現在、DNSサーバーがアタックを受けています。

自宅サーバーを設置して、お客様にサンプルサイトなどを見せるために公開しております。
独自ドメインを取得して、ネームサーバーとしても動いているわけですが、1週間まえほどからでしょうか(実際にはもっと前からあったのかもしれません)、53番ポートへのアタックを受けています。

なんか自宅のネットがつながりにくいなあ~、とは思ったのですが、時間帯によってはまったくつながらない。最初は「いよいよルーターがご臨終か?」とか思ったんですが、ログを見たら毎秒数十~100近くの連続攻撃の跡があるじゃありませんか。昼間の時間などは約5秒毎に20件程度に手を緩めていただけているようですが、夜になると再び容赦ない攻撃は再開されます。そしてそれは、今なお継続中です。

攻撃元IPを見ると多種多様なので、これはいわゆるDDoS攻撃というヤツですか?
我が家のサーバーをダウンさせたところで世の中何も困らないですから、乗っ取り目的なんでしょうね…。
そして、おそらく乗っ取られたたくさんのサーバーから攻撃されちゃっているわけですが。
(WhoisなどでIPを調べるとほとんど国外ですね。ウクライナとかオーストリア、オーストラリアなどなど。)

↓何もしていない状態のルーターのログの一部です。(我が家のIPアドレスは「*.*.*.*」で伏せています)

:
2013/03/31 23:12:03 NAT RX-ERROR List Create Error : UDP 85.214.74.30 : 53555 > *.*.*.* : 53 (IP-PORT=7)
2013/03/31 23:12:03 NAT RX-ERROR List Create Error : UDP 85.214.74.30 : 35560 > *.*.*.* : 53 (IP-PORT=7)
2013/03/31 23:12:03 NAT RX-ERROR List Create Error : UDP 85.214.74.30 : 21608 > *.*.*.* : 53 (IP-PORT=7)
2013/03/31 23:12:03 NAT RX-ERROR List Create Error : UDP 192.184.9.75 : 46859 > *.*.*.* : 53 (IP-PORT=7)
2013/03/31 23:12:03 NAT RX-ERROR List Create Error : UDP 85.214.74.30 : 32528 > *.*.*.* : 53 (IP-PORT=7)
2013/03/31 23:12:03 NAT RX-ERROR List Create Error : UDP 85.214.74.30 : 63066 > *.*.*.* : 53 (IP-PORT=7)
2013/03/31 23:12:03 NAT RX-ERROR List Create Error : UDP 192.184.9.75 : 47433 > *.*.*.* : 53 (IP-PORT=7)
:

最初、キーワード「NAT RX-ERROR List Create Error」で検索かけたら、NATテーブルがオーバーフローしているということがわかりました。NECのルーターの仕様で、古くなって使用されていないNATテーブルを解放しないのが原因とも。(仕様なのかよ)

↓こちら参考

再起動すると一瞬「あ、つながった」と復活するのですが、ものすごい勢いで攻撃されているので、あっというつながらない状況に。と言いますか、この時点ではまさか我が家が攻撃対象にされているなんて思いもしていないので、「NECのルーターめ、コンチクショー」程度の認識だったのですが。

53ポートを閉めてみる

しょうがないので、WAN側の53番ポートを一時的に閉めることにしました。
で、閉めたあとのルーターのログ一部です。(我が家のIPアドレスは「*.*.*.*」で伏せています)

:
2013/03/31 23:19:05 IP_Filter REJECT UDP 192.184.9.75:33239 > *.*.*.*:53 (IP-PORT=7)
2013/03/31 23:19:05 IP_Filter REJECT UDP 134.0.118.174:50359 > *.*.*.*:53 (IP-PORT=7)
2013/03/31 23:19:05 IP_Filter REJECT UDP 134.0.118.174:61194 > *.*.*.*:53 (IP-PORT=7)
2013/03/31 23:19:05 IP_Filter REJECT UDP 192.184.9.75:62113 > *.*.*.*:53 (IP-PORT=7)
2013/03/31 23:19:05 IP_Filter REJECT UDP 192.184.9.75:7720 > *.*.*.*:53 (IP-PORT=7)
2013/03/31 23:19:05 IP_Filter REJECT UDP 192.184.9.75:43684 > *.*.*.*:53 (IP-PORT=7)
2013/03/31 23:19:05 IP_Filter REJECT UDP 192.184.9.75:37867 > *.*.*.*:53 (IP-PORT=7)
:

「IP_Filter REJECT」と出ているので無事に拒否しているようなのですが…。依然インターネット閲覧ができないままなのはなぜ?というか、設定変更前は多少はつながる瞬間があったんですが、今度はどうやら完全にシャットアウトされています。
えーと、これはあれですか。ルーターが拒否活動にご執心で、内側のPCの通信まで手がまわらないってことですか?ホントに?あれ?53番って閉じちゃダメでした?これは攻撃のせいというよりも、53ポートを閉じたことによってつながらなくなったと考える方が正しい感じ。

2013/04/06追加
上記の件については解決しました。実にバカらしい原因で恐縮ですが、Web閲覧では自分もDNSに問い合わせしているわけですから、使用しているDNSサーバーとのパケットは通してあげなきゃいけませんよね…。

NATエントリを無効にしてみる

で、53ポートを閉じるのではなく、53ポートのNATエントリを無効にしたところ、インターネット閲覧が可能になりました。

↓ログの一部

:
2013/04/03 14:07:07 NAT RX Not Found : UDP 76.90.207.87 : 28261 > *.*.*.* : 53 (IP-PORT=7)
2013/04/03 14:07:07 NAT RX Not Found : UDP 76.90.207.87 : 28261 > *.*.*.* : 53 (IP-PORT=7)
2013/04/03 14:07:07 NAT RX Not Found : UDP 76.90.207.87 : 28261 > *.*.*.* : 53 (IP-PORT=7)
2013/04/03 14:07:07 NAT RX Not Found : UDP 76.90.207.87 : 28261 > *.*.*.* : 53 (IP-PORT=7)
2013/04/03 14:07:07 NAT RX Not Found : UDP 76.90.207.87 : 28261 > *.*.*.* : 53 (IP-PORT=7)
2013/04/03 14:07:07 NAT RX Not Found : UDP 76.90.207.87 : 28261 > *.*.*.* : 53 (IP-PORT=7)
:

「NAT RX Not Found」と出ていますので、「見つからないよ~」ってことで処理されています。

これでひとまずはPCからインターネット接続ができないという事態を回避できました。

根本的な解決はできず

しかし根本的な解決にはなっていないですよね。以下のような問題が残りました。

  • DNSサーバーが使えない
  • なので、お客様にサンプルサイトの提供ができない(IPアドレス直接打ち込んでもらえばいいけど)
  • やや通信速度が遅い気がする
  • なぜ53ポートを閉じると内部PCからのインターネット接続ができなくなるの?
  • アタックがいつ止むのかわからない

このアタックいつか止むの?止まなきゃ困るんですけど。まあ、しばらくは様子見です。

備忘録 | , , , |