私が運用しているセカンダリーDNSのセキュリティーログが突然肥大化していることに気が付きました。
サーバーをリプレースしたばかりで、まだ一週間も運用していないのですが、10MBでローテートするログファイルが4世代分も出来ていました。
中身を見てみると、同じ内容の繰り返し。(以下)
12-Aug-2022 08:55:59.467 security: client @0x8038aed60 87.133.72.179#80 (ferc.gov): query (cache) 'ferc.gov/ANY/IN' denied 12-Aug-2022 08:55:59.551 security: client @0x8038aed60 87.133.72.179#80 (ferc.gov): query (cache) 'ferc.gov/ANY/IN' denied 12-Aug-2022 08:55:59.564 security: client @0x8038aed60 87.133.72.179#80 (ferc.gov): query (cache) 'ferc.gov/ANY/IN' denied 12-Aug-2022 08:55:59.576 security: client @0x8038aed60 87.133.72.179#80 (ferc.gov): query (cache) 'ferc.gov/ANY/IN' denied 12-Aug-2022 08:55:59.589 security: client @0x8038aed60 87.133.72.179#80 (ferc.gov): query (cache) 'ferc.gov/ANY/IN' denied 12-Aug-2022 08:55:59.601 security: client @0x8038aed60 87.133.72.179#80 (ferc.gov): query (cache) 'ferc.gov/ANY/IN' denied 12-Aug-2022 08:55:59.602 security: client @0x803898160 87.133.72.179#80 (ferc.gov): query (cache) 'ferc.gov/ANY/IN' denied 12-Aug-2022 08:55:59.602 security: client @0x8038b0960 87.133.72.179#80 (ferc.gov): query (cache) 'ferc.gov/ANY/IN' denied 12-Aug-2022 08:55:59.656 security: client @0x8038b0960 87.133.72.179#80 (ferc.gov): query (cache) 'ferc.gov/ANY/IN' denied 12-Aug-2022 08:55:59.657 security: client @0x803898160 87.133.72.179#80 (ferc.gov): query (cache) 'ferc.gov/ANY/IN' denied 12-Aug-2022 08:55:59.697 security: client @0x803898160 87.133.72.179#80 (ferc.gov): query (cache) 'ferc.gov/ANY/IN' denied 12-Aug-2022 08:55:59.697 security: client @0x8038b0960 87.133.72.179#80 (ferc.gov): query (cache) 'ferc.gov/ANY/IN' denied 12-Aug-2022 08:55:59.733 security: client @0x8038b0960 87.133.72.179#80 (ferc.gov): query (cache) 'ferc.gov/ANY/IN' denied 12-Aug-2022 08:55:59.761 security: client @0x8038b0960 87.133.72.179#80 (ferc.gov): query (cache) 'ferc.gov/ANY/IN' denied 12-Aug-2022 08:55:59.772 security: client @0x8038b0960 87.133.72.179#80 (ferc.gov): query (cache) 'ferc.gov/ANY/IN' denied 12-Aug-2022 08:55:59.774 security: client @0x8038b0960 87.133.72.179#80 (ferc.gov): query (cache) 'ferc.gov/ANY/IN' denied 12-Aug-2022 08:55:59.792 security: client @0x8038b0960 87.133.72.179#80 (ferc.gov): query (cache) 'ferc.gov/ANY/IN' denied
それが、全部エラーになっています。
ログを見る感じでは、私のDNSサーバーに ferc.gov の IPアドレスを何度も何度も問い合わせて、すべてエラーになっているような感じです。当サイト以外のIPアドレスは返さないように設定してあるので問題はありませんが、対策されていない場合は ferc.gov のDNSにIPアドレスを尋ねに行っているはず。ということは、ferc.gov のDNSを狙った分散攻撃なのかもしれません。
なぜ ferc.gov なの?
