匿名質問者
匿名質問者匿名質問者とは「匿名質問」を利用して質問した質問者。
「匿名質問」では、ユーザー名を公開せずに匿名の質問ができます。
詳しくはこちら

1427359586 DNS問い合わせのUDPパケットが2~3パケット/時、届きます。攻撃されているのでしょうか?


かなり久しぶりにルータのFirewallログを見ていると、送信元(相手)が53番、送信先(こちら)1249番のUDPパケットがそこそこな頻度で届いていました。そこで何のパケットなのか?と思いながら1249番に送られてくるパケットをキャプチャして解析してみたところ、画像のアドレスが出てきたので検索してみたのですが、中国のサイトでした…。幸いにもデフォルトルールでブロックされているので大丈夫かなぁとは思うのですが、もしかして攻撃されているのでは?と思い少し心配になります。情報が断片的ですが、どなたか詳しい方回答いただければ。よろしくお願いします。

回答の条件
  • 1人5回まで
  • 13歳以上
  • 登録:2015/03/26 17:46:26
  • 終了:2015/04/02 17:50:06

ベストアンサー

匿名回答1号 No.1

匿名回答1号「匿名質問」を利用した質問に回答すると「匿名回答○号」と匿名で表示されます。
「匿名質問」では、ユーザー名を公開せずに匿名の質問ができます。
詳しくはこちら
2015/03/26 18:27:54

相手側であるソースポート番号が 53 という事は、DNS の応答に似せたパケットで、キャッシュポイズニングを狙ったものだと思います。

インターネット側に公開されている DNS サーバであれば、当然のように送りつけられるパケットだとは思いますが、古い DNS サーバを放置していたり、古い知識による誤った設定をしている場合、キャッシュポイズニングに成功する確立が高くなるので、念のため確認しておいた方が良いでしょう。

IPA 独立行政法人 情報処理推進機構:DNSキャッシュポイズニング対策

あと、インターネット側からアクセス可能な DNS サーバで、オープンリソルバになっていないか、という事も、合わせてチェックしておいた方が良いでしょう。

オープンリゾルバ確認サイト公開のお知らせ

匿名質問者

回答ありがとうございます。忙しいこともあってリゾルバ確認はできたのですが、DNSキャッシュポイゾニング対策はできないままに…。私の使っているルータはPFSenseというソフトウェアルータで、DNSサーバは公開していませんが、相変わらずソースポート53番からのアタックが来ています…。そのアドレスも今のところ全部外国からのものなので、国別でブロックできるパッケージをインストールして様子見してみます。返事遅れてすみませんでしたm(_ _)m

2015/04/02 18:09:30

コメントはまだありません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません