- 2010-04-16 (金) 9:22
- 記事
IANAのIPv4プールから1.0.0.0/8が割り当てられた時にも話題になったが、とにかく1.0.0.0とか1.2.3.4とか、マニュアルに適当に書いたりデフォルト値にする人達がいる。そういう人達にはRFC(今ならRFC3330)を読めといいたいが、事実そういうトラフィックは出てしまっているし、たまに経路情報やDNS情報としても出ているらしい。
そして、APNICが2010/2/22〜2010/3/1の間だけ経路情報を流してみて調査した結果がこちら。本来ならばほとんど何も出ないはず。
ところが、蓋をあけてみると1.0.0.0/8全体で平均160Mbpsのトラフィックがあり、バーストトラフィクとして1〜30秒間で200Mbpsとか300Mbpsとか、あげくの果てには3秒間で860Mbpsとか10秒間で750Mbpsとか。かなりのトラフィックがあったようだ。
(元)上司のA氏はDDoSの偽装IPのリプライが戻ってきているんじゃないかと分析していたが、パケットの90%弱がUDPパケットだし、バースト部分についてはその可能性がかなり高いと思う。ただ、それを除いても定常的に一定の数値が出ているし、平均160MbpsのすべてがDDoSだとも思いにくい。
ちなみに、細かくトラフィックを見ていると、多かったのは 1.1.1.0/24 (平均78Mbps,ピーク352Mbps)、1.4.0.0/24(平均12Mbps,ピーク44Mbps)、1.2.3.0/24(平均11Mbps, ピーク127Mbps)、1.0.0.0/24(平均7Mbps,ピーク30Mbps)、1.10.10.0/24(平均3Mbps, ピーク8Mbps)といったところ。
ピークが激しいのはDDoS分が含まれるとしても、1.1.1.1 とかが多そうな 1.1.1.0/24 や、1.2.3.4 が多そうな 1.2.3.0/24 はあきらかに設定で流れてきていそうだ。1.4.0.0/24 というのはピークが低い割に流れてきているんだけど、これも何か有名な機器で設定されてしまったとかあるんだろうか。
いずれにせよ、このエリアはゴミトラフィックが流れてきやすいということで。debogonも結構かかったみたいだし、割り当てを受ける方も覚悟が必要ですね。
関連記事:
