・水攻め
・リフレクター
でパンクします。
inboundのudp53をブロックした結果、大騒ぎになりました。

通信の秘密。
ぶろっきんが緊急避難？正当業務？なのか。
ガイドラインがある。
苦肉の策だっただろう。
「対策のやり方あったんじゃないか」

さーてこれからどうしていきましょうか。
緊急避難は、問題の対策ができたらやめるべき。
固定アドレスはガイドライン範囲外。
固定アドレスを売りにしていると大変。
ユーザ層の分離が大事。サーバ持っている人とそうでない人。
ブロックする原因トラフィックの事前予兆があったはず。
予兆が見えた時に頑張るべき。
正当業務でやりづらかったので緊急避難にしちゃったんじゃないか。
緊急避難は緊急避難。
正当業務化するためにガイドラインを作った

総務省どうおもっているんだろう。
やりたい？
固定やっちゃうとああなる。
IPv6は固定なの？
局舎リブートしない限りかわらない。
攻撃が止んだらやめるべき。
同じ種類の攻撃への対処が。
通信設備の正しい維持ができてない。ので総務省が怒る。

事務所で被害を受けた。
社内LANがつかえなくなって、googleに向けてくださいときた。
IP53B前にキャッシュサーバがヤられてた。（事前の予兆）
自分で自家用キャッシュは普通の人はやらない。
動的なIPはOK
固定は個別解放した。
同意のもとで開けたり閉じたりしているはず。
デフォで開けるのか、閉じるのかは議論の余地がある。

IP53B発動時もtcpは開いてた。
1400 -1500あったopen resolverは応答しなくなった。
ブロック解除の申請はドメイン名が必要らしい。
open resolverか否かのチェックがあった。
申請に1つしかドメイン書けない。
某社にあったDNS権威サーバに接続できない、他のISPのユーザが自分のISPに問い合わせをして窓口が対応で大変だった。
DNSSEC失敗した時と同じ。
某クラウドが閉めたら怒る。
無期限避難はできない。
オプトイン、オプトアウト、どっちがいいの？

open resolverチェックツールで調べて、ダメなIPだけ止められなかった？
難しい。フィルタの設定上限等の問題がある。
帯域制御装置とかそういうのは？
高い。

ISPはエンドユーザと連絡がつかないのが困る。
ISPは連絡がつくが、お客さんが対処できない。
全員に個別アナウンスすればいいじゃないか。
メールは見てない。
電話する努力はできる？
数％は連絡がつかない。電話番号が止まっている。
番号変わっても連絡しない。
日中には電話を取ってもらえない。
人がいない。

BtoCとBtoBがごっちゃだ。
固定があれなので、BtoBに絞ってもいいのでは？
DNSサーバ立ててるのはリテラシの高い方。
ブロードバンドルータ直らない。
言われたら公表する。
報告から公表まで2年半。
最新機種くらいは対応してほしいけど、やってない。
ブロードバンドルーターのDNSはforwarder。
ISPのキャッシュが大変なことになる。
フルリゾルバはほとんどの機器が持っていない。
家庭用ルータは外側からは受けないはできるだろう。。。
中は組み込みlinuxで、真面目に作るのは大変らしい。
スクラッチしているメーカーはない。
マイクロlinuxの上にwebとdnsを入れてファームに詰めて、売っている。
固めただけだから、細かいところを自前では作ってないんじゃないか。
上位ベンダーへ依頼して、改修待ちなのかもしれない。
年のオーダーで頑張るのがいいんじゃないか。

IP53Bは効き目がありすぎる。
合意があれば、なんでもいいはず。
暗黙の合意を破ったからつらい。
ユーザがどういうサービスだと思っているか。
ユーザとの審議の問題。
気がついてないところがある。
レジが53port使っている。
x-boxが53使っている。
かならず空いているはずのポート。とみなされたいた。
だから、使われる。

研究会あった。
第1次：何がおこったら、こういうことするよね。
第2次：電気通信事業者が何をすべきか。
固定はフル。動的は制限しよう。みたいな姿勢が総務省にみえる。
有料サービスに移そうというのはOK。
一昨年IWで話した。
CGNでv4のINBOUNDを全て止めるのはアリなんじゃないか。
コスト的にはどうなんでしょう？
モバイルでできているんだからできるんじゃないか。
v4はそれでいいとして、v6はどうする。
事実上固定と固定サービスはどうなの？
v6でinbound止めるのはどう？
macアドレスはベンダーコードで偏る。
EUIがつくからポートスキャンされる。
自分から送信するIPはbindするものを選べるけど、サーバポートのbindも個別指定しないと受けるのは受けちゃう。
固定っぽく見えるけど、固定サービスじゃないという立て付け。