と、検索してみると、ferc.gov はアメリカの連邦エネルギー規制委員会のようです。
DNSに問い合わせてきたアクセスポイントのIPアドレスを抽出してみると、以下のものでした。
1.1.1.1 2.202.183.161 3.70.211.154 5.187.133.59 13.74.15.34 15.235.107.59 20.1.171.155 20.123.169.106 20.126.40.253 20.229.56.111 20.8.119.195 23.227.146.106 24.107.216.132 24.117.119.100 31.18.249.164 35.161.247.12 35.186.224.42 37.201.198.147 37.201.198.171 37.248.179.173 38.84.14.4 45.29.177.23 45.66.31.185 46.5.229.140 46.5.229.245 46.5.4.35 46.86.25.147 49.36.217.190 50.7.239.226 51.83.150.44 52.148.140.92 67.255.210.164 67.84.51.9 68.200.168.217 68.33.121.110 70.171.231.149 70.70.70.7 70.70.70.8 71.237.76.200 73.111.75.44 73.38.165.171 74.74.74.69 74.74.74.74 77.13.171.205 77.21.253.29 77.6.127.109 77.64.147.156 77.99.77.99 78.145.89.128 78.199.164.41 79.140.117.153 79.203.120.1 79.221.207.113 79.228.115.211 79.234.155.219 79.235.162.138 79.235.165.146 79.241.45.144 79.35.188.181 80.128.74.166 80.134.2.197 80.141.92.216 80.144.30.147 81.207.61.221 82.24.157.238 83.135.243.5 83.233.247.113 84.106.54.116 84.159.155.84 84.159.43.192 84.210.106.209 84.226.47.154 85.16.228.220 85.216.40.130 87.122.44.98 87.122.5.163 87.123.202.5 87.123.49.180 87.133.72.179 87.138.182.158 88.145.103.235 88.152.11.131 88.152.11.223 89.164.20.208 89.187.181.130 89.208.104.2 89.208.104.3 89.208.104.4 89.247.162.9 91.10.91.30 91.239.130.32 91.40.164.125 91.60.110.92 92.201.106.62 92.201.39.65 92.77.24.96 93.203.249.138 93.227.24.202 94.134.197.145 94.31.104.58 94.31.106.58 94.31.107.58 94.31.80.42 94.31.91.42 94.31.97.58 94.31.98.58 94.46.86.202 95.116.180.10 95.222.168.135 95.223.44.104 95.223.79.220 95.90.198.196 95.91.209.109 96.240.0.176 96.36.76.43 98.145.225.68 98.15.98.253 103.137.206.82 104.200.27.134 107.5.97.107 107.77.208.47 108.138.36.46 108.239.224.7 108.253.218.67 109.42.115.110 111.32.164.142 116.58.172.107 120.29.68.82 128.116.36.227 131.226.67.217 135.181.45.33 148.251.238.46 156.34.8.166 164.92.75.223 167.160.91.82 172.115.185.96 172.58.60.8 173.66.238.100 174.251.225.61 175.176.28.90 176.255.101.142 177.224.195.161 182.185.183.80 185.106.94.0 185.38.49.25 189.155.55.223 193.25.252.34 193.25.252.66 194.118.236.75 195.202.207.254 212.95.5.235 213.162.80.180
いつものように、踏み台ホストでしょうけど、IPアドレスではわからないので、ホスト名に変換してみたのが次のリスト。
one.one.one.one. dslb-002-202-183-161.002.202.pools.vodafone-ip.de. ec2-3-70-211-154.eu-central-1.compute.amazonaws.com. 05BB853B.catv.pool.telekom.hu. ip59.ip-15-235-107.net. 024-107-216-132.res.spectrum.com. 24-117-119-100.cpe.sparklight.net. ip1f12f9a4.dynamic.kabel-deutschland.de. ec2-35-161-247-12.us-west-2.compute.amazonaws.com. 42.224.186.35.bc.googleusercontent.com. ip-037-201-198-147.um10.pools.vodafone-ip.de. ip-037-201-198-171.um10.pools.vodafone-ip.de. apn-37-248-179-173.dynamic.gprs.plus.pl. 45-29-177-23.lightspeed.miamfl.sbcglobal.net. ip-046-005-229-140.um12.pools.vodafone-ip.de. ip-046-005-229-245.um12.pools.vodafone-ip.de. ip-046-005-004-035.um12.pools.vodafone-ip.de. p2e561993.dip0.t-ipconnect.de. edgerouter2.ams.hostdial.net. i12-ex17.liveserver.pl. cpe-67-255-210-164.maine.res.rr.com. ool-43543309.dyn.optonline.net. 68-200-168-217.res.bhn.net. c-68-33-121-110.hsd1.md.comcast.net. ip70-171-231-149.tc.ph.cox.net. S01060090ea1cea0b.vs.shawcable.net. S01060090ea1ee681.vs.shawcable.net. c-71-237-76-200.hsd1.co.comcast.net. c-73-111-75-44.hsd1.in.comcast.net. c-73-38-165-171.hsd1.ma.comcast.net. c-73-38-165-171.hsd1.ct.comcast.net. cpe-74-74-74-69.stny.res.rr.com. cpe-74-74-74-74.stny.res.rr.com. dynamic-077-013-171-205.77.13.pool.telefonica.de. ip4d15fd1d.dynamic.kabel-deutschland.de. dynamic-077-006-127-109.77.6.pool.telefonica.de. 