DNS(BIND)

[DNS,ネットワーク]DNSサーバーへの攻撃対策。オープンリゾルバ/キャッシュポイズニング

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る

攻撃の発見

ある企業から、最近ネットワークが時々遅くなる状況が続いていると報告を受けた。
早速現場へ行き調査を始める。
YAMAHAのルーターRTX1000を調査するとメモリ使用率が常時100%が表示されており、処理が追いついていない模様。
サーバーのログを確認すると、DNSへの参照が1秒間に数十~数百で処理しきれていない。
試しにDNSサービスを停止すると、何事も無かったように快適に動作する。

DNS設定の確認

DNSへの攻撃を受ける原因として、オープンリゾルバ―及びDNSキャッシュポイズニングの確認を行う。
オープンリゾルバ確認サイト(http://www.openresolver.jp/)では、オープンリゾルバと判定されたのでnamed.confを修正する。
キャッシュポイズニング対策については、rtx1000のDNSポート53固定になっていたので下記のように変更。

ip filter 53 pass * 上位DNSサーバー udp 53 53
↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓
dns srcport 10000-19999
ip filter 53 pass * 上位DNSサーバー udp 10000-19999 53

オープンリゾルバ、キャッシュポイズニング対策からのその後

UDPへのポートスキャンは定期的に行われているが、サーバーのDNSログの内容も問題なし。
ルーターのCPU使用率も1桁%で安定。

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る

ブログ記事について

ブログ記事は基本、毎週月曜日午前中に発信!(ニュース関連については随時)
記事に価値があると感じましたら、応援をお願いいたします!

公式ホームページについて

当ブログではITエンジニア関連のテクニカルな事、そして様々な商品のレビュー記事を公開しています。
一方ホームページでは、それ以外の少しビジネス寄り(企業や個人事業主向け)のサービスや情報を発信します。

該当される方、ご興味のある方はホームページの方もご参照ください。

コメントを残す

*