DNS キャッシュサーバを運用する場合、再帰的クエリを受け付ける範囲を適切に制限しておかないと、外部の悪意ある第三者から DDoS 攻撃に悪用される可能性があります。このようなサーバを「オープンリゾルバ」と呼びます。2006年ころにオープンリゾルバを使った DDoS 攻撃が話題になりましたが、最近も DDoS 攻撃でオープンリゾルバが使われていること、また、国内にオープンリゾルバが多数存在することが指摘されています。 下記の情報などを参考に、管理するサーバがオープンリゾルバになっていないか、いま一度確認してみてください。
参考文書(日本語)
-
JPRS トピックス&コラム
DDoSにあなたのDNSが使われる - DNS Ampの脅威と対策 -
http://jprs.jp/related-info/guide/003.pdf
-
JPRS
DNS の再帰的な問合せを使った DDoS 攻撃の対策について
http://jprs.jp/tech/notice/2006-03-29-dns-cache-server.html
参考文書(英語)
-
CloudFlare
The DDoS That Knocked Spamhaus Offline (And How We Mitigated It)
http://blog.cloudflare.com/the-ddos-that-knocked-spamhaus-offline-and-ho
Weekly Report 2013-03-27号 に掲載