DNS: ferc.gov ネームサーバーへの攻撃?

私が運用しているセカンダリーDNSのセキュリティーログが突然肥大化していることに気が付きました。
サーバーをリプレースしたばかりで、まだ一週間も運用していないのですが、10MBでローテートするログファイルが4世代分も出来ていました。

中身を見てみると、同じ内容の繰り返し。(以下)

12-Aug-2022 08:55:59.467 security: client @0x8038aed60 87.133.72.179#80 (ferc.gov): query (cache) 'ferc.gov/ANY/IN' denied
12-Aug-2022 08:55:59.551 security: client @0x8038aed60 87.133.72.179#80 (ferc.gov): query (cache) 'ferc.gov/ANY/IN' denied
12-Aug-2022 08:55:59.564 security: client @0x8038aed60 87.133.72.179#80 (ferc.gov): query (cache) 'ferc.gov/ANY/IN' denied
12-Aug-2022 08:55:59.576 security: client @0x8038aed60 87.133.72.179#80 (ferc.gov): query (cache) 'ferc.gov/ANY/IN' denied
12-Aug-2022 08:55:59.589 security: client @0x8038aed60 87.133.72.179#80 (ferc.gov): query (cache) 'ferc.gov/ANY/IN' denied
12-Aug-2022 08:55:59.601 security: client @0x8038aed60 87.133.72.179#80 (ferc.gov): query (cache) 'ferc.gov/ANY/IN' denied
12-Aug-2022 08:55:59.602 security: client @0x803898160 87.133.72.179#80 (ferc.gov): query (cache) 'ferc.gov/ANY/IN' denied
12-Aug-2022 08:55:59.602 security: client @0x8038b0960 87.133.72.179#80 (ferc.gov): query (cache) 'ferc.gov/ANY/IN' denied
12-Aug-2022 08:55:59.656 security: client @0x8038b0960 87.133.72.179#80 (ferc.gov): query (cache) 'ferc.gov/ANY/IN' denied
12-Aug-2022 08:55:59.657 security: client @0x803898160 87.133.72.179#80 (ferc.gov): query (cache) 'ferc.gov/ANY/IN' denied
12-Aug-2022 08:55:59.697 security: client @0x803898160 87.133.72.179#80 (ferc.gov): query (cache) 'ferc.gov/ANY/IN' denied
12-Aug-2022 08:55:59.697 security: client @0x8038b0960 87.133.72.179#80 (ferc.gov): query (cache) 'ferc.gov/ANY/IN' denied
12-Aug-2022 08:55:59.733 security: client @0x8038b0960 87.133.72.179#80 (ferc.gov): query (cache) 'ferc.gov/ANY/IN' denied
12-Aug-2022 08:55:59.761 security: client @0x8038b0960 87.133.72.179#80 (ferc.gov): query (cache) 'ferc.gov/ANY/IN' denied
12-Aug-2022 08:55:59.772 security: client @0x8038b0960 87.133.72.179#80 (ferc.gov): query (cache) 'ferc.gov/ANY/IN' denied
12-Aug-2022 08:55:59.774 security: client @0x8038b0960 87.133.72.179#80 (ferc.gov): query (cache) 'ferc.gov/ANY/IN' denied
12-Aug-2022 08:55:59.792 security: client @0x8038b0960 87.133.72.179#80 (ferc.gov): query (cache) 'ferc.gov/ANY/IN' denied

それが、全部エラーになっています。

ログを見る感じでは、私のDNSサーバーに ferc.gov の IPアドレスを何度も何度も問い合わせて、すべてエラーになっているような感じです。当サイト以外のIPアドレスは返さないように設定してあるので問題はありませんが、対策されていない場合は ferc.gov のDNSにIPアドレスを尋ねに行っているはず。ということは、ferc.gov のDNSを狙った分散攻撃なのかもしれません。

