アーカイブ

DNSに変なクエリが来ている件

今日はブログのテンプレートをいじったついでにサーバのメンテをやっていたら、syslogになにやら大量のDNSのlogがある。

Feb 3 01:48:20 ns2 named[14726]: client 69.64.87.156#31608: view external: query (cache) ‘./NS/IN’ denied
Feb 3 01:48:26 ns2 named[14726]: client 69.64.87.156#22680: view external: query (cache) ‘./NS/IN’ denied
Feb 3 01:48:32 ns2 named[14726]: client 69.64.87.156#51349: view external: query (cache) ‘./NS/IN’ denied
Feb 3 01:48:39 ns2 named[14726]: client 69.64.87.156#1820: view external: query (cache) ‘./NS/IN’ denied
Feb 3 01:49:01 ns2 named[14726]: client 76.9.16.171#220: view external: query (cache) ‘./NS/IN’ denied
Feb 3 01:49:41 ns2 named[14726]: client 69.64.87.156#35398: view external: query (cache) ‘./NS/IN’ denied
Feb 3 01:49:47 ns2 named[14726]: client 69.64.87.156#20409: view external: query (cache) ‘./NS/IN’ denied
Feb 3 01:49:53 ns2 named[14726]: client 69.64.87.156#44694: view external: query (cache) ‘./NS/IN’ denied
Feb 3 01:50:00 ns2 named[14726]: client 69.64.87.156#48098: view external: query (cache) ‘./NS/IN’ denied
Feb 3 01:50:03 ns2 named[14726]: client 76.9.16.171#19950: view external: query (cache) ‘./NS/IN’ denied
Feb 3 01:50:37 ns2 named[14726]: client 69.64.87.156#45895: view external: query (cache) ‘./NS/IN’ denied
Feb 3 01:50:49 ns2 named[14726]: client 69.64.87.156#52139: view external: query (cache) ‘./NS/IN’ denied
Feb 3 01:50:56 ns2 named[14726]: client 69.64.87.156#60293: view external: query (cache) ‘./NS/IN’ denied

 ルートサーバーのNSレコードを参照するクエリらしく、ご丁寧にお返事を返してしまうとネットワークの負荷を高めてしまう。その上、返事する先がちゃんと質問主なら良いのだが、どうもそうでもない可能性があるらしい。

試しにこのIPを検索してみました。

09020200.JPG

09020201.JPG

上も下も最近検索件数が増えているIPアドレスで、共にアメリカのホスティングの会社のようだ。
更に下のIP等は対応するホストがありませんとまで出ている始末ww (whoisの結果から4日前まではあったらしい)
つまり誰かがこのIPを語ってDNSクエリを送信し続けており、未対応のDNSがそのIPに向かってサイズの大きなお返事を返してしまう。という構図。
立派なDDoS攻撃ですね!!

うちのDNSに関しては先日のエントリ(DNSキャッシュポイズニング問題) の後にBIND9.4.3-P1にバージョンアップしたので、今回の問題クエリに対してもちゃんとdeniedになっている。ひとまずは安心して良さそうだ。

しかしサーバ運営も安定すれば放置で良いというわけじゃないのが大変なところですね・・・。