オープンリゾルバとは?ざっくりと3行で
- インターネット上の誰からでも問い合わせに応答してしまう無防備なDNSサーバーのことだよ
- 悪意ある攻撃者に利用されると、他社を攻撃するためのDDoS攻撃の増幅装置になってしまうんだ
- 適切なアクセス制限を設定することで、加害者になるリスクを回避できるよ
【深掘り】これだけ知ってればOK!
オープンリゾルバとは、本来は社内や特定のネットワークからしか使えないはずのDNSサーバーが、設定ミスにより外部の誰からでも利用可能になっている状態を指します。これ自体がウイルスではありませんが、攻撃者にとって格好の「武器」となります。
攻撃者は、送信元IPアドレスを「攻撃したい相手(被害者)」に偽装して、あなたのオープンリゾルバに大量の問い合わせを送ります。すると、あなたのサーバーは偽装された住所(被害者)に向けて巨大な回答データを送りつけてしまいます。これを「DNSアンプ攻撃」と呼び、知らないうちに自社のサーバーが攻撃の踏み台(加害者)にされてしまうのです。
会話での使われ方
このサーバー、外部からの再帰問い合わせに応答してるからオープンリゾルバになってるよ。すぐ塞いで。
先日のDDoS攻撃、踏み台にされたリストの中にうちのテスト環境が含まれていました。
Google Public DNS(8.8.8.8)のような意図的な公開サービス以外は、基本的にクローズドにしておくのが鉄則だよ。
【まとめ】3つのポイント
- 誰でも使える拡声器:悪人があなたの拡声器を使って、遠くの他人に大声で叫び続けるような迷惑状態
- 加害防止の役割:設定を見直すことは、自社を守るだけでなくインターネット全体の平和を守る義務
- 信頼の維持:踏み台にされると、被害者から訴えられたりブラックリストに登録されるリスクがある
よくある質問(FAQ)
- Qオープンリゾルバはいつ使うのがベストですか?
- A一般企業が意図的に構築するメリットはほぼありません。Google Public DNSのように、公共のためにDNSサービスを提供する専門事業者以外は、設定を無効化すべきです。
- Qオープンリゾルバを失敗させない(防ぐ)コツはありますか?
- ADNSサーバーの設定ファイル(named.confなど)で「allow-query」や「allow-recursion」の範囲を、自社のIPアドレス帯域(ローカルネットワーク)のみに限定してください。
- Qオープンリゾルバの具体例は何ですか?
- A設定ミスをした企業のDNSサーバー、古いファームウェアのまま放置された家庭用ルーター、クラウド環境でデフォルト設定のまま公開されたサーバーなどが挙げられます。
- Qオープンリゾルバとフルリゾルバ(キャッシュDNSサーバー)の違いは何ですか?
- A「フルリゾルバ」は名前解決を行うサーバーの役割名です。これが外部の誰にでも応答する場合に「オープンリゾルバ」と呼ばれます。通常は社内専用の「クローズドリゾルバ」として運用します。
コメント