福岡大学のNTPサーバーに1.1.1.1からNTPリクエストパケットが飛んで来ている話
そういえば、1.1.1.1の歴史みたいな話をこのまえのJPOPMで少しだけ話をしました。 jpopf.net/JPOPM34Program… pic.twitter.com/MH1J74TL9y
2018-07-06 09:39:25さらに調べてみると、1.0.0.1や8.8.8.8、8.8.4.4からのリクエストは少なくともこの24時間は観測されてないです。こりゃ前述したCaptive Portal説でほぼ間違いないなwwwww
2018-07-06 14:32:361.1.1.1を運用しているCloudflareの中の人のtweet
hi @tanyorg . I am operator of #1dot1dot1dot1 . I can confirm that we do not send you NTP queries. You said these come from AS4713 or AS2907 networks. This means these networks are not doing BCP38 properly and should be alerted of this! twitter.com/tanyorg/status…
2018-07-06 14:31:501.1.1.1から福岡大学へのNTPリクエスト、5分毎に170リクエストきていることがわかった。 でも、これは負荷分散されたサーバーの中のある1台へのアクセスなので、実際はこの4倍くらい来ている気がするw とりあえず、このパケットはサーバー側で捨てるわw pic.twitter.com/WCBB3awmNT
2018-07-05 16:07:51@tompaseka Thank you. I understand that it is not a packet from your network. I think that it is probably caused by Captive Portal installed at hotels and universities.
2018-07-06 14:55:21@tanyorg it's worrying that the packets can reach you. it means that BCP38 is not followed and the ISPs are not doing correct reverse path filtering. It means those networks can be the source of large scale ddos attack :(
2018-07-06 14:58:28@tompaseka I think so, too. I would like to negotiate AS4713 and AS2908 for BCP38.
2018-07-06 15:04:17