準固定でもDNSサーバが立っているかもしれない。
固定じゃないなら最初から閉じて約款として定義しておこう。
約款変更でいけるはず。
個別同意か約款変更か。
個別同意とみなすものをクリアする必要がある。
勝手に約款変えられて、裁判で負けた。
何をもって周知か。
やっちゃえばいいじゃん。
やりたいの？
やりたい。
固定じゃなければ、やらなければいけないで良い。
某社2さん、なんで止めないんだろう。
去年の冬にやったんじゃない？
15年2月くらいがやばかった。
ヤられ続けているからbotいるんじゃないかと思っていた。
53はデゴイ。ここだけヤられてくれてればok。
攻撃者はやりっぱなしだし、いちいちAS単位で見てないと思う。
一回やられたIPはリストに残ってドンドン来る。
カウンターはどんどん上がっている。
リストにあるやつをときどきスキャンして、空いてたら利用。
udpは瞬殺。tcpでも5時間くらい？
回線パンク
SSDPとDNSとNTP
攻撃されるレンジが決まっている時は、1Gしかないところに広報して狭い道に誘導してやる。
tcp53は通る。
udp53は止まる。
IETFとかではudpやめるとかいうことも考えている。
tcpとかスケールアウトさせるしか無くなる。
セッション共有すれば頑張れるはず。
JPドメインは頑張れ。

某社3はIP53Bはやってない。
これからもたぶんやらないけど、今年が山場。
固定と動的が散在していて、とても辛い。
OP25Bは楽だった。サーバが集められるから。
お客さんの機器がなかなかつらい
中身を見て落とす方向でやっていこうと思っている
モニタリングは良いけど止めるのは待てというステータスになっている。
fqdnを見てやる。
緊急避難で正当業務行為で中身見てとめるのはありなはず。
ダメなエンドユーザ機器メーカにうまく話を持っていくのがいいと思う。
売ったメーカーは顧客を把握していない。
認証情報取られたやつは、動いている。
警察からの正式文章は止めるやつ。
ネットワークカメラの脆弱性はホットトピック。
外部要因を減らすところを頑張りたい。
IoTはどうにかしないといけない。
運用してくれないからきつい。
安心安全ルータマークを作るとかいう話になったらどうする？
マークなしのは解約していいみたいなのなったらどうする？
ISPによってはホームゲートウエイを配るやつの場合は、それ？
コスト高い。大変。
パーツのバグは治りづらい。
wifiのファームがメーカで直してくれない。

某サービスは、ファームをリモート更新できるようになった。
乗っ取り怖い。
ミス怖い。
ブロックしなくていいネットワークを作りたい。
インターノットをやっていこう。
運用できる人用とそれ以外。
12月に警察庁がtelnetできるIoTな話とかあった。
セキュリティ2015というところで話された。
サイバーポリス。telnet開いているから。
tcp23をインターネット繋がる。
UPnPが怖い。
サーバおくとズバッとポートが開く。
UPnPオンな世界とv6は同じになる。
IoTにv6だと大変。
某社の方に聞きたいことをまとめる。
緊急避難でやったけど、解放するの？
正当業務行為に持っていこうとしている？
個別合意とればいい。
今はオプトアウトなので、ダメじゃないか。

BCP38やっているか？
やろう。
Root DNSが攻撃された。
BCP38をやっていると、近場のRootDNSサーバが死なずに助かった例があった。
自分にメリットがあった。
PPPoEはちゃんとvalidする。
データセンターはちゃんとやっている。
BCP38やってないやつはダメ。
歴史の長いところは大変。
攻撃切り分け等ができたり、メリットある。
BCP84。
自分にもメリットあるよという方向で頑張ろう。
頑張れば頑張れるはず。
IP53Bだけではこの先全部は解決しない。


攻撃はどこからくる？＞東のヨーロッパ、中国。インドネシア。南米。
（そう見えるだけかもしれない）
攻撃先は、国内おおい。
水攻めは、ソース偽装する必要がない。
権威サーバを攻撃しようとして、キャッシュサーバがやられちゃっている。
攻撃をできる中継先を見つけるのは上記国のIPがおおい。
攻撃するためのソースアドレスはいろいろ。
どう動くかを決めて、社内で共有しておこう。

とりあえず何かあったらJANOGかDNSOPSで共有よろしく。
約款変更もがんばれ。