_ 権威サーバに再帰フラグつき(RD=1)で問い合わせてくるようなものを ごにょごにょするようにしてから1ヶ月ちょい。前にも書いたように、もともとの動機は名前解決をわざと失敗させることでメールでの spam を減らすことだったんだけど、spambot 以外にも RD=1 で問い合わせてくるものは案外多いことがわかった。だいたい傾向がわかってきたのでとりあえずのまとめ。いくつかの分類に集約することができる。
_ まず、オープンレゾルバかどうかを調査する問い合わせ。非常に多い。ripe.net/ANY とか directedat.asia/ANY とか 1rip.com/ANY とか聞きにくる。つーか、 ここに名前が出てくるドメイン全部観測してる。たぶん port 53 が開いているかどうかにかかわらず、手当たりしだいにパケットを投げてるのをたまたま掴まえてるだけではないかと思われる。ANY でサイズの大きな応答を返す名前の問い合わせなので DNS amp 目的なのは明白だけど、これは頻度からしても amp 攻撃そのものではなく、その前段階の amp に使える踏み台ホスト探しだろう。オープンレゾルバかどうか判定するには応答をちゃんと受けとる必要があるので、問い合わせ元は詐称されていないと思う。google.com/A とか聞きにきてるのもちらほら見けけるけど、これもオープンレゾルバ探しなのかなぁ?
_ ただし、オープンレゾルバかどうかを調査する問い合わせはすべてが amp 目的というわけではない。 openresolverproject.orgとか dnsscan.shadowserver.orgとかから来てるのは単純に統計調査目的であって踏み台探しではないだろう。
_ それから、オープンレゾルバ調査以外の調査ボット。ただ、これは RD=1 で問い合わせる必要がないものが多い。 dns-oarc.netから version.bind/CH/TXT とか hostname.bind の問い合わせがやってくる。権威サーバだけでなくキャッシュサーバにも同じような調査をしてるのであれば、いちいち区別するのがめんどくさいから RD=1 なクエリを投げてくるのはまあしかたないかなという気もするが(version.bind ならキャッシュに対しても RD=0 で聞いても問題ないはずだが)、DNSSEC がうまく動いているかどうかチェックしてる dnsvizや、lame delegation になっていないかチェックする JPRS のボットなんかは、問い合わせ先は権威サーバだとわかってるんだから再帰問い合わせしちゃダメでしょう。なお、lame かどうかのチェックは JPNIC でもやってるようだけど、うちは逆引きゾーンを置いてないのでどういう問い合わせをするのかは不明。dns-oarc のバージョン調査は TC=1 で TCP にフォールバックしない。dnsviz と jprs の調査はちゃんと TCP で聞き直してくる。
_ そして、腐れ実装のレゾルバらしきもの。個人ポータルページ作成サービス(といえば当たってるかな?)の netvibesからしょっちゅう再帰検索されるんだけどいったい何なんでしょうか(TC=1 で TCP にフォールバックする)。これ以外にもよくわからない RD=1 の問い合わせがちらほらあるけど、予想よりは少ない印象。もしかしたら +norec なしで dig してるだけなのかもしれないけど。
_ それからこれはうちで観測されたものではないけど、Level3 が謎の再帰問い合わせを出すようだ。NS で指定されたホストがすべてまともに動いていない lame delegation のとき、その NS に対して RD=1 で問い合わせてくる。そのゾーンを持っていない権威サーバに NS を向けると観測できる。謎なのは、これが /18 ぐらいの極めて広いネットワーク帯から分散して聞かれるということ。IP アドレスを逆引きすると、DNS-8-0-x-x.Atlanta1.Level3.net だの DNS-8-0-x-x.Washington2.Level3.net だの、DNS という文字が含まれる名前が返ってくるので、DNS な何かをするために存在するものであるのは確かなんだろうけど、IPv4 が貴重になってきたこのご時勢にこんな謎な挙動をしてくるのはとにかく気持ち悪い。
_ で、権威サーバへの RD=1 な問い合わせを TC=1 で応答して誤爆した上に TCP で聞き直して来ずに名前解決に失敗したと思われる例は、当初の意図である spambot らしきもの以外では今までのところゼロ。そもそも問い合わせの数が大して多くないのであまりアテにはならないけど、ある程度効果はあるんじゃないでしょうか。
_ 梅雨が明けるのはえーよ。いや、雨より晴れてたほうがいいんだけどさ、いきなり暑くてかなわんわ。
_ ちうことで、もはや夏の定例行事となった週末避暑。今年の最初は1日休みくっつけて3連休。とはいえ、まさかこんなにはやく夏がやってくるとは思っていなかったので、せっかくの3連休なのに事前の準備も計画もまったくなし。てきとーに思いつくところに行って、結果的にぐだぐだ。真ん中の日曜日に雨が降ったせいでなおさらぐだぐだ。
_ 美ヶ原高原からの雲海
東天狗岳山頂から北八ヶ岳方面。アブこわい。なんであんなにいるの…。
_ amp ではないまともな用途で ANY を問い合わせるものって、qmail かテストで dig するぐらいしかないかと思ってたら、別のものを見つけた。
_ これとか これとか。Windows Server 2008、Windows 7 はネットワークの疎通を確認するために dns.msftncsi.com という名前解決を要求するが、どうもこれで ANY を聞くことがあるようだ。 こちらのパケットキャプチャ画面でしっかり ANY の問い合わせを確認できる。が、キャッシュサーバのログを確認すると、ANY だけでなく、A や AAAA で問い合わせている例も確認できる。どう使いわけているのかは謎。windows のバージョンによる?
_ で、もしかして、こいつの名前解決が失敗するような攻撃をすると、windows はネットワークの疎通がなくなったと判断してそれ以外の通信もできなくなるとか、まさかそういうことはないんだよね?