本日、サーバーのディスクアクセス音が気になり、モニターを確認してみたところ、原因はファイヤーウォールログで、どうもサーバーへ大量のUDPパケットが到着していることが判明。
一部を切り出して見やすく加工したものが以下。
59.56.73.xx のホストから、ソースポート 53 で大量のUDPパケットが到着している模様。
Oct 26 21:01:03 ipfw: UDP 59.56.73.15:53 116.58.172.107:15153 Oct 26 21:01:04 ipfw: UDP 59.56.73.18:53 116.58.172.107:22681 Oct 26 21:01:05 ipfw: UDP 59.56.73.3:53 116.58.172.107:28671 Oct 26 21:01:05 ipfw: UDP 59.56.73.4:53 116.58.172.107:37399 Oct 26 21:01:06 ipfw: UDP 59.56.73.15:53 116.58.172.107:24678 Oct 26 21:01:06 ipfw: UDP 59.56.73.4:53 116.58.172.107:54171 Oct 26 21:01:07 ipfw: UDP 59.56.73.4:53 116.58.172.107:20247 Oct 26 21:01:07 ipfw: UDP 59.56.73.18:53 116.58.172.107:47915 Oct 26 21:01:11 ipfw: UDP 59.56.73.15:53 116.58.172.107:9427 Oct 26 21:01:11 ipfw: UDP 59.56.73.18:53 116.58.172.107:56858 Oct 26 21:01:11 ipfw: UDP 59.56.73.15:53 116.58.172.107:38356 Oct 26 21:01:12 ipfw: UDP 59.56.73.15:53 116.58.172.107:34598 Oct 26 21:01:13 ipfw: UDP 59.56.73.18:53 116.58.172.107:15640 Oct 26 21:01:14 ipfw: UDP 59.56.73.18:53 116.58.172.107:46028 Oct 26 21:01:15 ipfw: UDP 59.56.73.4:53 116.58.172.107:18002 Oct 26 21:01:15 ipfw: UDP 59.56.73.3:53 116.58.172.107:3102 Oct 26 21:01:15 ipfw: UDP 59.56.73.4:53 116.58.172.107:20808 Oct 26 21:01:16 ipfw: UDP 59.56.73.15:53 116.58.172.107:20456 Oct 26 21:01:16 ipfw: UDP 59.56.73.18:53 116.58.172.107:12083 Oct 26 21:01:16 ipfw: UDP 59.56.73.15:53 116.58.172.107:47348 Oct 26 21:01:17 ipfw: UDP 59.56.73.18:53 116.58.172.107:8120 Oct 26 21:01:18 ipfw: UDP 59.56.73.18:53 116.58.172.107:53470 Oct 26 21:01:20 ipfw: UDP 59.56.73.4:53 116.58.172.107:57652 Oct 26 21:01:20 ipfw: UDP 59.56.73.3:53 116.58.172.107:52430 Oct 26 21:01:21 ipfw: UDP 59.56.73.3:53 116.58.172.107:51395 Oct 26 21:01:21 ipfw: UDP 59.56.73.18:53 116.58.172.107:9181 Oct 26 21:01:22 ipfw: UDP 59.56.73.18:53 116.58.172.107:53646 Oct 26 21:01:22 ipfw: UDP 59.56.73.15:53 116.58.172.107:29254 Oct 26 21:01:23 ipfw: UDP 59.56.73.4:53 116.58.172.107:3324 Oct 26 21:01:23 ipfw: UDP 59.56.73.15:53 116.58.172.107:46337 Oct 26 21:01:23 ipfw: UDP 59.56.73.15:53 116.58.172.107:32202
ソースポート53のUDPパケットというのは、通常DNSの応答パケットですが、なぜ 59.56.73.xx からこんなにたくさんの応答パケットが戻ってくるのか分かりません。
そこで、なぜこのネットワークにアクセスが発生しているのかと whois で調べてみると、中国に割り振られているIPアドレスです。私のネットワークから中国サイトをアクセスする事はあり得ないため、ここではは~んと理解できました。
% Information related to '59.56.0.0 - 59.61.255.255' inetnum: 59.56.0.0 - 59.61.255.255 netname: CHINANET-FJ descr: CHINANET fujian province network descr: China Telecom descr: No1,jin-rong Street descr: Beijing 100032 country: CN admin-c: CH93-AP tech-c: CA67-AP mnt-by: APNIC-HM mnt-lower: MAINT-CHINANET-FJ mnt-routes: MAINT-CHINANET-FJ status: ALLOCATED PORTABLE
「下手な鉄砲も数打ちゃ当たる」を狙って、デタラメなDNS応答パケットを大量に返し、偶然こちらのDNSサーバーの問い合わせ応答シーケンスと一致した場合、何か悪さを仕掛けたホストへアクセスさせようという作戦じゃないかと思います。どれくらいの確率でそんな事が起きるのでしょう?100万分の1くらい? 見当も付きませんが、面倒くさいのでこの 59.56.xx.xx ネットワークごとパケットをブロック。中国のプロバイダーの一つから私のサーバーにアクセス出来なくなろうと知ったこっちゃない。うっとおしいパケットが海外の一つのホストから送られてくる事を検知したら、そのネットワークごとブロックしてしまうのが一番簡単な対策。