--- title: "セルフサポート インフォメーション" date: 2013-04-30 category: インフォメーション --- > **このページはAIエージェント向けに最適化されています。** 人間の方は、このままお読みいただくか、MDビューワー(URLに ?view を付けて表示)をご利用ください。 ## ナビゲーション [セルフサポートTOP](https://www.interlink.or.jp/support/index.md) | [マイメニュー](https://www.interlink.or.jp/support/mymenu.md) | [よくある質問・サービスマニュアル](https://www.interlink.or.jp/support/manual.md) | [メンテナンス・障害情報](https://www.interlink.or.jp/announce/info.cgi) | [セルフサポートの上手な使い方](https://www.interlink.or.jp/support/use.md) --- # 注意喚起活動:DNSサーバーを運用されているお客様へ オープンリゾルバDNS対策にご協力を!(2013.4.30) ZOOTサービス、ZOOT NEXTサービス、マイIP、マイIPソフトイーサ版で、 DNS サーバーを運用されているお客様へ 平素はインターリンクのサービスをご利用いただき誠にありがとうございます。 2013年3月18日から22日ごろにかけて、海外で「史上最大規模」ともいわれるDDoS攻撃が発生しました。 これを踏まえて対策に当たった米国のセキュリティ企業、CloudFlareより「オープンリゾルバDNS(※1)の閉鎖が必要」と指摘がされました。 >過去最大規模のDDoS攻撃(DNSアンプ攻撃 ※2) [http://www.atmarkit.co.jp/ait/articles/1303/28/news139.html](https://www.atmarkit.co.jp/ait/articles/1303/28/news139.html) これを機に日本でも、インターネット関連組織である、JPNIC、JPRS、JPCERT/CCが中心となり不要なオープンリゾルバDNSの 閉鎖を呼びかけが強化され、弊社にもユーザ様への注意喚起の要請がありました。 DNSサーバーを運用されている方は、ご自身のDNSサーバーが踏み台とされないよう下記チェックサイトでご確認のうえ、必要に 応じて対策を講じてくださいますようお願い致します。 (※1)オープンリゾルバDNSとは? DNSキャッシュサーバの設定で、インターネット網側からDNSの名前解決を利用できるDNSサーバーを呼びます。 (※2)DNSアンプ攻撃とは? DNSキャッシュサーバの再帰的な問合せ機能を、DDoS攻撃に利用したものが、DNSアンプ(DNS amp、DNS増幅) 攻撃です。 >DNSアンプ攻撃 [http://www.rbbtoday.com/article/2013/04/18/106611.html](https://www.rbbtoday.com/article/2013/04/18/106611.html) 記 ■チェックサイト ─────────────────────────────────── [http://openresolverproject.org/](https://openresolverproject.org/) ご自身のDNSサーバーのグローバルIPアドレスを入力し ENTERキーを押してください。 入力例:123.123.123.123/32 「/32」の付け忘れにご確認ください。 ─────────────────────────────────── 結果の表は、タイトル1行か、タイトル行と結果の2行で表示されます。 「/24」と入力されますと複数行表示されることがあります。 タイトルの1行だけ表示された場合は、オープンリゾルバDNSではありません。 2行表示され「Recursion Available」の欄に「1」と表示されたら、 オープンリゾルバDNSです。 オープンリゾルバDNSと判断された場合、次の対策を講じることをご検討くださいますようお願いします。 ■対策 DNSサーバーを構築している場合、参照可能なIP帯域を定義し、無関係なネットユーザに踏み台用DNSサーバーとしてとして、 使われないよう設定する必要があります。 以下に、BINDのnamed.conf について対策例をご案内いたしますのでご参考にされてください。 対策例は、文末の「参考資料 2013年4月18日公開のJPRS公式文書」を基に作成しました。 なお誠に恐縮ですが、named.confの設定に関してのお問い合わせは、お答えすることはできません。 また対策により生じた結果については、弊社では、責任を負いかねますので、あらかじめご了承ください。 **(設定例1)IP1でDNSサーバーを構築されている対策事例** 自宅(社内)ネットワーク(LAN)帯域を「192.168.1.0/24」とし、DNSサーバーを「192.168.1.101」で構築している場合は、ローカルネットワークからのみ参照を可能にします。 acl my-network { // my-network というacl作成(エリア作成)の設定を追加します 192.168.1.0/24; // 自宅・社内のネットワーク帯域 192.168.1.101/32; // DNSサーバーのローカルIPアドレス }; options { recursion yes; // 参照DNSサーバーとして動作します allow-query { my-network; }; // my-networkからのみクエリを許可します allow-recursion { my-network; }; // my-networkからのみリゾルバーとして動作します allow-query-cache { my-network; }; // my-networkからのみキャッシュの内容を返します }; **(設定例2)複数IPでDNSサーバーを構築されている対策事例** 自宅(社内)ネットワークが使用するグローバルIP帯を「123.123.123.123/32」、「123.123.111.200/29」とし、DNSサーバーを「123.123.111.202」で構築している場合、特定のグローバルアドレスからのみ参照を可能にします。 acl my-network {  // my-network というacl作成(エリア作成)の設定を追加します 123.123.123.123/32;  // 自宅・社内のグローバルネットワーク帯域1 123.123.111.200/29;  // 自宅・社内のグローバルネットワーク帯域2 123.123.111.202/32;  // DNSサーバーのグローバルIPアドレス }; options {   recursion yes;   // 参照DNSサーバーとして動作します allow-query { my-network; };  // my-networkからのみクエリを許可します allow-recursion { my-network; };  // my-networkからのみリゾルバーとして動作します allow-query-cache { my-network; };  // my-networkからのみキャッシュの内容を返します }; ■参考資料 2013年4月18日公開のJPRS公式文書 1.技術解説:「DNS Reflector Attacks(DNSリフレクター攻撃)」について [http://jprs.jp/tech/notice/2013-04-18-reflector-attacks.html](https://jprs.jp/tech/notice/2013-04-18-reflector-attacks.html) 2.設定ガイド:オープンリゾルバー機能を停止するには【BIND編】 [http://jprs.jp/tech/notice/2013-04-18-fixing-bind-openresolver.html](https://jprs.jp/tech/notice/2013-04-18-fixing-bind-openresolver.html) ■JPNIC、JPRS注意喚起サイト 1.JPNIC 2.JPRS [http://jprs.jp/important/2013/130418.html](https://jprs.jp/important/2013/130418.html) 以上