うちで管理している DNS サーバで、ゾーン転送だけ制限して再帰問い合わせは有効のままのものがあったので処置を行なった。
特にここ最近、DNS サーバへの再帰問い合わせを利用した DDoS 攻撃が増加しているようで、今日もうちで契約しているホスティングサーバの業者から注意喚起の文書が出てたので、試しに(その業者に借りているサーバ以外も)調べてみたら再帰問い合わせ可能なまま放置しているサーバを見つけてしまった(^^;
す・・・すみません。
ホントに、この DNS サーバを踏み台に DDoS 攻撃を受けられた方には深くお詫びします。
ちなみに、「再帰問い合わせ」というと何か難しい言葉みたいだけど、これは、皆さんのパソコンが DNS サーバに対して行なっている普通の問い合わせのこと。
つまり、ブラウザに http://www.yahoo.co.jp/ という URL を入力したら、パソコンは DNS サーバに「www.yahoo.co.jp の IP アドレスって何?」って問い合わせをするよね。これが「再帰問い合わせ」というもの。
で、その問い合わせに対して DNS サーバが「124.83.203.233 だよ」と答えてくるから、パソコンは IP アドレス 124.83.203.233 のサーバに「Web ページのデータよこせ」とリクエストして、無事ブラウザに Yahoo! の画面が表示される・・・という流れなんだね。
それの何が問題かというと、DNS の仕組みでは「再帰問い合わせをしたパソコンを詐称出来る」ということ。
つまり、山田君のパソコンから「俺は鈴木。www.yahoo.co.jp の IP アドレスを教えてくれ」という嘘のリクエストが出せるということ。その結果、鈴木君のパソコンには DNS サーバからの答えが届くんだけど、山田君がこの問い合わせを頻繁にしたらどうなるか?
鈴木君のパソコンに DNS サーバからの回答データが大量にやってきて、鈴木君は自分じゃ何もしてないのに「パソコンの動きが重い」とか、「ネットワークが遅い」とか、色々な問題が発生するよね?
これが「山田君が DNS サーバへの再帰問い合わせを悪用して、鈴木君に DDoS 攻撃をしかけた」という状況なわけだね。
こういうことをさせないように、ドメイン情報の保持目的の DNS サーバでは「再帰問い合わせ」を禁止しとかないといけないんだね。
ところが、自社内の DNS サーバとして使っていた設定(当然「再帰問い合わせ」可能な設定)をうっかりそのままドメイン保持の DNS サーバに適用してしまったりして、「再帰問い合わせ」可能な状態になっているサーバがけっこうあるのだ。(うちで管理しているサーバにも1台あったわけで(^^;)
「再帰問い合わせ」を禁止するには、
allow-recursion { none; };
の設定を追加するだけなので、インターネット上に DNS サーバを持ってる人はちゃんと設定しとこうね。
しかし、ホンマ、こういう悪いことするヤツ、鬱陶しいわ。死ねばいいのに。ひどい病気で苦しみながら。てへ(笑)
コメントする