならアクセスできたので、「DNSだけがおかしい」というのは判ったのだけど、会社からでは手が打てないので、帰宅後にDNSキャッシュをクリア。
メールの配送が正常になったのを確認したあとに、syslogを漁ってみたところ、

Jan 25 07:48:15 eswat2 named[23242]: client 206.71.158.30#52179: query (cache) './NS/IN' denied
Jan 25 07:48:15 eswat2 named[23242]: client 206.71.158.30#52689: query (cache) './NS/IN' denied
Jan 25 07:48:15 eswat2 named[23242]: client 206.71.158.30#14378: query (cache) './NS/IN' denied
Jan 25 07:48:17 eswat2 named[23242]: client 206.71.158.30#14308: query (cache) './NS/IN' denied

というアクセスが短時間の大量にあった模様。
多分コレが原因だろうなぁ〜と思っていたら、

Nanogメーリングリストによると、isprime.com のキャッシュ 66.230.128.15と66.230.160.1から、'NS? .' という多量のDNSクエリが届いた模様(一種のDNS増幅攻撃)。ISPrimeからのメールでは76.9.31.42/76.9.16.171に対してDNS再帰攻撃を掛けられたようだ。

yebo blog: 大規模なDDoS攻撃でNetwork SolutionsのDNSサーバに影響

と言う話しがあることを、とあるMLで発見。


その時点では、「またおかしくなったら、対処するか〜」と言うことで、しておいたのだけど、やっぱり今日も同じ状況になったので、

  • DNSキャッシュをクリア
  • /var/log/syslogから"(cache)"をキーにして、bindへのリクエストを抜き出し
  • 抜き出した中から、さらにIPアドレスを抜き出して、それを"/24"単位に変換
  • 変換後の"/24"なIPアドレスを、iptablesでDROP

してしまいました。
とりあえず、この状態でしばらく様子見してみます。またおかしくなったら、iptablesのルールに追加してDROPしまえばいいしね。
#とりあえず、接続元の素性はチェックしていないので、"/24"単位でDROPってのは、危険かも知れないけど。

トラックバック(0)

コメントする