なぜ ferc.gov なの?
と、検索してみると、ferc.gov はアメリカの連邦エネルギー規制委員会のようです。

DNSに問い合わせてきたアクセスポイントのIPアドレスを抽出してみると、以下のものでした。

1.1.1.1
2.202.183.161
3.70.211.154
5.187.133.59
13.74.15.34
15.235.107.59
20.1.171.155
20.123.169.106
20.126.40.253
20.229.56.111
20.8.119.195
23.227.146.106
24.107.216.132
24.117.119.100
31.18.249.164
35.161.247.12
35.186.224.42
37.201.198.147
37.201.198.171
37.248.179.173
38.84.14.4
45.29.177.23
45.66.31.185
46.5.229.140
46.5.229.245
46.5.4.35
46.86.25.147
49.36.217.190
50.7.239.226
51.83.150.44
52.148.140.92
67.255.210.164
67.84.51.9
68.200.168.217
68.33.121.110
70.171.231.149
70.70.70.7
70.70.70.8
71.237.76.200
73.111.75.44
73.38.165.171
74.74.74.69
74.74.74.74
77.13.171.205
77.21.253.29
77.6.127.109
77.64.147.156
77.99.77.99
78.145.89.128
78.199.164.41
79.140.117.153
79.203.120.1
79.221.207.113
79.228.115.211
79.234.155.219
79.235.162.138
79.235.165.146
79.241.45.144
79.35.188.181
80.128.74.166
80.134.2.197
80.141.92.216
80.144.30.147
81.207.61.221
82.24.157.238
83.135.243.5
83.233.247.113
84.106.54.116
84.159.155.84
84.159.43.192
84.210.106.209
84.226.47.154
85.16.228.220
85.216.40.130
87.122.44.98
87.122.5.163
87.123.202.5
87.123.49.180
87.133.72.179
87.138.182.158
88.145.103.235
88.152.11.131
88.152.11.223
89.164.20.208
89.187.181.130
89.208.104.2
89.208.104.3
89.208.104.4
89.247.162.9
91.10.91.30
91.239.130.32
91.40.164.125
91.60.110.92
92.201.106.62
92.201.39.65
92.77.24.96
93.203.249.138
93.227.24.202
94.134.197.145
94.31.104.58
94.31.106.58
94.31.107.58
94.31.80.42
94.31.91.42
94.31.97.58
94.31.98.58
94.46.86.202
95.116.180.10
95.222.168.135
95.223.44.104
95.223.79.220
95.90.198.196
95.91.209.109
96.240.0.176
96.36.76.43
98.145.225.68
98.15.98.253
103.137.206.82
104.200.27.134
107.5.97.107
107.77.208.47
108.138.36.46
108.239.224.7
108.253.218.67
109.42.115.110
111.32.164.142
116.58.172.107
120.29.68.82
128.116.36.227
131.226.67.217
135.181.45.33
148.251.238.46
156.34.8.166
164.92.75.223
167.160.91.82
172.115.185.96
172.58.60.8
173.66.238.100
174.251.225.61
175.176.28.90
176.255.101.142
177.224.195.161
182.185.183.80
185.106.94.0
185.38.49.25
189.155.55.223
193.25.252.34
193.25.252.66
194.118.236.75
195.202.207.254
212.95.5.235
213.162.80.180

