中国のDNSサーバ情報を調べていくと、ある奇妙なバナー情報に行き着いた……。
さまざまな統計データを基に、ニュースなどでは語られないサイバーセキュリティの世界を探求していく本連載。前回は、インターネット上の3000万台程度のDNSサーバのバナー(DNSサーバにバージョン情報を問い合わせたときに返ってくるメッセージ)を調べた結果を紹介しました。今回からは予告通り、DNSに関する公開情報を基に、より掘り下げた話をします。
具体的には、インターネット大国の1つである中国を対象に、全土の統計情報から興味深い項目に着目し、データを絞り込みながら話を進めていく予定です。サイバーセキュリティ界隈(かいわい)で何かと話題に上ることの多い中国の状況を調べることで、何らかの発見を得ることが狙いです。
というわけで、まずは中国全土のDNSサーバの稼働状況を見てみましょう。
中国で稼働するDNSサーバの台数はどれくらいあるのでしょうか。実際に調べた結果が以下になります。なおここでは、筆者が以前研究活動の中で収集した全世界のDNSサーバ情報をデータセットとして、データの集計と管理にはMongoDBを使い、国名が中国(CN)であるサーバ数をカウントしています。
> db.countries.find({"country":"CN"}).count() 326513
公開されている全世界のDNSサーバのうち、観測できるもので32万台程度が中国にあるようです。なお同様に調べた結果イギリスにあるものが12万台程度、フランスにあるものが8万5000台前後、韓国にあるものが2700台程度でしたので、これはかなりの数だといえるでしょう(ちなみに、日本にあるDNSサーバは24万台程度でした)。
では次に、中国の都市ごとのDNSサーバ台数を整理してみます。
1 | Henan | 河南 | 99224 |
---|---|---|---|
2 | Fujian | 福建 | 82543 |
3 | Jilin | 吉林 | 30241 |
4 | Guangdong | 広東 | 23276 |
5 | Shanxi | 山西 | 20388 |
6 | Tianjin | 天津 | 16496 |
7 | Hubei | 湖北 | 14693 |
8 | Yunnan | 雲南 | 10103 |
9 | N/A | 4457 | |
10 | Beijing | 北京 | 3721 |
11 | Shandong | 山東 | 3058 |
12 | Shaanxi | 陝西 | 2963 |
13 | Gansu | 甘粛 | 2614 |
14 | Jiangsu | 江蘇 | 2388 |
15 | Zhejiang | 浙江 | 2084 |
16 | Shanghai | 上海 | 1808 |
17 | Sichuan | 四川 | 1318 |
18 | Hebei | 河北 | 1166 |
19 | Anhui | 安徽 | 843 |
20 | Liaoning | 遼寧 | 733 |
北京、上海のような主要都市のDNSサーバが意外と少ない印象を受けますが、これは省名と都市名が混在しているためだと思われます(省の方が規模が大きい)。それにしても数が多いですね。
前述の通り、フランスのDNSサーバが8万5000台前後、韓国にあるサーバが2700台程度ですから、河南(省)にあるサーバはフランス国内のDNSサーバよりも多く、北京(市)にあるサーバは韓国全土にあるサーバよりも多いことになります。中国のスケールの大きさを感じさせます。
さて、ここからはさらに「北京」に焦点を絞りたいと思います。というのも、Twitter上で北京はしばしば攻撃の発信源として話題になるからです。
下記はTwitterのpublic streamから攻撃元として公開されているIPアドレスを集計し、中国の都市に限定してランキングしたリストです。他都市と比べてDNSサーバはさほど多くない北京ですが、攻撃の発信源としては存在感を発揮しています。
1 | Beijing | 北京 | 212 |
---|---|---|---|
2 | Jiangsu | 江蘇 | 115 |
3 | Guangdong | 広東 | 57 |
4 | Hebei | 河北 | 40 |
5 | Fujian | 福建 | 25 |
6 | Zhejiang | 浙江 | 19 |
7 | Shaanxi | 陝西 | 17 |
8 | Shandong | 山東 | 12 |
9 | Henan | 河南 | 12 |
10 | Liaoning | 遼寧 | 10 |
11 | Shanghai | 上海 | 10 |
サンプル数がそこまで多くないのであまり確かなことはいえませんが、北京は大都市であるためか、多くの攻撃の発信源を擁しているようです。というわけでここからは、調査対象をさらに北京市内の会社やドメインに絞っていきたいと思います。
Copyright © ITmedia, Inc. All Rights Reserved.