JPCERT/CCからDNS再帰的問い合わせによるDDoS攻撃の注意喚起と、JPRSの技術解説がアナウンスされている

JPCERT/CCからDNSの再帰的な問い合わせを使ったDDoS攻撃の注意喚起がアナウンスされている。また、同時にJPRSからは本件に関する技術解説とBINDにおける対策がそれぞれリリースされている。

■DNS の再帰的な問い合わせを使った DDoS 攻撃に関する注意喚起 – JPCERT/CC
https://www.jpcert.or.jp/at/2013/at130022.html

■技術解説:「DNS Reflector Attacks(DNSリフレクター攻撃)」について – JPRS
http://jprs.jp/tech/notice/2013-04-18-reflector-attacks.html

■設定ガイド:オープンリゾルバー機能を停止するには【BIND編】 – JPRS
http://jprs.jp/tech/notice/2013-04-18-fixing-bind-openresolver.html

■オープンリゾルバ(Open Resolver)について – JPNIC
https://www.nic.ad.jp/ja/dns/openresolver/

報告では、日本国内からのDNSリフレクター攻撃が増えているという報告がなされている点が言及されている。DNSをオープンリゾルバ(自組織内外を問わず、ネットワークを通じてどのホスト・端末からのDNS問い合わせであっても応答するような設定がされているDNSサーバなど)で運用しているサイト(個人法人を問わず)が多いために起きているのだと思われるが、JPRSの技術解説によれば「今回の攻撃ではこれまでで最大規模となる300Gbps以上のトラフィックを観測したと報告されて」いるようで、かなり深刻である。

DNSだけに限らないが、サーバの設定については様々な設定例を紹介したサイトが多く、それらをGoogleで検索して見つけることも容易であるため、素人でも設定・運用する傾向が強いと思われる。特に社内でネットワークに詳しくない、あるいは特に勉強や経験を蓄積していない片手間(で押し付けられた?)担当者によって設定された場合、設定の意味や危険性、その他の重要設定の確認や検討などが一切脱落した状態のまま運用が継続される。その結果がDNSのオープンリゾルバだったり、十数年前を思い起こせばSMTPオープンリレーサイトなどである。

本来的にはDNSサーバを構築するためのサーバソフトウェアであるBIND(SMTPオープンリレーの問題はメールサーバソフトウェアであるsendmailが言及の対象とされた)が、事前にそうした危険な設定・実装によって出荷されるべきなのであるが、古いパッケージでインストールし、そのまま運用されているサイトのDNSサーバではいまだに危険な状態での運用が継続中なのである(新しい実装の場合には”事前の設定=デフォルト”が安全側に振った状態で出荷されているので既知の危険については設定しなくてもよい場合もある)。

またそうしうた設定で運用されたサーバが様々な形で利用されてしまっている場合、ある種の設定を加えることで一部に制限が発生し、これまでの利用が危ぶまれる可能性が出てしまう場合もあるかもしれない。たとえばオープンリゾルバで設定されたDNSサーバを自社以外にも関連他社などにも利用を与えていたために、オープンリゾルバ対策を施した結果、関連他社からはDNS問い合わせが拒否されてしまい、その関連他社の端末からはのきなみ「メールが出せなくなった」「ウェブアクセスができなくなった」などというクレームが殺到するなどが潜在化する可能性もある。この場合は関連他社からの問い合わせにも答えるようにDNSサーバを設定すればすむことであるが、さきに述べたような、いわゆる「にわか管理者」的な人の場合には、設定情報にたどり着くことが困難だったり、そもそも問題に気が付けずに途方に暮れるといった悲しい事態が発生しないとも限らないわけだ。すると人は「今運用されているものが正義として考える」ことになり、リスクは後回しで今を生きていく道だけを模索する。結果、オープンリゾルバなどの問題運用が多数残されたままになっている、という状況なのだと解釈できる(少なくとも私はそう理解しているけれど)。

自分の管理するサイトがどのような状況であるかは、常に把握する努力が必要だと私の過去の経験から言うことができる。たとえば日々ログを眺めるだけでもかなり違うだろう。普段と違う文字列やメッセージに敏感になるためには、普段からどういうログが出てどういう意味であるかを解釈する必要があるからだ。これは開発者であっても言えることだとは思うが、私が知っているウェブアプリケーション開発者の何人かも、悲しいかなウェブサービスのエラーを自分のコードを眺めながら想像とカンでデバッグをしようとする人がいる。その前にIISApacheのログを見るという行為も特にない(ログの保管場所さえ知らない人もいるほどだ)。サーバ管理を担当された方は、自分がこれから触る対象について十分に理解をした上で仕事をして頂きたい。

実践DNS DNSSEC時代のDNSの設定と運用できるPRO Apache Webサーバー 改訂版 Version 2.4/2.2/2.0対応 (できるPROシリーズ)sendmail―メールサーバの設定・運用・管理PostfixとMySQLで作るメールサーバ構築ガイドDNS ホエイプロテインG+ 1000g (チョコ)

コメントを残す

メールアドレスが公開されることはありません。