【新機能】作り忘れたまとめはありませんか?31日前まで期間指定してまとめが作れる高度な検索ができました。有料APIだからツイートの漏れはありません!

福岡大学のNTPサーバーに1.1.1.1からNTPリクエストパケットが飛んで来ている話

どういう理由なのかはわからないけど、福岡大学のNTPサーバーに1.1.1.1からNTPリクエストパケットが飛んで来てたことに気がついたのでそのまとめ
BCP38 福岡大学 NTP インターネット Cloudflare 1.1.1.1
45043view 18コメント
111
ログインして広告を非表示にする

このパケットはCloudflareのpublic DNSサーバーからではありません。

おそらく、AS2907かAS4713に接続された、IPv4アドレスが1.1.1.1に設定されている『Captive Portal』(ホテルやカフェなどで無線LANを利用する際に強制的に管理者が指定したwebにアクセスさせる仕組み)からのもののようです。(まとめ作成者の推測)

内部ネットワークにIPv4アドレス1.1.1.1が設定された機器があり、インターネットと内部ネットワークの境界になる機器に適切な設定がされていない場合にこのようなことが起きます。

ISPがこういう事態に対処するために、BCP38と呼ばれる取り組みがあります。
https://www.nic.ad.jp/ja/basics/terms/ingress-filtering.html

関連するまとめ

たにぃ @tanyorg 2018-07-05 10:02:02
1.1.1.1からNTPのrequestくるの怖いw
たにぃ @tanyorg 2018-07-05 10:12:06
8.8.8.8はそれほどでもない。
たにぃ @tanyorg 2018-07-05 16:07:51
1.1.1.1から福岡大学へのNTPリクエスト、5分毎に170リクエストきていることがわかった。 でも、これは負荷分散されたサーバーの中のある1台へのアクセスなので、実際はこの4倍くらい来ている気がするw とりあえず、このパケットはサーバー側で捨てるわw pic.twitter.com/WCBB3awmNT
 拡大
Yasuhiro Morishita @OrangeMorishita 2018-07-05 16:18:07
中の人に言えば、収まったりしないんですかね。。 twitter.com/tanyorg/status…
たにぃ @tanyorg 2018-07-05 16:28:22
いまどきのISPはちゃんと経路フィルタをしてるだろうから、AS2907かAS4713の中のユーザー側から出てるパケットだろうなぁ。
たにぃ @tanyorg 2018-07-05 16:36:21
@OrangeMorishita AS2907とAS4713側でフィルタを適用する場所が難しいですよねー まぁ、数は少ないですし、こちらで捨ててるので問題ないすw
たにぃ @tanyorg 2018-07-05 16:18:18
このリクエストパケット、正体が全くわからないんだけど、なんとなくホテルインターネットのweb認証的な何かではないかと想像を膨らませるなう。
Yasuhiro Morishita @OrangeMorishita 2018-07-05 16:46:49
そっか、すげーありうる・・・。つまり「Cloudflareに言っても何の解決にもならない」わけか。 twitter.com/tanyorg/status…
Yasuhiro Morishita @OrangeMorishita 2018-07-05 16:48:51
NTPはUDPっていうぐらいで、BCP38してなきゃ、こういうのは外に出ていくわけで、それが無視できないぐらいの量になると。。。 twitter.com/tanyorg/status…
たにぃ @tanyorg 2018-07-05 16:51:36
あー、だんだんわかってきた。1.1.1.1がsourceになってるから、時刻同期できずに5分に一回retryしてるのか。こりゃ ntpdate的なものだなぁ。
たにぃ @tanyorg 2018-07-05 17:37:27
おっと、大学でも1.1.1.1を無線LANの認証画面で使ってるところがあるなぁ...
Yasuhiro Morishita @OrangeMorishita 2018-07-05 16:50:11
@tanyorg かなり面白いので、どっかのカンファレンスとかJANOGとかで、発表されるとよいのではないでしょうか。BCP38を奨める材料にもなるでしょうし。
たにぃ @tanyorg 2018-07-05 16:58:16
@OrangeMorishita はい。そう思ってます。(^^) 実はこれ、今朝気がついたんですよね。1.1.1.1宛に軽くDoSってた気がします。ごめんなさい。(^^;
Yasuhiro Morishita @OrangeMorishita 2018-07-05 17:01:23
@tanyorg 1.1.1.1へのリフレクター攻撃ですね。。
たにぃ @tanyorg 2018-07-05 17:07:26
@OrangeMorishita はい... しかも、攻撃元はおそらく悪意がないのが、さらに話がめんどくさいです。
Yasuhiro Morishita @OrangeMorishita 2018-07-05 17:14:27
@tanyorg はい、そのとおりですね。。。(この会話、誰かトゥギャってほしいな、と独り言を言ってみる)
たにぃ @tanyorg 2018-07-05 17:46:18
@OrangeMorishita を!そうですね! あとでやっておきまーす!
ゆき @flano_yuki 2018-07-05 18:32:15
@tanyorg 興味深いですね。Chromeも1.1.1.1をHSTS preload設定したら captive portalなどで使われてて問題になってたみたいですね chromium.googlesource.com/chromium/src/+…
Yasuhiro Morishita @OrangeMorishita 2018-07-05 18:36:16
@flano_yuki @tanyorg 1.1.1.1のport 443に話しかけるとこんなことを言ってくるようで、最近泊まったマレーシアのホテルで微妙なことが起きたのを覚えています。// Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
Yoshinobu Matsuzaki @maz_zzz 2018-07-06 15:22:49
1.1.1.1がHSTSを有効にしてるのよ。今時のブラウザでこのページを開いた人は次回以降1.1.1.1にアクセスする際は自動的にHTTPSでアクセスするよね。すると内部で勝手にこのIPアドレスを使っているポータル(大抵HTTPのみ)にアクセスできなくなって阿鼻叫喚って話を聞いたよ pic.twitter.com/R4hbCl85xh
 拡大
たにぃ @tanyorg 2018-07-05 18:43:17
@flano_yuki そんなことが!情報ありがとうございます! 1.1.1.1って、いろんな意味で闇が深いですね。(^^;
たにぃ @tanyorg 2018-07-05 18:49:16
ググるといろいろ出てくるんだけど、機器のIPv4アドレスに1.1.1.1を使うことや工場出荷時のIPv4アドレスを1.1.1.1にすること、設定例で安易に1.1.1.1を使うことは、もう止めるべき。
残りを読む(7)

