各位
DNS の再帰的な問い合わせを使った DDoS 攻撃に関する注意喚起
https://www.jpcert.or.jp/at/2013/at130022.html
I. 概要
JPCERT/CC では、海外 CSIRT などから、日本国内の DNS キャッシュサーバを使用した DDoS 攻撃が発生しているとの報告を受けています。
JPCERT/CC に報告された攻撃では、攻撃者は外部からの再帰的な問い合わせを許可している DNS キャッシュサーバ (以下、オープンリゾルバ) を使用して、DNS アンプ攻撃を行っているとのことです。攻撃者は、攻撃対象の IP アドレスを送信元 IP アドレスに偽装した再帰的な問い合わせパケットをオープンリゾルバに送信することで、大量の応答パケットや巨大なサイズの応答パケットを攻撃対象 (Web サイトなど)に送りつけます。
外部からの再帰的な問い合わせを受け付けるオープンリゾルバは、攻撃者によって DDoS 攻撃に使用される可能性があります。また、使用しているネットワーク機器やソフトウエア製品に DNS サーバが組み込まれていて、ユーザが知らない間にオープンリゾルバとして、使用されている可能性も考えられます。
自身の運用しているサーバやネットワーク機器で DNS キャッシュサーバが稼働しているか確認し、それらの設定を適切にすることを推奨します。
II. 対象
サーバやネットワーク機器などにおいて、外部から DNS の再帰的な問い合わせを受け付けるものが対象となります。
- DNS キャッシュサーバ
- DNS キャッシュサーバが稼働しているネットワーク機器
また、ソフトウエア製品の一部には、インストール時に自動的に DNS サーバがインストールされる製品があり、意図せずオープンリゾルバとして稼働している可能性があります。
III. 対策
運用管理対象のキャッシュサーバにおいて再帰的な問い合わせを受け付ける範囲を確認し、必要最小限になるようアクセス制限を施してください。また、この機会に DNS サーバの設定を確認し、意図した動作をしているか見直すことをお勧めします。
なお、対策に関する詳細については、以下を参考にしてください。
JPRS
DNS の再帰的な問合せを使った DDoS 攻撃の対策について
http://jprs.jp/tech/notice/2006-03-29-dns-cache-server.html
IV. 参考情報
JPNIC
オープンリゾルバ(Open Resolver)について
https://www.nic.ad.jp/ja/dns/openresolver/
JPRS
DNSサーバーの不適切な設定「オープンリゾルバー」について
http://jprs.jp/important/2013/130418.html
JPCERT/CC
【今週のひとくちメモ】DNS キャッシュサーバの設定に注意
https://www.jpcert.or.jp/tips/2013/wr131201.html
US-CERT
DNS Amplification Attacks
https://www.us-cert.gov/ncas/alerts/TA13-088A
今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。
==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/
JPCERT-AT-2013-0022
JPCERT/CC
2013-04-18
JPCERT/CC Alert 2013-04-18
DNS の再帰的な問い合わせを使った DDoS 攻撃に関する注意喚起
https://www.jpcert.or.jp/at/2013/at130022.html
I. 概要
JPCERT/CC では、海外 CSIRT などから、日本国内の DNS キャッシュサーバを使用した DDoS 攻撃が発生しているとの報告を受けています。
JPCERT/CC に報告された攻撃では、攻撃者は外部からの再帰的な問い合わせを許可している DNS キャッシュサーバ (以下、オープンリゾルバ) を使用して、DNS アンプ攻撃を行っているとのことです。攻撃者は、攻撃対象の IP アドレスを送信元 IP アドレスに偽装した再帰的な問い合わせパケットをオープンリゾルバに送信することで、大量の応答パケットや巨大なサイズの応答パケットを攻撃対象 (Web サイトなど)に送りつけます。
外部からの再帰的な問い合わせを受け付けるオープンリゾルバは、攻撃者によって DDoS 攻撃に使用される可能性があります。また、使用しているネットワーク機器やソフトウエア製品に DNS サーバが組み込まれていて、ユーザが知らない間にオープンリゾルバとして、使用されている可能性も考えられます。
自身の運用しているサーバやネットワーク機器で DNS キャッシュサーバが稼働しているか確認し、それらの設定を適切にすることを推奨します。
II. 対象
サーバやネットワーク機器などにおいて、外部から DNS の再帰的な問い合わせを受け付けるものが対象となります。
- DNS キャッシュサーバ
- DNS キャッシュサーバが稼働しているネットワーク機器
また、ソフトウエア製品の一部には、インストール時に自動的に DNS サーバがインストールされる製品があり、意図せずオープンリゾルバとして稼働している可能性があります。
III. 対策
運用管理対象のキャッシュサーバにおいて再帰的な問い合わせを受け付ける範囲を確認し、必要最小限になるようアクセス制限を施してください。また、この機会に DNS サーバの設定を確認し、意図した動作をしているか見直すことをお勧めします。
なお、対策に関する詳細については、以下を参考にしてください。
JPRS
DNS の再帰的な問合せを使った DDoS 攻撃の対策について
http://jprs.jp/tech/notice/2006-03-29-dns-cache-server.html
IV. 参考情報
JPNIC
オープンリゾルバ(Open Resolver)について
https://www.nic.ad.jp/ja/dns/openresolver/
JPRS
DNSサーバーの不適切な設定「オープンリゾルバー」について
http://jprs.jp/important/2013/130418.html
JPCERT/CC
【今週のひとくちメモ】DNS キャッシュサーバの設定に注意
https://www.jpcert.or.jp/tips/2013/wr131201.html
US-CERT
DNS Amplification Attacks
https://www.us-cert.gov/ncas/alerts/TA13-088A
今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。
==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/