福岡大学のNTPサーバーに1.1.1.1からNTPリクエストパケットが飛んで来ている話

Tany / たにぃ @tanyorg

そういえば、1.1.1.1の歴史みたいな話をこのまえのJPOPMで少しだけ話をしました。 jpopf.net/JPOPM34Program… pic.twitter.com/MH1J74TL9y

拡大

拡大

Tany / たにぃ @tanyorg

さらに調べてみると、1.0.0.1や8.8.8.8、8.8.4.4からのリクエストは少なくともこの24時間は観測されてないです。こりゃ前述したCaptive Portal説でほぼ間違いないなwwwww

Tom Paseka @tompaseka

hi @tanyorg . I am operator of #1dot1dot1dot1 . I can confirm that we do not send you NTP queries. You said these come from AS4713 or AS2907 networks. This means these networks are not doing BCP38 properly and should be alerted of this! twitter.com/tanyorg/status…

Tany / たにぃ @tanyorg

1.1.1.1から福岡大学へのNTPリクエスト、5分毎に170リクエストきていることがわかった。 でも、これは負荷分散されたサーバーの中のある1台へのアクセスなので、実際はこの4倍くらい来ている気がするw とりあえず、このパケットはサーバー側で捨てるわw pic.twitter.com/WCBB3awmNT

2018-07-05 16:07:51

Tany / たにぃ @tanyorg

@tompaseka Thank you. I understand that it is not a packet from your network. I think that it is probably caused by Captive Portal installed at hotels and universities.

Tom Paseka @tompaseka

@tanyorg it's worrying that the packets can reach you. it means that BCP38 is not followed and the ISPs are not doing correct reverse path filtering. It means those networks can be the source of large scale ddos attack :(

Tany / たにぃ @tanyorg

@tompaseka I think so, too. I would like to negotiate AS4713 and AS2908 for BCP38.