攻撃の発見
ある企業から、最近ネットワークが時々遅くなる状況が続いていると報告を受けた。
早速現場へ行き調査を始める。
YAMAHAのルーターRTX1000を調査するとメモリ使用率が常時100%が表示されており、処理が追いついていない模様。
サーバーのログを確認すると、DNSへの参照が1秒間に数十~数百で処理しきれていない。
試しにDNSサービスを停止すると、何事も無かったように快適に動作する。
DNS設定の確認
DNSへの攻撃を受ける原因として、オープンリゾルバ―及びDNSキャッシュポイズニングの確認を行う。
オープンリゾルバ確認サイト(http://www.openresolver.jp/)では、オープンリゾルバと判定されたのでnamed.confを修正する。
キャッシュポイズニング対策については、rtx1000のDNSポート53固定になっていたので下記のように変更。
| ip filter 53 pass * 上位DNSサーバー udp 53 53 ↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓ dns srcport 10000-19999 ip filter 53 pass * 上位DNSサーバー udp 10000-19999 53 |
オープンリゾルバ、キャッシュポイズニング対策からのその後
UDPへのポートスキャンは定期的に行われているが、サーバーのDNSログの内容も問題なし。
ルーターのCPU使用率も1桁%で安定。
コメント