昨年、結構話題になっていたけど、依然としてある問題なので
メモを残します。

FTTHユーザのブロードバンドルータがOpen Resolverの状態だと
下記のような流れで外部からDDoS攻撃に利用されてしまいます。

1. 外部からFTTHユーザのIPに対してDNSのクエリを投げる
2. ブロードバンドルータは該当クエリに回答するため、ルータで設定したDNS(キャッシュ)サーバに再帰問合せを行う
3. DNS(キャッシュ)サーバはキャッシュがあれば回答する。無ければ該当ドメインの権威サーバへ問合せを行って回答する
4. ルータはDNSサーバからの回答を受け取り、問合せ元に応答を返す

DNSのクエリを一部ランダムにして問い合わせすることで、ほぼ
確実に再帰問合せを行うようになるため、多数の問合せを送りつ
けることでターゲットとなるDNS(キャッシュ)サーバや権威サー
バの負荷を上げ、応答できなくなります。

ISP側でも外部接続ルータなど上位回線側でFTTHユーザ向けの53
番ポート(DNSで使用する)をフィルタリングすることで対処は可能
ですが、攻撃に加担しないよう各ユーザで対応した方が良いです。

JPNIC(日本ネットワークインフォメーションセンター)では下記
サイトを公開中です。
http://www.openresolver.jp/

オープンリゾルバに関する説明、確認方法や注意喚起を行い、
オープンリゾルバが減少するための活動を行っています。

「オープンリゾルバの確認に進む」のリンクにアクセスすれば、
現在使用しているブロードバンドルータ、DNSサーバがオープン
リゾルバかどうかを確認することができます。

もし接続元IPアドレスがオープンリゾルバの場合は対応を検討
しましょう。メーカーによりけりですが、

• ブロードバンドルータをDNSサーバとして動作しないようにする
• WAN側(宅外側)からのDNS問合せを受け付けない

などの設定をブロードバンドルーターで行う必要があります。
参考までにですが、JVN(Japan Vulnerability Notes)やメーカー
サイトに対応方法が記載されていますので、説明に従って対応
しましょう。
https://jvn.jp/jp/JVN62507275/index.html