DNS(BIND)

[DNS,ネットワーク]DNSサーバーへの攻撃対策。オープンリゾルバ/キャッシュポイズニング

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る

攻撃の発見

ある企業から、最近ネットワークが時々遅くなる状況が続いていると報告を受けた。
早速現場へ行き調査を始める。
YAMAHAのルーターRTX1000を調査するとメモリ使用率が常時100%が表示されており、処理が追いついていない模様。
サーバーのログを確認すると、DNSへの参照が1秒間に数十~数百で処理しきれていない。
試しにDNSサービスを停止すると、何事も無かったように快適に動作する。

DNS設定の確認

DNSへの攻撃を受ける原因として、オープンリゾルバ―及びDNSキャッシュポイズニングの確認を行う。
オープンリゾルバ確認サイト(http://www.openresolver.jp/)では、オープンリゾルバと判定されたのでnamed.confを修正する。
キャッシュポイズニング対策については、rtx1000のDNSポート53固定になっていたので下記のように変更。

ip filter 53 pass * 上位DNSサーバー udp 53 53
↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓
dns srcport 10000-19999
ip filter 53 pass * 上位DNSサーバー udp 10000-19999 53

オープンリゾルバ、キャッシュポイズニング対策からのその後

UDPへのポートスキャンは定期的に行われているが、サーバーのDNSログの内容も問題なし。
ルーターのCPU使用率も1桁%で安定。

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る

コメントを残す

*