いつものように、踏み台ホストでしょうけど、IPアドレスではわからないので、ホスト名に変換してみたのが次のリスト。

one.one.one.one.
dslb-002-202-183-161.002.202.pools.vodafone-ip.de.
ec2-3-70-211-154.eu-central-1.compute.amazonaws.com.
05BB853B.catv.pool.telekom.hu.
ip59.ip-15-235-107.net.
024-107-216-132.res.spectrum.com.
24-117-119-100.cpe.sparklight.net.
ip1f12f9a4.dynamic.kabel-deutschland.de.
ec2-35-161-247-12.us-west-2.compute.amazonaws.com.
42.224.186.35.bc.googleusercontent.com.
ip-037-201-198-147.um10.pools.vodafone-ip.de.
ip-037-201-198-171.um10.pools.vodafone-ip.de.
apn-37-248-179-173.dynamic.gprs.plus.pl.
45-29-177-23.lightspeed.miamfl.sbcglobal.net.
ip-046-005-229-140.um12.pools.vodafone-ip.de.
ip-046-005-229-245.um12.pools.vodafone-ip.de.
ip-046-005-004-035.um12.pools.vodafone-ip.de.
p2e561993.dip0.t-ipconnect.de.
edgerouter2.ams.hostdial.net.
i12-ex17.liveserver.pl.
cpe-67-255-210-164.maine.res.rr.com.
ool-43543309.dyn.optonline.net.
68-200-168-217.res.bhn.net.
c-68-33-121-110.hsd1.md.comcast.net.
ip70-171-231-149.tc.ph.cox.net.
S01060090ea1cea0b.vs.shawcable.net.
S01060090ea1ee681.vs.shawcable.net.
c-71-237-76-200.hsd1.co.comcast.net.
c-73-111-75-44.hsd1.in.comcast.net.
c-73-38-165-171.hsd1.ma.comcast.net.
c-73-38-165-171.hsd1.ct.comcast.net.
cpe-74-74-74-69.stny.res.rr.com.
cpe-74-74-74-74.stny.res.rr.com.
dynamic-077-013-171-205.77.13.pool.telefonica.de.
ip4d15fd1d.dynamic.kabel-deutschland.de.
dynamic-077-006-127-109.77.6.pool.telefonica.de.
77.64.147.156.dyn.pyur.net.
cpc101064-sgyl37-2-0-cust98.18-2.cable.virginm.net.
host-78-145-89-128.as13285.net.
bar44-4_migr-78-199-164-41.fbx.proxad.net.
p4fcb7801.dip0.t-ipconnect.de.
p4fddcf71.dip0.t-ipconnect.de.
p4fe473d3.dip0.t-ipconnect.de.
p4fea9bdb.dip0.t-ipconnect.de.
p4feba28a.dip0.t-ipconnect.de.
p4feba592.dip0.t-ipconnect.de.
p4ff12d90.dip0.t-ipconnect.de.
host-79-35-188-181.retail.telecomitalia.it.
p50804aa6.dip0.t-ipconnect.de.
p508602c5.dip0.t-ipconnect.de.
p508d5cd8.dip0.t-ipconnect.de.
p50901e93.dip0.t-ipconnect.de.
81-207-61-221.fixed.kpn.net.
cpc80943-perr17-2-0-cust493.19-1.cable.virginm.net.
83-233-247-113.cust.bredband2.com.
84-106-54-116.cable.dynamic.v4.ziggo.nl.
p549f9b54.dip0.t-ipconnect.de.
p549f2bc0.dip0.t-ipconnect.de.
cm-84.210.106.209.get.no.
adsl-84-226-47-154.adslplus.ch.
dyndsl-085-016-228-220.ewe-ip-backbone.de.
ip-085-216-040-130.um25.pools.vodafone-ip.de.
i577BCA05.versanet.de.
p578548b3.dip0.t-ipconnect.de.
p578ab69e.dip0.t-ipconnect.de.
88-145-103-235.host.pobb.as13285.net.
ip-088-152-011-131.um26.pools.vodafone-ip.de.
ip-088-152-011-223.um26.pools.vodafone-ip.de.
20-208.dsl.iskon.hr.
unn-89-187-181-130.cdn77.com.
tuscany-verdelite.aeza.network.
badstop.aeza.network.
dirtyback.aeza.network.
i59F7A209.versanet.de.
p5b0a5b1e.dip0.t-ipconnect.de.
serv.bclsv.com.
p5b28a47d.dip0.t-ipconnect.de.
p5b3c6e5c.dip0.t-ipconnect.de.
port-92-201-106-62.dynamic.as20676.net.
port-92-201-39-65.dynamic.as20676.net.
dslb-092-077-024-096.092.077.pools.vodafone-ip.de.
p5dcbf98a.dip0.t-ipconnect.de.
p5de318ca.dip0.t-ipconnect.de.
i5E86C591.versanet.de.
IP-094046086202.dynamic.medianet-world.de.
dynamic-095-116-180-010.95.116.pool.telefonica.de.
ip-095-222-168-135.um34.pools.vodafone-ip.de.
ip-095-223-044-104.um35.pools.vodafone-ip.de.
ip-095-223-079-220.um35.pools.vodafone-ip.de.
ip5f5ac6c4.dynamic.kabel-deutschland.de.
ip5f5bd16d.dynamic.kabel-deutschland.de.
pool-96-240-0-176.nwrknj.fios.verizon.net.
096-036-076-043.res.spectrum.com.
cpe-98-145-225-68.natsow.res.rr.com.
mta-98-15-98-253.nyc.rr.com.
104-200-27-134.ip.linodeusercontent.com.
c-107-5-97-107.hsd1.mi.comcast.net.
mobile-107-77-208-47.mobile.att.net.
server-108-138-36-46.muc50.r.cloudfront.net.
108-239-224-7.lightspeed.sntcca.sbcglobal.net.
108-253-218-67.lightspeed.tulsok.sbcglobal.net.
ip-109-42-115-110.web.vodafone.de.
82.68.29.120-rev.convergeict.com.
static.33.45.181.135.clients.your-server.de.
static.46.238.251.148.clients.your-server.de.
chtwpe0118w-156-34-8-166.dhcp-dynamic.fibreop.pei.bellaliant.net.
cpe-172-115-185-96.socal.res.rr.com.
pool-173-66-238-100.washdc.fios.verizon.net.
61.sub-174-251-225.myvzw.com.
b0ff658e.bb.sky.com.
customer-PUEBLA-195-161.megared.net.mx.
dampshake.aeza.network.
dsl-189-155-55-223-dyn.prod-infinitum.com.mx.
194-118-236-75.hdsl.highway.telekom.at.
195-202-207-254.dynamic.hispeed.ch.
212095005235.public.telering.at.
213162080180.public.t-mobile.at.

毎度のセキュリティーが弱いアクセスポイントや、データセンターのホスティングが使われています。

毎度の、中国からの嫌がらせアクセスと振る舞いが一緒。まあ、今回はプーチン戦争がらみロシアからのアクセスかもしれませんが、やることのレベルが低くて幼稚。

私の方で対策できることは無いのですが、CPUリソースが無駄に称されるのも腹立たしいので、見つけたらアクセス元のネットワークごとDNSサービスへのへの接続を遮断してやろうと思います。

コメントを残す