かなり久しぶりにルータのFirewallログを見ていると、送信元(相手)が53番、送信先(こちら)1249番のUDPパケットがそこそこな頻度で届いていました。そこで何のパケットなのか?と思いながら1249番に送られてくるパケットをキャプチャして解析してみたところ、画像のアドレスが出てきたので検索してみたのですが、中国のサイトでした…。幸いにもデフォルトルールでブロックされているので大丈夫かなぁとは思うのですが、もしかして攻撃されているのでは?と思い少し心配になります。情報が断片的ですが、どなたか詳しい方回答いただければ。よろしくお願いします。
相手側であるソースポート番号が 53 という事は、DNS の応答に似せたパケットで、キャッシュポイズニングを狙ったものだと思います。
インターネット側に公開されている DNS サーバであれば、当然のように送りつけられるパケットだとは思いますが、古い DNS サーバを放置していたり、古い知識による誤った設定をしている場合、キャッシュポイズニングに成功する確立が高くなるので、念のため確認しておいた方が良いでしょう。
IPA 独立行政法人 情報処理推進機構:DNSキャッシュポイズニング対策
あと、インターネット側からアクセス可能な DNS サーバで、オープンリソルバになっていないか、という事も、合わせてチェックしておいた方が良いでしょう。
オープンリゾルバ確認サイト公開のお知らせ
回答ありがとうございます。忙しいこともあってリゾルバ確認はできたのですが、DNSキャッシュポイゾニング対策はできないままに…。私の使っているルータはPFSenseというソフトウェアルータで、DNSサーバは公開していませんが、相変わらずソースポート53番からのアタックが来ています…。そのアドレスも今のところ全部外国からのものなので、国別でブロックできるパッケージをインストールして様子見してみます。返事遅れてすみませんでしたm(_ _)m
2015/04/02 18:09:30