ZOOTサービス、ZOOT NEXTサービス、マイIP、マイIPソフトイーサ版で、
DNS サーバーを運用されているお客様へ

平素はインターリンクのサービスをご利用いただき誠にありがとうございます。

 

　2013年3月18日から22日ごろにかけて、海外で「史上最大規模」ともいわれるDDoS攻撃が発生しました。
これを踏まえて対策に当たった米国のセキュリティ企業、CloudFlareより「オープンリゾルバDNS（※1）の閉鎖が必要」と指摘がされました。

　＞過去最大規模のDDoS攻撃（DNSアンプ攻撃　※2）
　 http://www.atmarkit.co.jp/ait/articles/1303/28/news139.html

 

　これを機に日本でも、インターネット関連組織である、JPNIC、JPRS、JPCERT/CCが中心となり不要なオープンリゾルバDNSの 閉鎖を呼びかけが強化され、弊社にもユーザ様への注意喚起の要請がありました。

DNSサーバーを運用されている方は、ご自身のDNSサーバーが踏み台とされないよう下記チェックサイトでご確認のうえ、必要に 応じて対策を講じてくださいますようお願い致します。

（※1）オープンリゾルバDNSとは？
　 DNSキャッシュサーバの設定で、インターネット網側からDNSの名前解決を利用できるDNSサーバーを呼びます。

（※2）DNSアンプ攻撃とは？
　DNSキャッシュサーバの再帰的な問合せ機能を、DDoS攻撃に利用したものが、DNSアンプ（DNS amp、DNS増幅）
　攻撃です。

　＞DNSアンプ攻撃
　　 http://www.rbbtoday.com/article/2013/04/18/106611.html

 

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　記

 

■チェックサイト

　　 ───────────────────────────────────
　　 http://openresolverproject.org/　
　　 ご自身のDNSサーバーのグローバルIPアドレスを入力し ENTERキーを押してください。

　　 入力例：123.123.123.123/32
　　 「/32」の付け忘れにご確認ください。
　　 ───────────────────────────────────

 

　　結果の表は、タイトル1行か、タイトル行と結果の2行で表示されます。
　 「/24」と入力されますと複数行表示されることがあります。

　タイトルの1行だけ表示された場合は、オープンリゾルバDNSではありません。
　2行表示され「Recursion Available」の欄に「1」と表示されたら、　オープンリゾルバDNSです。

　オープンリゾルバDNSと判断された場合、次の対策を講じることをご検討くださいますようお願いします。

■対策

　DNSサーバーを構築している場合、参照可能なIP帯域を定義し、無関係なネットユーザに踏み台用DNSサーバーとしてとして、 使われないよう設定する必要があります。

以下に、BINDのnamed.conf について対策例をご案内いたしますのでご参考にされてください。
対策例は、文末の「参考資料　2013年4月18日公開のJPRS公式文書」を基に作成しました。

なお誠に恐縮ですが、named.confの設定に関してのお問い合わせは、お答えすることはできません。
また対策により生じた結果については、弊社では、責任を負いかねますので、あらかじめご了承ください。

（設定例１）IP1でDNSサーバーを構築されている対策事例

　 自宅（社内）ネットワーク（LAN）帯域を「192.168.1.0/24」とし、DNSサーバーを「192.168.1.101」で構築している場合は、ローカルネットワークからのみ参照を可能にします。

　acl my-network { // my-network　というacl作成（エリア作成）の設定を追加します
　　　192.168.1.0/24; // 自宅・社内のネットワーク帯域
　　　192.168.1.101/32; // DNSサーバーのローカルＩＰアドレス
　};

　options {

　　recursion yes; // 参照DNSサーバーとして動作します

　　allow-query { my-network; }; // my-networkからのみクエリを許可します
　　allow-recursion { my-network; }; // my-networkからのみリゾルバーとして動作します
　　allow-query-cache { my-network; }; // my-networkからのみキャッシュの内容を返します

　 };

（設定例２）複数IPでDNSサーバーを構築されている対策事例

　 自宅（社内）ネットワークが使用するグローバルＩＰ帯を「123.123.123.123/32」、「123.123.111.200/29」とし、DNSサーバーを「123.123.111.202」で構築している場合、特定のグローバルアドレスからのみ参照を可能にします。

　 acl my-network {　　// my-network　というacl作成（エリア作成）の設定を追加します
　　 123.123.123.123/32;　　// 自宅・社内のグローバルネットワーク帯域１
　　 123.123.111.200/29;　　// 自宅・社内のグローバルネットワーク帯域２
　　 123.123.111.202/32;　　// DNSサーバーのグローバルＩＰアドレス
　 };

　 options {

　 　　recursion yes;　　　// 参照DNSサーバーとして動作します

　　　 allow-query { my-network; };　　// my-networkからのみクエリを許可します
　　　 allow-recursion { my-network; };　　// my-networkからのみリゾルバーとして動作します
　　　 allow-query-cache { my-network; };　　// my-networkからのみキャッシュの内容を返します

　　 };

 

■参考資料

　2013年4月18日公開のJPRS公式文書

　　1．技術解説：「DNS Reflector Attacks（DNSリフレクター攻撃）」について
　　　http://jprs.jp/tech/notice/2013-04-18-reflector-attacks.html

　　2．設定ガイド：オープンリゾルバー機能を停止するには【BIND編】
　　　 http://jprs.jp/tech/notice/2013-04-18-fixing-bind-openresolver.html

 

■JPNIC、JPRS注意喚起サイト

　 1．JPNIC
　　 https://www.nic.ad.jp/ja/dns/openresolver/
　 2．JPRS
　　 http://jprs.jp/important/2013/130418.html

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 以上