Měsíc listopad přinesl několik zajímavých faktů. Írán byl v útocích méně aktivní a na první tři místa se pro změnu dostali útočníci z Rumunska. Během tohoto měsíce se také objevila nová zajímavá IP adresa, která patří útočníkovi z Panamy. U skenování portů s nízkým číslem (porty do 1 023) byl v listopadu zaznamenán rekord pro port 53; nemohli jsme si pomoci a tak jsme se ponořili do těchto údajů hlouběji.
Rozhodli jsme se pro to z několika důvodů. Prvním z nich je skutečnost, že port slouží ke komunikaci s DNS serverem, což je klíčová služba poskytovaná sdružením CZ.NIC. Druhým důvodem je podezřelý nárůst aktivit v porovnání s měsícem říjnem. Samotné nás zajímalo, o co se jedná. DDoS útok využívající k amplifikaci DNS? Špatně nastavený DNS resolver? DNS server nově za firewallem? Ke které možnosti se přiklonit, nám prozradili data z našich sond. Více „obětí“ a jeden útočník by naznačovalo DdoS útok. Malá skupina adres ze stejného subnetu „útočící„ na jednu „oběť“ by odpovídalo teorii, že se jedná o resolver za firewallem. Pokud by se však jednalo o „útočníky“ z celého světa, kteří mají zájem jen o jednu IP, potom by takové chování odpovídalo nejspíše autoritativnímu serveru, který je nově schovaný za firewallem. Jednoduchým dotazem jsme v naší databázi zjistili, že cílem je pouze jedno zařízení. Vypadá to tedy, že se jedná o poslední případ – DNS server za firewallem a každý, kdo u něho zkouší zadat dotaz, skončí na firewallu a u nás v systému jakožto útočník. To způsobuje šum, který bychom měli ignorovat, podobně jako porty BitTorrentu.