メンテナンス・トラブルシュート - DNS - オープンリゾルバの悪夢

 クラウディア
1. 概要
2. オープンリゾルバとは
3. チェック
4. ネットワーク機器はちゃんとね

1. 概要

 もう、ほとぼりもさめた頃と思い、書きますわ。  あれは、2019年3月の頃です。  わたしの契約している、プロバイダのネットワーク運用をやっている会社から、一通のメールが・・・。
○○ ○○
 ご担当者様各位

                         ○○○○○○○株式会社

 いつも弊社サービスをご利用いただき、誠にありがとうございます。

 この度、ご提供しておりますインターネット接続回線に割当てのIPアドレス「○.○.○.○」から、弊社参照用DNSサーバー宛に大量のDNS通信が確認されました。

 送信元IPアドレスに関して調査をさせて頂いたところ、DNSの再帰的な問い合わせに応答があることを確認させて頂きました。

 大量のDNS通信が発生している状況と上記の調査結果から回線下の設備が、オープンリゾルバとなって攻撃通信に悪用さてている事が推測されます。

 詳細と参考情報を添付させて頂きましたのでご至急ご確認頂けます様、お願い申し上げます。

 該当の通信により、弊社サーバーの高負荷と共に、対象のIPアドレスが、攻撃者と認識される恐れや、お客様の回線及び回線下の設備に高負荷が、生じる等の不利益が発生している可能性もございます。
 また、該当の通信が継続し、障害を伴う可能性が確認された場合、弊社約款に従い通信制限等の措置をとらせて頂く場合がございます。

 恐れ入りますが至急ご対応頂けます様重ねてお願い申し上げます。

 ご不明な点がある場合や、対応が完了された場合には、弊社○○○○センター、又は、○○@○.○.jpまで、ご連絡くださいますようお願い致します。

 お客様ご利用環境のセキュリティ保持および適正なご利用へのご理解を頂けますよう、お願い申し上げます。


・・・略・・・

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 対処例
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

[DNSサーバが原因の場合]
・上記参考情報等をご参考頂き環境に則した適切な設定をご検討下さい。
 例1:再帰問合せの機能を無効化する
 例2:再帰問合せの機能に適切なアクセス制限を設定する

[ルーターが原因の場合]
・上記参考情報(JVN#62507275)や各ルータのメーカWEBサイト等をご参考頂き
 アップデートまたは設定を変更する。
・WAN側へのDNS(TCP UDP 53)の通信を受ける必要がない場合にはフィルタリングにて
 パケット破棄する。
・ルータのDNSを中継する機能やDNSキャッシュの機能が必要ない場合は無効化する。
 機能例:DNSリカーシブサーバー DNSリレー DNSフォワーディング DNSproxy
     EasyDNS 等

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

・・・略・・・

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○○○○株式会社
 ○○○○センター

TEL  : ○○○○
受付 : 9:00~18:00(平日のみ)

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Copyright (C) ○○○○ Corporation All Rights Reserved.

 わはは、いささか長い引用になってしまった。  要は、わたしの不明のため、大変な迷惑をかけてしまったのだ。

2. オープンリゾルバとは

 まぁ、詳しくは、下記のサイトを見てくだされ・・・。
インターネット用語1分解説~オープンリゾルバとは~ - JPNIC
 要は、「DNS」関連で、返さなくてもいい返事を延々と返し続けるため、不要なトラフィックが各所に発生してしまうということなのだ。  原因は、ルータであったり、「DNS サーバ」であったりするようです。

3. チェック

 自分の使っているネットワークが、オープンリゾルバになっていないか、チェックしてくれるサイトがあります。  それが、「JPCERT/CC」の提供する、下記のサイトです。
オープンリゾルバ確認サイト
 ここにアクセスして  「オープンリゾルバの確認に進む」
「オープンリゾルバ確認サイト」

 「上記に同意する」にチェックをいれて
 「確認」

「オープンリゾルバ確認同意」

 その結果、とりあえず、下記のようになれば、まずは安心です。

「オープンリゾルバ確認結果」

 そうでない場合は・・・対策が必要なので、心してかかってください。

4. ネットワーク機器はちゃんとね

 結局、わたしの環境は、ルータであったのでした。  ルータのメーカサイトに、対処方法が書いてあったので、その通りにすることで、解決しました。  新しい機器や、新しいファームであれば対策済だったりしますが、万が一、古い機器を使っていたりすると知らぬうちに、罠にはまっているかもしれません。  くれぐれも、ご注意を。
U-NEXTSirusi
 
 
カウンタバックグラウンド