77.64.147.156.dyn.pyur.net. cpc101064-sgyl37-2-0-cust98.18-2.cable.virginm.net. host-78-145-89-128.as13285.net. bar44-4_migr-78-199-164-41.fbx.proxad.net. p4fcb7801.dip0.t-ipconnect.de. p4fddcf71.dip0.t-ipconnect.de. p4fe473d3.dip0.t-ipconnect.de. p4fea9bdb.dip0.t-ipconnect.de. p4feba28a.dip0.t-ipconnect.de. p4feba592.dip0.t-ipconnect.de. p4ff12d90.dip0.t-ipconnect.de. host-79-35-188-181.retail.telecomitalia.it. p50804aa6.dip0.t-ipconnect.de. p508602c5.dip0.t-ipconnect.de. p508d5cd8.dip0.t-ipconnect.de. p50901e93.dip0.t-ipconnect.de. 81-207-61-221.fixed.kpn.net. cpc80943-perr17-2-0-cust493.19-1.cable.virginm.net. 83-233-247-113.cust.bredband2.com. 84-106-54-116.cable.dynamic.v4.ziggo.nl. p549f9b54.dip0.t-ipconnect.de. p549f2bc0.dip0.t-ipconnect.de. cm-84.210.106.209.get.no. adsl-84-226-47-154.adslplus.ch. dyndsl-085-016-228-220.ewe-ip-backbone.de. ip-085-216-040-130.um25.pools.vodafone-ip.de. i577BCA05.versanet.de. p578548b3.dip0.t-ipconnect.de. p578ab69e.dip0.t-ipconnect.de. 88-145-103-235.host.pobb.as13285.net. ip-088-152-011-131.um26.pools.vodafone-ip.de. ip-088-152-011-223.um26.pools.vodafone-ip.de. 20-208.dsl.iskon.hr. unn-89-187-181-130.cdn77.com. tuscany-verdelite.aeza.network. badstop.aeza.network. dirtyback.aeza.network. i59F7A209.versanet.de. p5b0a5b1e.dip0.t-ipconnect.de. serv.bclsv.com. p5b28a47d.dip0.t-ipconnect.de. p5b3c6e5c.dip0.t-ipconnect.de. port-92-201-106-62.dynamic.as20676.net. port-92-201-39-65.dynamic.as20676.net. dslb-092-077-024-096.092.077.pools.vodafone-ip.de. p5dcbf98a.dip0.t-ipconnect.de. p5de318ca.dip0.t-ipconnect.de. i5E86C591.versanet.de. IP-094046086202.dynamic.medianet-world.de. dynamic-095-116-180-010.95.116.pool.telefonica.de. ip-095-222-168-135.um34.pools.vodafone-ip.de. ip-095-223-044-104.um35.pools.vodafone-ip.de. ip-095-223-079-220.um35.pools.vodafone-ip.de. ip5f5ac6c4.dynamic.kabel-deutschland.de. ip5f5bd16d.dynamic.kabel-deutschland.de. pool-96-240-0-176.nwrknj.fios.verizon.net. 096-036-076-043.res.spectrum.com. cpe-98-145-225-68.natsow.res.rr.com. mta-98-15-98-253.nyc.rr.com. 104-200-27-134.ip.linodeusercontent.com. c-107-5-97-107.hsd1.mi.comcast.net. mobile-107-77-208-47.mobile.att.net. server-108-138-36-46.muc50.r.cloudfront.net. 108-239-224-7.lightspeed.sntcca.sbcglobal.net. 108-253-218-67.lightspeed.tulsok.sbcglobal.net. ip-109-42-115-110.web.vodafone.de. 82.68.29.120-rev.convergeict.com. static.33.45.181.135.clients.your-server.de. static.46.238.251.148.clients.your-server.de. chtwpe0118w-156-34-8-166.dhcp-dynamic.fibreop.pei.bellaliant.net. cpe-172-115-185-96.socal.res.rr.com. pool-173-66-238-100.washdc.fios.verizon.net. 61.sub-174-251-225.myvzw.com. b0ff658e.bb.sky.com. customer-PUEBLA-195-161.megared.net.mx. dampshake.aeza.network. dsl-189-155-55-223-dyn.prod-infinitum.com.mx. 194-118-236-75.hdsl.highway.telekom.at. 195-202-207-254.dynamic.hispeed.ch. 212095005235.public.telering.at. 213162080180.public.t-mobile.at.
毎度のセキュリティーが弱いアクセスポイントや、データセンターのホスティングが使われています。
毎度の、中国からの嫌がらせアクセスと振る舞いが一緒。まあ、今回はプーチン戦争がらみロシアからのアクセスかもしれませんが、やることのレベルが低くて幼稚。
私の方で対策できることは無いのですが、CPUリソースが無駄に称されるのも腹立たしいので、見つけたらアクセス元のネットワークごとDNSサービスへのへの接続を遮断してやろうと思います。