コメント

TANABE Toshiharu @itinoe 2018-07-06 00:08:15
水色のスイッチはデフォルトの認証前VLANが1.1.1.1を使ってたやうな気がした。 中の人の降臨を期待したいとこ
すいか @pear00234 2018-07-06 00:34:22
「機器のIPv4アドレスに1.1.1.1を使うことや工場出荷時のIPv4アドレスを1.1.1.1にすること、設定例で安易に1.1.1.1を使うこと」えー、それってそんなに多くあるものなのかなぁ。今どき一般家庭で使うようなものでも基本的に192.168 とか使うやん、デフォルトで。
@cmplstofB 2018-07-06 02:53:57
この間,「1.1.1.1は安全で高速なDNSサーバーです」と謳う記事を読んで,ほとんど盲目的に1.1.1.1をDNSサーバーに設定したんですけど,こういう場合はどうなんですかね。無知なりに調べてよさそうだと思ったんです。
Bernoulli【浮上準備中】 @civilmarvelous 2018-07-06 06:59:04
まだまだ1.1.1.1デフォルト出荷機器は存在してるからねぇ。こっちで変更して使うこと前提の機器。
SAKURA87@多摩丙丁督 @Sakura87_net 2018-07-06 07:58:08
ネットワーク機器を人に迷惑をかけないように使うって案外難しいよね。
羽倉田 @wakurata 2018-07-06 08:43:04
そこそこの値段の機器を中古で使う人達は要注意ですね
Tany / たにぃ @tanyorg 2018-07-06 09:51:26
cmplstofB 自宅で使う分には基本的に問題ないと思いますが、ノートパソコンのような持ち運ぶ機器に設定しているとハマる可能性がありますね。
@cmplstofB 2018-07-06 10:36:09
tanyorg 迅速な回答ありがとうございます。実はラップトップでそのような設定をしておりましたので、取り急ぎ設定を元の(DHCPが提供する)DNSサーバーを使うように戻しました。後学の為にお訊きしたいのですが、ラップトップでDHSを1.1.1.1に設定すると危ないのは、屋外のフリーWi-Fiの設定が疎かになっている可能性があるからという理解でよろしいでしょうか。何度も質問してすいません……。
名前はまだない @kota2muri 2018-07-06 12:27:08
cmplstofB CaptivePortalにリダイレクトされるような環境だと認証画面にいけなかったり、ネットワーク内の機器にアクセスできなかったり。外の人にあなたの家の中の事聞くのと同じ事になるので
kazoonx(かずーえぬえっくす) @kazoonrx 2018-07-06 18:58:40
1.1.1.1からのリクエスト以前に、福岡大学のNTPサーバーを指定する管理者が今でも居ることに驚く。
すいか @pear00234 2018-07-06 20:40:48
tanyorg ciscoって、ネットワーク機器の超専門的なところですよね?今どき一般家庭用で「ギガが減らないようにワイファイ入れよう」とか言ってる人が使うようなレベルの機器ですらデフォルトはプライベートアドレス使わない機器などないぐらいなのに、CISCOがそんな初期設定ってのが驚くんですが。
vandalise @vandalise7 2018-07-06 21:43:42
Cloud flareのサービス安全、高速というが、日本から国外のリゾルバに問い合わせると速くなるか疑問だし、国内のISPでdnssec対応しないところあるのかな?
Tany / たにぃ @tanyorg 2018-07-07 06:45:18
pear00234 それが決まった当時は1.0.0.0/24がどこにも割当されていなかったとか、何はともかく分かりやすいアドレスが良かったとか、そんなところですかね。 あと、1.1.1.1を設定していても、自ネットワークから出て行くところで、自ネットワークのアドレスだけがソースアドレスとして出ていけるようにフィルタすれば良いのですが、それがされてないのが問題だと思います。 固定のIPv4アドレスを使っている人は要注意です。
Tany / たにぃ @tanyorg 2018-07-07 06:54:06
vandalise7 わたしの環境だと今使っているISPと直結されていますね。RTTを見るとサーバーは関東にありそうです。 詳しくところは分かりませんが、1.1.1.1は世界中の複数の場所に設置されていて、1.1.1.0/24がBGP anycastされていることは簡単に想像できます。 DNSSECは使っていない(^^;のでよくわかりませんw
kartis56 @kartis56 2018-07-07 15:04:45
これ、福岡大の内部機器の話と思いこんでましたが、外部のネットワークのローカル機器設定の話なんですね。しかも海外がらみとは… 一般の人がやらかす可能性あるんでしょうか?
ICHIKAWA Kento(おにぎり) @kentosho 2018-07-07 18:45:32
AS2907は国立情報学研究所でAS4713はNTTコミュニケーションズね。一応国内問題か
Tany / たにぃ @tanyorg 2018-07-07 19:05:37
kartis56 ごく普通に家庭で利用されてる方の場合はこういう風にはなりにくいと思います。
ログインして広告を非表示にする
ログインして広告を非表示にする