パスワードを忘れた? アカウント作成
13640196 story
インターネット

福岡大学のNTPサーバーに1.1.1.1からNTPリクエストパケットが飛んでいる 30

ストーリー by hylom
そんな機器があるのか 部門より

福岡大学の公開NTPサーバーについてはたびたび話題となっているが(過去記事:福岡大学NTPサーバの混雑解消にご協力をTP-Linkの無線LANルーターなどで高頻度でNTPサーバーにリクエストを投げる設定が発覚し問題に福岡大学、公開NTPサーバーを停止する方針を決定)、最近「1.1.1.1」というIPアドレスからこのNTPサーバーに定期的にリクエストが来ているという(Togetterまとめ)。

「1.1.1.1」は現在ではAPNICとCloudflareが共同で立ち上げたパブリックDNSサービスで使われているが(過去記事)、今回のトラブルはこのサービスが原因では無いようだ。内部ネットワークなどで「1.1.1.1」というIPアドレスを設定している機器があり、不適切な設定などが原因でその機器に関連するパケットがネットワーク外に出て問題を起こしていると見られている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by hakikuma (47737) on 2018年07月07日 14時26分 (#3438935)
    1.1.1.1だけに
    イチイチうるせーなぁって感じですかね。
  • by hinatan (24342) on 2018年07月06日 17時56分 (#3438545)

    あのぉ、1.1.1.1 は、わたしが使っている IP アドレスですので勝手に使わないでください。
    https://srad.jp/comment/3386741 [srad.jp]

    と、何か関係が・・。

    • by Anonymous Coward

      >1.1.1.1は、Cisco Wireless LAN Controllerとバッティングしてるらしい。

    • by Anonymous Coward

      こんなに簡単に詐称できたら、犯罪捜査みたいな社会インフラが破壊されてしまうんじゃないの?NTPの仕様がおかしいのか。

      • Re:関連コメント (スコア:2, 参考になる)

        by Anonymous Coward on 2018年07月06日 21時43分 (#3438664)

        NTPじゃなくてUDPの仕様でございます

        親コメント
      • by Ryo.F (3896) on 2018年07月06日 22時53分 (#3438688) 日記

        送信元IPアドレスの詐称は、可能。
        まずは、この辺り [wikipedia.org]を読んでみたら?
        それができたら、IPスプーフィング [wikipedia.org]を読んでみると良い。

        親コメント
        • でも、ネットワークの境界で、内側から来たパケットの送信元IPアドレスが、内側のネットワークとしてありえない場合は、通さないようにする [nic.ad.jp]というのは、ごく一般的な運用だと思います。

          #20年ほど前の時点で、少なくともOCNはそういう運用してました。
          #ネットワーク回線を二重化した時に発見。別回線の方で割り当てられたIPアドレスを送信元としたパケットはOCN回線からはインターネットに出て行かなかった。
          #別回線(プロバイダは失念)の方はOKだったし、OCNな契約2回線(OCNエコノミーとフレッツ)もOKだった

          当時はちょっと「OCNは制限キツい運用してるなー」って思いましたが、その後の「不正なIPアドレスを使った攻撃」の流行っぷりを見ると、もはやそういうフィルタリングは常識レベルであり、今時やってなかったら「DoSに荷担してる」って言われても反論できないレベルじゃないかと思いますね。

          親コメント
          • by Ryo.F (3896) on 2018年07月07日 11時36分 (#3438871) 日記

            その通り。
            普通のプロバイダだとやってるんじゃないかな。

            プロバイダレベルでなくても、最近はいろんなところでセッションを管理してるので、上り下りの経路が違ったりすると通信できなくなるよ。

            親コメント
            • by Anonymous Coward

              このあたりの設定漏れをあぶり出す効果もあったってわけだ。
              表向きの名目とは違うところでばっか成果出してんなコレ。

        • by Anonymous Coward

          一方的な詐称は可能だが、詐称したIPでの通信は不可能

          • by Ryo.F (3896) on 2018年07月07日 11時30分 (#3438866) 日記

            その通り。
            だから、誰も福岡大学NTPサーバと、1.1.1.1が正常な通信を行っている、とは言ってないよね。
            そういうわけで、送信元IPアドレスは、詐称可能。
            ただ、詐称して正常な通信ができるか、っていうと、普通はできない。
            そういうことね。

            親コメント
          • by Anonymous Coward

            正確にはUDPは可能でしょ。

            NTPなら送受信があるけど、SyslogやSNMP Trapみたいなのは
            送信のみで成立しちゃうから、安易に外部からのSyslog受け付けてるサーバとか危ないよねって・・・

            • by Anonymous Coward

              応答が見えなくてもシーケンス番号がわかれば憶測で応答を返せるケースも有ってそういうのではTCPも出来るし、
              経路上でスニッフィングできれば…いやそれだと経路上から流し込めばいいだけか。

              通信しなくても(DMS Amp等)DDoS踏み台ならそれでいけるし、
              TCPに対するSYN Flood攻撃でも攻撃元の隠蔽に使ったり。

              詐称パケットがネット上に流れるだけで十分リスクは有るのです。

      • by Anonymous Coward

        はがきも封筒も郵便は重要な社会インフラだけど、差出人はデタラメでも届くのは届くよ。返ってはこないけど。投函ポストも別に自分の街のものを使わなきゃいけない訳じゃないし。

      • by Anonymous Coward

        NICに8.8.8.8を付与すれば、君もGoogleになれるよ!(犯罪教唆)

        • by Anonymous Coward

          で、「ここに8.8.8.8があるぞ!」って、どうやってみんなに伝えるの?とマジレス。
          おかしな自動設定が進みすぎたLAN内なら間違えてくれる可能性あり?

