そんなことはなかった水責め

前回「飽きたのか」と書いたそのあとから同じドメイン＋ランダムなサブドメインくっつけてアタックがきた。いままでのは練習であったかのようだ。

応答するドメインを連射して能力を測定していたのか、はたまたアタック用の秒間パケット数を算出していたのかは不明だが。。

水責めに飽きた？？

最近DNSへのDDoS攻撃、挙動が変わったように思える。

よく聞く「ランダムなサブドメイン」クエリが消えた。変わってある一意のドメインの大量クエリを分散させて投げてきている。
流入経路は直接およびOpenResolver機器からのクエリ。問い合わせクエリは主に中国語で書かれたサイト、加えてオンラインカジノサイト／ゲームサイト／宝くじサイトといったところで、目的は変わらないか。

一時期問い合わせクエリの傾向としてTTLが短いもの(30sec以下)が散見されたもののその後は大きな特徴は見当たらない。

クエリとしてはcacheDNSは応答に詰まる場合もあれど、AuthorityDNSについては影響が出ない。
攻撃なのか、そうでないのか。攻撃の目的とシナリオが見えてこない以上、不気味で不穏な挙動になっている。

今日のDDoS

仕事の話

今日もDNSのDDoS大盛況。
いつもの攻撃
・ランダムサブドメイン
・水責め(Water torture)

仕事で管理しているDNS(cache DNS)はフィルタ適用により問題なし。
ただ権威サーバ(authority)は応答できず死んでしまった模様。
—————————-
12/2　4:11頃　www.fsssc.com
NS: ns1.dnsimple.com
ns2.dnsimple.com
ns3.dnsimple.com
ns4.dnsimple.com
—————————-
dnsimpleを提供しているシステムはこの攻撃により断続的に障害発生。
共用DNSのため、巻き添えを食らってしまった別ドメインは多々ある模様。
(Targetのdomainは中国の宝くじのサイトの模様)

権威DNSサーバの共存による巻き添えサービス断および、国内影響は初事例になるだろうか。(推測)

今年初頭からのDNS DDoS攻撃は共用DNSサーバ(authority)にとっては脅威になる。

今のところ、cloudflareとGoogleのDNSサービスは比較的耐えることができている／適切にクエリフィルタをしているようで、攻撃事象があった場合でもDNSのクエリに対する応答を返している。

その他のサービスでは
locahost
127.0.0.1
等に設定し、なにかしらの応答を返してクエリ処理の滞留を防ぐようにしている。

もう1domainからの攻撃もあったが、記録漏れのため記載できず。

中国の「現金が動くサイト」を狙うもしくは「政治的要因での攻撃」が今の所目立つ印象。