掲示板お問い合わせランダムジャンプ

トップスペース
rss-reader.png taRgrey  削除ガイドライン  おしらせ  SPAM対策  専属DJのブログ  BOF  SPAM対策別館

2008年07月23日
86.59.118.117からの継続したDNSクエリ
BIND 9.4.2-P1のqueries.logをチェックしていたら「86.59.118.117」から繰り返し同じクエリーが届いている。

「86.59.118.117」でググって見ても何もヒットしません...

whois情報では「オーストリア」のIPアドレス。

inetnum: 86.59.118.96 - 86.59.118.127
netname: SIL-SYSTEMONE
descr: Erlerstrasse 1
descr: A-6020 Innsbruck
country: AT
admin-c: BH1354-RIPE
tech-c: SILR-RIPE
mnt-by: SIL-MNT
status: ASSIGNED PA
source: RIPE # Filtered

■queries.log

23-Jul-2008 12:17:44.918 queries: client 86.59.118.117#38956: query: . IN ANY +
23-Jul-2008 12:17:44.938 queries: client 86.59.118.117#49070: query: . IN ANY +
23-Jul-2008 12:17:45.893 queries: client 86.59.118.117#41990: query: . IN ANY +
23-Jul-2008 12:17:46.892 queries: client 86.59.118.117#14653: query: www.microsoft.com IN A +
23-Jul-2008 12:17:47.618 queries: client 86.59.118.117#55996: query: . IN ANY +
23-Jul-2008 12:17:47.696 queries: client 86.59.118.117#17691: query: www.microsoft.com IN A +
23-Jul-2008 12:17:48.402 queries: client 86.59.118.117#19644: query: www.microsoft.com IN A +
23-Jul-2008 12:17:48.570 queries: client 86.59.118.117#23183: query: www.microsoft.com IN A +
23-Jul-2008 12:17:48.753 queries: client 86.59.118.117#16456: query: www.microsoft.com IN A +
23-Jul-2008 12:17:48.975 queries: client 86.59.118.117#41288: query: . IN ANY +
23-Jul-2008 12:17:50.357 queries: client 86.59.118.117#50845: query: www.microsoft.com IN A +
23-Jul-2008 12:17:52.371 queries: client 86.59.118.117#27116: query: www.microsoft.com IN A +

自分の管理しているDNSサーバだけでなく、取引先のDNSでも同様のクエリーを観測しているので、広範囲にクエリーを投げている様子。

named.confに

acl deny_net {
86.59.118.117;
};
options {
allow-query {
!deny_net;
〜省略〜
};
allow-recursion {
!deny_net;
〜省略〜
} ;
allow-query-cache {
!deny_net;
〜省略〜
} ;

とかして、拒否してみました。

security.logには以下の様に記録されます。

23-Jul-2008 12:25:54.525 security: client 86.59.118.117#38786: query (cache) 'www.microsoft.com/A/IN' denied
23-Jul-2008 12:25:55.108 security: client 86.59.118.117#43552: query (cache) './ANY/IN' denied
23-Jul-2008 12:25:56.778 security: client 86.59.118.117#8900: query (cache) './ANY/IN' denied
23-Jul-2008 12:25:57.767 security: client 86.59.118.117#34871: query (cache) 'www.microsoft.com/A/IN' denied
23-Jul-2008 12:25:57.774 security: client 86.59.118.117#50558: query (cache) './ANY/IN' denied


他のDNSサーバはどうなんでしょうか?

追記:2008-07-24
このIPアドレスでググったらこんなのがヒットしましたが、やはり他でもこのクエリーが来てるようですね。
NS querys "www.microsoft.com" - linuxforen.de -- User helfen Usern

livedoor 翻訳によると

have a retrieval of an IP on my name server since today 14 o'clock per second. the retrieval is www.microsoft.com and ANY. What does this mean?

maybe prepares somebody of ne DDOS attack on your name server?! I simply would lock out the IP.

I heard this answer about the provider to her/it get the IP: Update: Stopped just, everything again normal.

こんな感じ。

追記:008-07-25
7月23日の21:19頃でこのクエリーは止まっているようです。

23-Jul-2008 21:19:30.915 security: client 86.59.118.117#58928: query (cache) './ANY/IN' denied
23-Jul-2008 21:19:32.257 security: client 86.59.118.117#33700: query (cache) './ANY/IN' denied
23-Jul-2008 21:19:32.355 security: client 86.59.118.117#28527: query (cache) './ANY/IN' denied
23-Jul-2008 21:19:33.132 security: client 86.59.118.117#29869: query (cache) './ANY/IN' denied

[ 投稿者:Cookie at 12:19 | サーバ設定 | コメント(0) | トラックバック(0) ]

この記事へのコメント

この記事へのトラックバック

この記事へのトラックバックURL
http://shinshu.fm/MHz/77.88/a02343/0000248303.trackback

この記事の固定URL
http://shinshu.fm/MHz/77.88/archives/0000248303.html

記事へのコメント
 
簡単演算認証: 4 x 3 + 5 =
計算の答えを半角英数字で入力して下さい。
名前: [必須]
URL/Email:
タイトル:
コメント:
※記事・コメントなどの削除要請はこちら