Open Resolver(オープン リゾルバ)の確認
昨年、結構話題になっていたけど、依然としてある問題なので
メモを残します。
FTTHユーザのブロードバンドルータがOpen Resolverの状態だと
下記のような流れで外部からDDoS攻撃に利用されてしまいます。
- 外部からFTTHユーザのIPに対してDNSのクエリを投げる
- ブロードバンドルータは該当クエリに回答するため、ルータで設定したDNS(キャッシュ)サーバに再帰問合せを行う
- DNS(キャッシュ)サーバはキャッシュがあれば回答する。無ければ該当ドメインの権威サーバへ問合せを行って回答する
- ルータはDNSサーバからの回答を受け取り、問合せ元に応答を返す
DNSのクエリを一部ランダムにして問い合わせすることで、ほぼ
確実に再帰問合せを行うようになるため、多数の問合せを送りつ
けることでターゲットとなるDNS(キャッシュ)サーバや権威サー
バの負荷を上げ、応答できなくなります。
ISP側でも外部接続ルータなど上位回線側でFTTHユーザ向けの53
番ポート(DNSで使用する)をフィルタリングすることで対処は可能
ですが、攻撃に加担しないよう各ユーザで対応した方が良いです。
JPNIC(日本ネットワークインフォメーションセンター)では下記
サイトを公開中です。
http://www.openresolver.jp/
オープンリゾルバに関する説明、確認方法や注意喚起を行い、
オープンリゾルバが減少するための活動を行っています。
「オープンリゾルバの確認に進む」のリンクにアクセスすれば、
現在使用しているブロードバンドルータ、DNSサーバがオープン
リゾルバかどうかを確認することができます。
もし接続元IPアドレスがオープンリゾルバの場合は対応を検討
しましょう。メーカーによりけりですが、
- ブロードバンドルータをDNSサーバとして動作しないようにする
- WAN側(宅外側)からのDNS問合せを受け付けない
などの設定をブロードバンドルーターで行う必要があります。
参考までにですが、JVN(Japan Vulnerability Notes)やメーカー
サイトに対応方法が記載されていますので、説明に従って対応
しましょう。
https://jvn.jp/jp/JVN62507275/index.html