DNSへのDDoS攻撃(DNS amp)

久しぶりに食らいました。今回はDNSの再帰クエリ結果の応答先がバラバラ(合計322 IPアドレス)なので
うちのDNS自体に対してDNS ampを仕掛けたっぽいです。以下のようなクエリログが大量に発生しました。

client 61.152.171.21#80: view external: query: isc.org IN ANY +ED (192.168.XX.XX)

61.152.171.21から192.168.XX.XX(うちのDNS)に対して"isc.org"のANYレコードを再帰クエリ

■攻撃元はどこか?
普通なら、上記ログで言うと”61.152.171.21″が攻撃元なんでしょうけど、恐らくパケットを偽装されてるんだろうなぁ。
もしくはアホがウイルス感染してbotにされてるか。どっちにしろ被害者なんですけど。
この応答先が一致しているなら、うちのDNSを踏み台にクエリ応答送信先の受信パケットを増大させようとしたと推測出来るんですが
不愉快なことに、今回はバラバラなのでうちのDNS(うちのDNSの送信パケット増大が目的)が対象のようです。

■何故、isc.orgの再帰クエリなのか?
isc.orgをクエリされる理由としては、送信するクエリ結果のパケットサイズが数多あるドメインの中でも
大きめのパケットサイズ(内容)になるからです。

# dig @192.168.XX.XX amazon.com any|grep SIZE
;; MSG SIZE  rcvd: 870

# dig @192.168.XX.XX isc.org any|grep SIZE
;; MSG SIZE  rcvd: 3102

つまり、攻撃者は小さい通信量(再帰クエリ要求)で相手により大きな通信(クエリ応答)を発生させることができます。

うちはこういったログを検知するとファイアーウォールのポートを閉塞しちゃうし、無駄に高性能なファイアーウォールなんで
これくらいの負荷はさばけるんですが、普通ならひとたまりもないんだろうなぁ。
なお、DNSクエリの応答先の殆どが中国なんで、本当の攻撃元も中国だと思います。

=========================================================================
・攻撃が続くようなら外部からの再帰クエリを止めますが、攻撃に使用されるドメインがよりによってisc.orgとか笑えます。
・表題を「みんな大好き!322人の力を一つにしてDDoS攻撃!イヤッホー」なんてしたらセンスないんだろうなぁ。
・アンチウイルスを怠ってbotになってんなら被害者ではなく加害者っしょ。

分散サービス拒否(DDoS)攻撃を仕掛けるDNS ampとは?
http://www.atmarkit.co.jp/fwin2k/win2ktips/781dnsamp/dnsamp.html

DNSアンプ
http://www.sophia-it.com/content/DNS%E3%82%A2%E3%83%B3%E3%83%97
>DNSアンプとは、DDoS(分散DoS攻撃)の一種で、DNSキャッシュサーバーの再帰的問合せ機能を悪用して、
>パケットを増幅(amplify)させ、大量のDNSパケットを生成して攻撃に利用する手法のことである。
>DNSアンプでは、DNSサーバーにサイズの大きいTXTレコードをキャッシュさせてから、ボットネットなどを利用して
>攻撃対象のサーバーのIPアドレスを詐称したDNS問合せを一斉送信し、キャッシュサーバーの応答を詐称された
>攻撃対象のサーバーに一斉に送信させることで、攻撃を仕掛ける。