福岡大学のNTPサーバーに1.1.1.1からNTPリクエストパケットが飛んで来ている話

どういう理由なのかはわからないけど、福岡大学のNTPサーバーに1.1.1.1からNTPリクエストパケットが飛んで来てたことに気がついたのでそのまとめ
114

このパケットはCloudflareのpublic DNSサーバーからではありません。

おそらく、AS2907かAS4713に接続された、IPv4アドレスが1.1.1.1に設定されている『Captive Portal』(ホテルやカフェなどで無線LANを利用する際に強制的に管理者が指定したwebにアクセスさせる仕組み)からのもののようです。(まとめ作成者の推測)

内部ネットワークにIPv4アドレス1.1.1.1が設定された機器があり、インターネットと内部ネットワークの境界になる機器に適切な設定がされていない場合にこのようなことが起きます。

ISPがこういう事態に対処するために、BCP38と呼ばれる取り組みがあります。
https://www.nic.ad.jp/ja/basics/terms/ingress-filtering.html

関連するまとめ

Tany / たにぃ @tanyorg

1.1.1.1からNTPのrequestくるの怖いw

2018-07-05 10:02:02
Tany / たにぃ @tanyorg

8.8.8.8はそれほどでもない。

2018-07-05 10:12:06
Tany / たにぃ @tanyorg

1.1.1.1から福岡大学へのNTPリクエスト、5分毎に170リクエストきていることがわかった。 でも、これは負荷分散されたサーバーの中のある1台へのアクセスなので、実際はこの4倍くらい来ている気がするw とりあえず、このパケットはサーバー側で捨てるわw pic.twitter.com/WCBB3awmNT

2018-07-05 16:07:51
拡大
Yasuhiro Morishita @OrangeMorishita

中の人に言えば、収まったりしないんですかね。。 twitter.com/tanyorg/status…

2018-07-05 16:18:07
Tany / たにぃ @tanyorg

いまどきのISPはちゃんと経路フィルタをしてるだろうから、AS2907かAS4713の中のユーザー側から出てるパケットだろうなぁ。

2018-07-05 16:28:22
Tany / たにぃ @tanyorg

@OrangeMorishita AS2907とAS4713側でフィルタを適用する場所が難しいですよねー まぁ、数は少ないですし、こちらで捨ててるので問題ないすw

2018-07-05 16:36:21
Tany / たにぃ @tanyorg

このリクエストパケット、正体が全くわからないんだけど、なんとなくホテルインターネットのweb認証的な何かではないかと想像を膨らませるなう。

2018-07-05 16:18:18
Yasuhiro Morishita @OrangeMorishita

そっか、すげーありうる・・・。つまり「Cloudflareに言っても何の解決にもならない」わけか。 twitter.com/tanyorg/status…

2018-07-05 16:46:49
Yasuhiro Morishita @OrangeMorishita

NTPはUDPっていうぐらいで、BCP38してなきゃ、こういうのは外に出ていくわけで、それが無視できないぐらいの量になると。。。 twitter.com/tanyorg/status…

2018-07-05 16:48:51
Tany / たにぃ @tanyorg

あー、だんだんわかってきた。1.1.1.1がsourceになってるから、時刻同期できずに5分に一回retryしてるのか。こりゃ ntpdate的なものだなぁ。

2018-07-05 16:51:36
Tany / たにぃ @tanyorg

おっと、大学でも1.1.1.1を無線LANの認証画面で使ってるところがあるなぁ...

2018-07-05 17:37:27
Yasuhiro Morishita @OrangeMorishita

@tanyorg かなり面白いので、どっかのカンファレンスとかJANOGとかで、発表されるとよいのではないでしょうか。BCP38を奨める材料にもなるでしょうし。

2018-07-05 16:50:11
Tany / たにぃ @tanyorg

@OrangeMorishita はい。そう思ってます。(^^) 実はこれ、今朝気がついたんですよね。1.1.1.1宛に軽くDoSってた気がします。ごめんなさい。(^^;

2018-07-05 16:58:16
Yasuhiro Morishita @OrangeMorishita

@tanyorg 1.1.1.1へのリフレクター攻撃ですね。。

2018-07-05 17:01:23
Tany / たにぃ @tanyorg

@OrangeMorishita はい... しかも、攻撃元はおそらく悪意がないのが、さらに話がめんどくさいです。

2018-07-05 17:07:26
Yasuhiro Morishita @OrangeMorishita

@tanyorg はい、そのとおりですね。。。(この会話、誰かトゥギャってほしいな、と独り言を言ってみる)

2018-07-05 17:14:27
Tany / たにぃ @tanyorg

@OrangeMorishita を!そうですね! あとでやっておきまーす!

2018-07-05 17:46:18
ゆき @flano_yuki

@tanyorg 興味深いですね。Chromeも1.1.1.1をHSTS preload設定したら captive portalなどで使われてて問題になってたみたいですね chromium.googlesource.com/chromium/src/+…

2018-07-05 18:32:15
Yasuhiro Morishita @OrangeMorishita

@flano_yuki @tanyorg 1.1.1.1のport 443に話しかけるとこんなことを言ってくるようで、最近泊まったマレーシアのホテルで微妙なことが起きたのを覚えています。// Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

2018-07-05 18:36:16
Yoshinobu Matsuzaki @maz_zzz

1.1.1.1がHSTSを有効にしてるのよ。今時のブラウザでこのページを開いた人は次回以降1.1.1.1にアクセスする際は自動的にHTTPSでアクセスするよね。すると内部で勝手にこのIPアドレスを使っているポータル(大抵HTTPのみ)にアクセスできなくなって阿鼻叫喚って話を聞いたよ pic.twitter.com/R4hbCl85xh

2018-07-06 15:22:49
拡大
Tany / たにぃ @tanyorg

@flano_yuki そんなことが!情報ありがとうございます! 1.1.1.1って、いろんな意味で闇が深いですね。(^^;

2018-07-05 18:43:17
Tany / たにぃ @tanyorg

ググるといろいろ出てくるんだけど、機器のIPv4アドレスに1.1.1.1を使うことや工場出荷時のIPv4アドレスを1.1.1.1にすること、設定例で安易に1.1.1.1を使うことは、もう止めるべき。

2018-07-05 18:49:16