[nsp-sec-jp] DDOS RSに関しての注意
Taka Mizuguchi
taka @ ntt.net
2005年 1月 25日 (火) 10:31:14 EST
水口です。
不定期に転送させていただいているDDOS RSからのレポートに関して
ご連絡致します。ご存知のようにDDOS RSのリストアップされたもの
は、PublicなIRCサーバではなく、botnet専用と思われるサーバを
リストされています。
このようなアドレスは、DDOS RSとpeeringしてFilterを実施している
ISP経由の通信がBlackholing等されている可能性があります。
#誰がpeeringを行っているとか、Bloackholingしているかは、分かり
ません…。
そのため、このような依頼の中を確認頂いた時に、各ISPの公式のサー
バであったり、顧客の公式なサーバが入っている場合には、DDOS RSの
リストから速やかに削除してもらう必要がありますので、メールに返信
して下さい。nsp-secのメンバがCymruに連絡して削除の依頼を行います。
よろしくお願い致します。_o_
On Wed, 26 Jan 2005 00:19:35 +0900
Taka Mizuguchi <taka @ ntt.net> wrote:
> nsp-sec-jp各位、
>
> DDoS RS(注1:参照)の新規追加の連絡が来ました。
> 転送しますので、以下をご参照下さい。
>
> JPNICアサインASNとしては、3台追加されることになりました。
>
>
> 注1:DDoS-Route Server
> Team Cymruの非公式プロジェクトの一つで、nsp-secコミュニティ向けに
> botnetコントローラのサイトを独自に調査して公開している。
> DDoS-RSにより知り得た情報等は、NSP-SEC-JP ML外秘としてください。
> 該当サイトへの警告の際は、ソースの取り扱いにはご注意下さい。
>
> 詳細は、以下のページ参照。
> http://www.cymru.com/nsp-sec/DDoS-RS/index.html.jis
> account及びpasswordはnsp-security-jp mailing list管理用
> のlogin(登録メールアドレス)とpasswordをご利用ください。
>
> 例: account taka @ ntt.net
> password xxxxxxx
>
> ご不明な方は以下のページにて変更が出来ます。
> <http://puck.nether.net/mailman/listinfo/nsp-security-jp/>
>
>
> Forwarded by Taka Mizuguchi <taka @ ntt.net>
> -----
> 次のIP prefixがこれから一週間DDoS RSに掲載されます。
> これらは、botnetの一部と思われ、関係するポート番号に継続して応答して
> いることが確認されました。
>
> 詳細は、履歴をご覧下さい。また、何か質問があればご連絡下さい。
>
> 注:
> Peer_ASNsはupstreamを表します。
>
>
> Forwarded by Taka Mizuguchi <taka @ ntt.net>
> ----------- nsp-security Confidential --------
>
> Hi Team,
>
> The following IPs have been added to the DDOS RS. They have been flagged
> as part of a botnet migration and confirmed as responding on the
> corresponding ports. Please see the archives for further details, or
> contact us with any questions.
>
> Contacted dyndns and everydns regarding their domains.
>
> ##### Info
> IP DNS RRs
> 220.211.33.212 blue32.mtf8.biz TCP 5555
> 202.232.35.164 blue.mtf8.us TCP 5555
> 60.37.178.248 ausirc.hn.org TCP 6667
>
>
> ##### Nameservers
> ns1.everydns.net. blue.mtf8.us
> ns1.everydns.net. blue32.mtf8.biz
> ns3.everydns.net. blue.mtf8.us
> ns3.everydns.net. blue32.mtf8.biz
> ns4.everydns.net. blue.mtf8.us
> ns4.everydns.net. blue32.mtf8.biz
> ns2.everydns.net. blue.mtf8.us
> ns2.everydns.net. blue32.mtf8.biz
> dns2.mxns.net. ausirc.hn.org
> dns1.mxns.net. ausirc.hn.org
>
> ##### ASNs
> 2497 | 202.232.35.164 | JPNIC-ASBLOCK-AP JPNIC
> 2527 | 220.211.33.212 | JPNIC-ASBLOCK-AP JPNIC
> 4713 | 60.37.178.248 | OCN NTT Communications Corpora
>
> ##### Peer_ASNs
> 42 | 202.232.35.164 | WOODYN WoodyNet
> 174 | 202.232.35.164 | COGENT Cogent/PSI
> 701 | 202.232.35.164 | UU UUNET Technologies, Inc.
> 1239 | 202.232.35.164 | SPRN Sprint
> 2497 | 220.211.33.212 | JPNIC-ASBLOCK-AP JPNIC
> 2516 | 220.211.33.212 | JPNIC-ASBLOCK-AP JPNIC
> 2914 | 202.232.35.164 | VRIO Verio, Inc.
> 2914 | 220.211.33.212 | VRIO Verio, Inc.
> 2914 | 60.37.178.248 | VRIO Verio, Inc.
> 3257 | 202.232.35.164 | TISCALI-BACKBONE Tiscali Intl
> 3549 | 202.232.35.164 | GBLX Global Crossing Ltd.
> 6079 | 202.232.35.164 | RCN RCN Corporation
> 7018 | 202.232.35.164 | ATTW AT&T WorldNet Services
> 7132 | 202.232.35.164 | SIS-80 SBC Internet Services
> 7473 | 202.232.35.164 | SINGTEL-AS-AP Singapore Teleco
> 7473 | 220.211.33.212 | SINGTEL-AS-AP Singapore Teleco
> 10026 | 220.211.33.212 | ANC Asia Netcom Corporation
>
>
> -----
> Taka Mizuguchi
> taka @ ntt.net
>
-----
Taka Mizuguchi
taka @ ntt.net
nsp-security-jp メーリングリストの案内