BLOGTIMES
« :: »
2013/04/18

自分のサーバが DNS リフレクター攻撃の踏み台になっていないかチェックする

  bind  dns  jpcertcc  DoS  jprs  checker 
このエントリーをはてなブックマークに追加

オープンリゾルバテスト結果 - 自分のサーバが DNS リフレクター攻撃の踏み台になっていないかチェックする

DNS サーバーを運用している場合にそれがオープンリゾルバになっていないかどうかについて JPCERT/CC から注意注意喚起が出ています。

DNS の再帰的な問い合わせを使った DDoS 攻撃に関する注意喚起

運用管理対象のキャッシュサーバにおいて再帰的な問い合わせを受け付ける 範囲を確認し、必要最小限になるようアクセス制限を施してください。また、この機会に DNS サーバの設定を確認し、意図した動作をしているか見直すことをお勧めします。

さっそく JPRS の資料*1に従って、 BIND の設定を確認してみました。この資料に出てくる Test for Open Resolvers というサービスに IP アドレスを打ち込むと自分のサーバーがオープンリゾルバかそうでないかすぐに分かります。画像のように closed の表示が出れば設定は問題ありません。

こういう問題が起きる前から、再帰的クエリは第三者から受け付けるようにしてはいけないと言われていたような気がするんですよね。出所が思い出せませんが、確かバッタ本に書いてあったような気がします。また、以前に DNS のチェックサイトを紹介したときにも、このような再帰クエリを第三者に許可していないかどうかはチェック対象になっていて、そのサービスのチェック結果が "Good. Your nameservers (the ones reported by the parent server) do not report that they allow recursive queries for anyone." となっていたのでした。

参考


by hsur at 20:41 [5年前][4年前][3年前][2年前][1年前][1年後][2年後][3年後][4年後][5年後] |
こんな記事もあります 「再帰的問い合わせ BIND オープンリゾルバ
docker-compose で Tinyproxy サーバを建てる
SoftEther を CentOS 8 にインストール
Docker で内部用 DNS サーバを立ててみた
ターミナルのカラー出力を色つきのままファイル保存する
clang-query を使って cpp の AST を解析する
AD のパスワードを LDAP から変更する
DNS CAA レコードを設定してみた
SoftEther を AES-NI を有効にしてビルドする
BIND 9 の脆弱性に注意(CVE-2017-3136, CVE-2017-3137, CVE-2017-3138)
milter-manager 環境 に smf-spf v2.2 をインストール
トラックバックについて
Trackback URL:
お気軽にどうぞ。トラックバック前にポリシーをお読みください。[policy]
このエントリへのTrackbackにはこのURLが必要です→https://blog.cles.jp/item/5746
Trackbacks
このエントリにトラックバックはありません
Comments
愛のあるツッコミをお気軽にどうぞ。[policy]
古いエントリについてはコメント制御しているため、即時に反映されないことがあります。
コメントはありません
Comments Form

コメントは承認後の表示となります。
OpenIDでログインすると、即時に公開されます。

OpenID を使ってログインすることができます。

Identity URL: Yahoo! JAPAN IDでログイン

« :: »
Copyright © 2004-2023 by CLES All Rights Reserved.