このページの先頭です

目的からサービスを探すメニューへ

home » 情報統括本部について » 刊行物 » ITだより » 2013年 春号 » 学外からのDNSパケットのフィルタ実施について

ITだより

学外からのDNSパケットのフィルタ実施について

この記事は主に支線のネットワーク管理者・サーバ管理者向けのお知らせです。

DNSによる分散DoS攻撃とそのフィルタについて


(図1)DNS増幅による分散DoS攻撃

最近、アクセス制限設定が不十分なDNSサーバ(オープンリゾルバーと呼ばれる)を外部から踏み台として利用する、大規模な分散DoS攻撃が世界的に問題となっており、各組織で適切に対策することが社会的な要請となっています[1]

攻撃は、設定が不十分なDNSサーバに対し送信元を偽装したDNS要求を送りつけ、大きなDNS応答パケットを攻撃対象に集めることで行なわれます (図1)

脚注 [1]
DNSサーバーの不適切な設定「オープンリゾルバー」について | 重要なお知らせ | JPRS(株式会社日本レジストリサービス)

(図2)攻撃への対策

本学学内LAN上にも悪用可能なホストがかなり存在していることから、この対策として4月24日より学外から学内へのDNSパケットを全面的にフィルタしました( 図2上) 。これにより、学内のみで利用するDNSサーバは万一設定が不十分でもフィルタで保護され、誤って学外から攻撃の踏み台にされる事を防止できます。

一方、DNSサーバには世界中にホストやドメインの情報(ホスト名とIPアドレスの対応、メールサーバの指定等)を提供する種類のサーバ(権威DNSサーバ)があります。各部局に設置されている権威DNSサーバについては、学外からのDNS要求を受信し応答する必要があるため、フィルタすることができません (図2下)。

フィルタの対象外とするDNSサーバについては、既に支線LAN管理者を通じて調査済です[2]。しかし、調査漏れによりフィルタされるべきでない権威DNSサーバがフィルタされていると、そのサーバには外部からのDNS要求が届かず、サーバに登録されているドメインやホストの情報を外部から参照できなくなります。このため、学外からそのドメインへのメールが届かなくなったり、学外からウェブページが見えなくなる可能性があります(学内の人は気づきません)。

自分で権威DNSサーバを運用しているがそのホストのIPアドレスがまだフィルタ対象外[2]になっていない、DNSサーバがある事は知っているがフィルタが必要かどうかよくわからない、学内で自分が運用しているドメインが最近学外から見えなくなったようだ等の問題がありましたら、サーバのIPアドレスと対象ドメイン名等を含めて、連絡先までお問い合わせください。

なお、このフィルタによって学内の一般利用者に影響はありません。

脚注 [2]
フィルタ対象外のホスト一覧(九州大学情報統括本部ネットワーク事業室)

DNSサーバの適切な運用について

フィルタ対象外となっているDNSサーバの管理者の方へ、設定確認・変更のお願いです。

図2のように、権威サーバは学外からもDNS要求を受けつけなければならないためフィルタできません。このため、同時にオープンリゾルバーとなっていると攻撃に容易に利用されてしまいます。オープンリゾルバにならないよう適切にアクセス制限設定することで、攻撃の効率を低下させ、利用しにくくすることができます。

まず、必要な設定ができるように、DNSサーバで使用しているサーバソフトウェアをできるだけ最新版にアップデートしてください。BIND については9.4以前の物は既に開発元でサポートされていませんので、9.6以降へのアップデートをお願いします。

次に、サーバが攻撃に利用可能なオープンリゾルバーかどうかをテストするサイト[3]がありますので、管理されているDNSサーバのIPアドレスについて確認の上、オープンであると判定された場合には設定の変更をお願いします。

具体的な設定変更の方法につきましては、JPRS(日本レジストリサービス)社の設定ガイド[4]等を参考にしてください。

不明な点等ありましたら、ネットワーク事業室までお問い合わせください。

脚注
[3]Test for Open Resolver
[4] 設定ガイド:オープンリゾルバー機能を停止するには【BIND編】

DNSホスティングについて

DNSサーバのアップデートや管理が困難である等の事情がある場合には、情報統括本部で運用中のDNSホスティングサービス[5]への移行を御検討ください。 なお、DNSホスティングのみの場合費用は発生しません。お気軽にお問い合わせください。

脚注 [5]
情報統括本部 ホスティングサービス
サイト
ネットワーク事業室
Last Update : 2016.12.13 11:52 - (JST)
このページの先頭へ