          古い大きい組織が、内部ネットワークに「取得してもいないグローバルIPアドレス」を使ってた話がありましたっけ。
          外部と通信しないなら、仕様上は何を使おうと自由なんだけど、「やっぱりネットに繋げないと」となれば、当然再設定にどえらいコストが発生します。

          • by Anonymous Coward

            1990年代でRFC 1597も無かったころには、外部との接続がないことをいいことに好き勝手なことをやっていた祖式はいくらでもあったからなあ。

            • by Anonymous Coward

              情報どうもです。くだんのRFCは1994年に出たんですね。
              ちなみに外部接続との件は21世紀になってから聞いた気がします。

          • by Anonymous Coward

            今回の場合はみんなに伝えてないよ。
            そう自称するパケットがインターネット上に流れ出てきただけで、そいつに返答しようとしてもCloudflareのほうに流れ込む。
            DNS Amp攻撃とかと同じような構図だね。普通はありえない送信元だと通さないんだけど、その設定に漏れがあるとこうなる。

            CloudflareのDNSを使えるように設定したつもりで詐称も可能な状態になっちゃったネットワーク内に居た、
            プライベートのつもりで1.1.1.1を名乗ってたノードからの通信が意図せず偽装状態になった、と。

            結構いっぱいあるんだろうな、そういうフィルタの穴は……

      • by Anonymous Coward

        IPの仕様。送り元の詐称が不可能な仕様を盛り込もうとするととんでもないコストがかかる一方、送り元を詐称できても大した悪さはできないから、そこは諦められてる。

        そもそもインターネットは、どこの馬の骨とも分からん奴らからのパケットがいくらでも飛んでくる、という前提なので、
        仮に、送り元が詐称できないインターネットを作ったとしても、あんまり意味が無い。

        ・今の普通のインターネット
        受け取ったパケットをどこの誰が送ってきたのか分からない。
        送り元が詐称されてるかもしれないのでホントに分からない。

        ・詐称不能なインターネット
        受け取ったパケットをどこの誰が送ってきた

      • by Anonymous Coward

        詐称できることより、間に挟まったルータがみんな「送信元を間違えた、インチキなIPパケットを捨て」てくれないことが問題な気がする。
        間違いはあることなんだし、さりとて到達先がぜんぶ自分で判別しろ、というのも酷な話だから。

        ついでに質問。
        ASから漏れたら、真偽は本質的に判定不能、という理解であってる?

  • by Anonymous Coward on 2018年07月07日 2時05分 (#3438728)

    福岡大学と言えば、
    役人ACとしては、国家公務員採用I種試験の一次試験の会場。
    3年生の時に、有志の勉強会に誘われて受け行き、
    4年生の時は研究室の仲間と受けに行き、
    以後は「提示延期」を繰り返し、独りで受けに行った九州の田舎の大学生の想い出。

  • by Anonymous Coward on 2018年07月07日 8時22分 (#3438800)

    実際に有効な値を使うなっていつも言ってるじゃないですかー!

    ほんと軽い気持ちで、test.comとかにデータ送っちゃう人多過ぎ。
    悪意ある人がドメイン取ってデータ収集に活用してたらどうすんのかと。

    • by Anonymous Coward

      1.1.1.1って以前は割り当てられないはずのアドレスじゃなかったっけ?

      • by Anonymous Coward
        割り当てられないアドレスと無効なアドレスは意味が違う。
      • by Anonymous Coward

        2000年~2010年ぐらいの間でIPアドレスの枯渇問題で、かつて予約されていたIPアドレスの予約が解除されて割り当てられたものは多い。
        14.0.0.0/8,24.0.0.0/8,39.0.0.0/8,128.0.0.0/16,191.255.0.0/16なんかもそうだしね。
        最近は、正式な許可もなく勝手に使われているIPアドレスなんかも、利用者を摘発してクレームをつけるとともに、正規の割り当てが加速している。
        そうでもしないと、割り当てることができないという現実がある。

    • by Anonymous Coward

      example.com
      example.net
      example.org
      *.example
      *.invalid
      *.test
      *.テスト
      *.localhost
      localhost
      127.0.0.0/8
      192.0.2.0/24
      198.51.100.0/24
      203.0.113.0/24

      このあたりならtest.comみたいなのよりかは安全ではあるが…
      IPアドレスブロックは127.0.0.0/8以外はそのうち予約が解除になっちゃう可能性もあるかな?

      • example.co.jp
        example.ne.jp
        example.jp
        example0.jp 〜 example9.jp
        も例示に使えるとありますね。 https://jprs.jp/faq/use/ [jprs.jp]
        でもドメイン名の例示に使えるのと、そのドメイン名を実際に指定して通信が発生しても「安全」なのとは、ちょっと違うような…

        親コメント
        • by Anonymous Coward

          test.comみたいなのよりかは安全、なだけですね。
          TLDの奴は名前解決されない保証があるのか無いのかよく分からん…

          ローカルホスト系のやつしか安全なのはない感じなんだろうか?
          (ローカルホストでも絶対安全だとは言ってない)

typodupeerror

普通のやつらの下を行け -- バッドノウハウ専門家

読み込み中...