なんか、南アフリカに割り振られているIPアドレスから、私のバックアップ側のDNSサーバーに連続して大量のアクセスがあるんですけど、最近、何かBINDに脆弱性が見つかったの?
セカンダリーのDNSサーバーのログを見たら、今日だけで、50MB以上のセキュリティーログが生成されていました。
19-Sep-2023 14:12:42.829 security: client @0x8369bbf60 196.15.207.65#20818 (sl): query (cache) 'sl/ANY/IN' denied (allow-query-cache did not match) 19-Sep-2023 14:12:43.006 security: client @0x83ab99960 196.15.207.65#45148 (sl): query (cache) 'sl/ANY/IN' denied (allow-query-cache did not match) 19-Sep-2023 14:12:43.176 security: client @0x83ab99960 196.15.207.65#4100 (sl): query (cache) 'sl/ANY/IN' denied (allow-query-cache did not match) 19-Sep-2023 14:12:43.353 security: client @0x838f86760 196.15.207.65#25191 (sl): query (cache) 'sl/ANY/IN' denied (allow-query-cache did not match) 19-Sep-2023 14:12:43.535 security: client @0x83ab99960 196.15.207.65#7960 (sl): query (cache) 'sl/ANY/IN' denied (allow-query-cache did not match) 19-Sep-2023 14:12:43.709 security: client @0x8369bbf60 196.15.207.65#38554 (sl): query (cache) 'sl/ANY/IN' denied (allow-query-cache did not match) 19-Sep-2023 14:12:43.889 security: client @0x83ab99960 196.15.207.65#58368 (sl): query (cache) 'sl/ANY/IN' denied (allow-query-cache did not match) 19-Sep-2023 14:12:44.067 security: client @0x83c3ced60 196.15.207.65#37993 (sl): query (cache) 'sl/ANY/IN' denied (allow-query-cache did not match) 19-Sep-2023 14:12:44.252 security: client @0x8369bbf60 196.15.207.65#1702 (sl): query (cache) 'sl/ANY/IN' denied (allow-query-cache did not match) 19-Sep-2023 14:12:44.433 security: client @0x83c3ced60 196.15.207.65#49069 (sl): query (cache) 'sl/ANY/IN' denied (allow-query-cache did not match) 19-Sep-2023 14:12:44.604 security: client @0x83c3ced60 196.15.207.65#15233 (sl): query (cache) 'sl/ANY/IN' denied (allow-query-cache did not match) 19-Sep-2023 14:12:44.792 security: client @0x83c3ced60 196.15.207.65#36233 (sl): query (cache) 'sl/ANY/IN' denied (allow-query-cache did not match) 19-Sep-2023 14:12:44.955 security: client @0x8369bbf60 196.15.207.65#37298 (sl): query (cache) 'sl/ANY/IN' denied (allow-query-cache did not match) 19-Sep-2023 14:12:45.138 security: client @0x8369bbf60 196.15.207.65#44994 (sl): query (cache) 'sl/ANY/IN' denied (allow-query-cache did not match) 19-Sep-2023 14:12:45.318 security: client @0x83c3ced60 196.15.207.65#18157 (sl): query (cache) 'sl/ANY/IN' denied (allow-query-cache did not match) 19-Sep-2023 14:12:45.490 security: client @0x8369bbf60 196.15.207.65#43482 (sl): query (cache) 'sl/ANY/IN' denied (allow-query-cache did not match) 19-Sep-2023 14:12:45.673 security: client @0x83c3ced60 196.15.207.65#42809 (sl): query (cache) 'sl/ANY/IN' denied (allow-query-cache did not match)
こんなのが、延々と続いています。
196.15.207.65 というIPアドレスがどこなのかと調べてみると、南アフリカ。
2nd DNSサーバーのファイヤーウォールログが異常な速さで膨張していることに気づいて調べ始めたのですが、大量のDNSパケットが記録されています。面倒くさいので、196.15.207.65 を含むネットワーク全部をファイヤーウォールで遮断。DNSサーバーのログは膨れなくなりましたが、ファイヤーウォールログは、まだ膨れています。普通応答パケットが戻ってこなくなると、攻撃をやめるはずですが、ゾンビなのかパケットが捨てられているのに、送ってきています。
一体何が目的なの?named ログが膨らむとサーバーのディスクがいっぱいになって落ちることを狙ってる?ログローテーションを行っていればディスクフルにはならないわけだし、ただの嫌がらせ?
2023/09/22 追記:
以下の問題のよう。
JVNVU#94469233 ISC BINDにおける複数の脆弱性