INTERLINK SELFSUPPORT インターリンク セルフサポートへようこそ

ZOOTサービス、ZOOT NEXTサービス、マイIP、マイIPソフトイーサ版で、
DNS サーバーを運用されているお客様へ

平素はインターリンクのサービスをご利用いただき誠にありがとうございます。

2013年3月18日から22日ごろにかけて、海外で「史上最大規模」ともいわれるDDoS攻撃が発生しました。
これを踏まえて対策に当たった米国のセキュリティ企業、CloudFlareより「オープンリゾルバDNS(※(注記)1)の閉鎖が必要」と指摘がされました。

>過去最大規模のDDoS攻撃(DNSアンプ攻撃 ※(注記)2)
http://www.atmarkit.co.jp/ait/articles/1303/28/news139.html

これを機に日本でも、インターネット関連組織である、JPNIC、JPRS、JPCERT/CCが中心となり不要なオープンリゾルバDNSの 閉鎖を呼びかけが強化され、弊社にもユーザ様への注意喚起の要請がありました。

DNSサーバーを運用されている方は、ご自身のDNSサーバーが踏み台とされないよう下記チェックサイトでご確認のうえ、必要に 応じて対策を講じてくださいますようお願い致します。

(※(注記)1)オープンリゾルバDNSとは?
DNSキャッシュサーバの設定で、インターネット網側からDNSの名前解決を利用できるDNSサーバーを呼びます。

(※(注記)2)DNSアンプ攻撃とは?
DNSキャッシュサーバの再帰的な問合せ機能を、DDoS攻撃に利用したものが、DNSアンプ(DNS amp、DNS増幅)
攻撃です。

>DNSアンプ攻撃
http://www.rbbtoday.com/article/2013/04/18/106611.html

記

■しかくチェックサイト

───────────────────────────────────
http://openresolverproject.org/
ご自身のDNSサーバーのグローバルIPアドレスを入力し ENTERキーを押してください。

入力例:123.123.123.123/32
「/32」の付け忘れにご確認ください。
───────────────────────────────────

結果の表は、タイトル1行か、タイトル行と結果の2行で表示されます。
「/24」と入力されますと複数行表示されることがあります。

タイトルの1行だけ表示された場合は、オープンリゾルバDNSではありません。
2行表示され「Recursion Available」の欄に「1」と表示されたら、 オープンリゾルバDNSです。

オープンリゾルバDNSと判断された場合、次の対策を講じることをご検討くださいますようお願いします。

■しかく対策

DNSサーバーを構築している場合、参照可能なIP帯域を定義し、無関係なネットユーザに踏み台用DNSサーバーとしてとして、 使われないよう設定する必要があります。

以下に、BINDのnamed.conf について対策例をご案内いたしますのでご参考にされてください。
対策例は、文末の「参考資料 2013年4月18日公開のJPRS公式文書」を基に作成しました。

なお誠に恐縮ですが、named.confの設定に関してのお問い合わせは、お答えすることはできません。
また対策により生じた結果については、弊社では、責任を負いかねますので、あらかじめご了承ください。

(設定例1)IP1でDNSサーバーを構築されている対策事例

自宅(社内)ネットワーク(LAN)帯域を「192.168.1.0/24」とし、DNSサーバーを「192.168.1.101」で構築している場合は、ローカルネットワークからのみ参照を可能にします。

acl my-network { // my-network というacl作成(エリア作成)の設定を追加します
192.168.1.0/24; // 自宅・社内のネットワーク帯域
192.168.1.101/32; // DNSサーバーのローカルIPアドレス
};

options {

recursion yes; // 参照DNSサーバーとして動作します

allow-query { my-network; }; // my-networkからのみクエリを許可します
allow-recursion { my-network; }; // my-networkからのみリゾルバーとして動作します
allow-query-cache { my-network; }; // my-networkからのみキャッシュの内容を返します

};

(設定例2)複数IPでDNSサーバーを構築されている対策事例

自宅(社内)ネットワークが使用するグローバルIP帯を「123.123.123.123/32」、「123.123.111.200/29」とし、DNSサーバーを「123.123.111.202」で構築している場合、特定のグローバルアドレスからのみ参照を可能にします。

acl my-network { // my-network というacl作成(エリア作成)の設定を追加します
123.123.123.123/32; // 自宅・社内のグローバルネットワーク帯域1
123.123.111.200/29; // 自宅・社内のグローバルネットワーク帯域2
123.123.111.202/32; // DNSサーバーのグローバルIPアドレス
};

options {

recursion yes; // 参照DNSサーバーとして動作します

allow-query { my-network; }; // my-networkからのみクエリを許可します
allow-recursion { my-network; }; // my-networkからのみリゾルバーとして動作します
allow-query-cache { my-network; }; // my-networkからのみキャッシュの内容を返します

};

■しかく参考資料

2013年4月18日公開のJPRS公式文書

1.技術解説:「DNS Reflector Attacks(DNSリフレクター攻撃)」について
http://jprs.jp/tech/notice/2013-04-18-reflector-attacks.html

2.設定ガイド:オープンリゾルバー機能を停止するには【BIND編】
http://jprs.jp/tech/notice/2013-04-18-fixing-bind-openresolver.html

■しかくJPNIC、JPRS注意喚起サイト

1.JPNIC
https://www.nic.ad.jp/ja/dns/openresolver/
2.JPRS
http://jprs.jp/important/2013/130418.html

以上