ＡＤＳＬ - 1036554230 - したらば掲示板

990：とはずがたり：2015/11/10(火) 18:49:55: >「オープンリゾルバ」とは、不適切な設定のために、誰からの問い合わせにも答えてしまうキャッシュDNSサーバのことだ。本来ならば、適切なアクセスコントロールが施されるべきキャッシュDNSサーバにそれが設定されておらず、外部からの問い合わせにも応答を返してしまう状態を指す。

>なぜこれが問題かというと、DNSの特徴が関連してくる。DNSでは、問い合わせのパケットに比べ、応答パケットのサイズが非常に大きなものとなり得る。この特徴を悪用し、送信元IPアドレスを、ターゲットとなる犠牲者に詐称（＝IPスプーフィング）した問い合わせパケットをオープンリゾルバに投げつけることで、1つ1つのサイズが大きな応答パケットが大量に被害対象に送りつけられ、DDoS状態に陥ってしまう。

DNS？DDoS状態？？

家のルータは大丈夫やろか？？
>日本国内のオープンリゾルバ状態のIPアドレスを、JPCERT/CCで分類したところ、42％は「ホスティング」、21％が「回線サービスを利用しているユーザー宅」で、企業が利用しているDNSサーバはわずか7％という。
>回線サービスについては、ブロードバンドルータの中に、WAN側からの問い合わせに答えてしまう設定となっている機器が存在している

2013年05月10日 08時00分更新
オープンリゾルバ問題、立ちふさがるはデフォルト設定？
http://www.atmarkit.co.jp/ait/articles/1305/09/news013.html
[高橋睦美，＠IT]

　「自分が管理しているネットワークには、オープンリゾルバ状態のDNSサーバは存在しない」、そう断言できるネットワーク管理者やユーザーはどれだけいるだろう。3月に発生した史上最大規模のDDoS攻撃をはじめ、他者への攻撃に荷担していないと言い切れるだろうか？

　実は、CloudFlare（3月18日ごろから発生した「Spamhaus」に対する大規模なDDoS攻撃でも対応に当たったセキュリティ企業）が、2月19日から3月1日にかけて行われたAPRICOT 2013で発表したレポート、「The curse of the Open Recursor」によると、同社が観測した攻撃に利用されていたオープンリゾルバのうち、日本国内に存在するものの数は、中国（3123件）や台湾（3074件）よりも多い4625件で、アジアの中で最多だった。

　4月19日に開催されたJANOG 31.5 Interim Meetingの「DNS Open Resolverについて考える」では、この衝撃的な事実を踏まえ、ネットワーク管理者はもちろん、ネットワークサービス提供者や機器ベンダなど、インターネットにさまざまな立場から携わるメンバーが、それぞれの立場で取ることができる対策は何かについて議論が交わされた。

オープンリゾルバとは何か、何が問題か

　「オープンリゾルバ」とは、不適切な設定のために、誰からの問い合わせにも答えてしまうキャッシュDNSサーバのことだ。本来ならば、適切なアクセスコントロールが施されるべきキャッシュDNSサーバにそれが設定されておらず、外部からの問い合わせにも応答を返してしまう状態を指す。

　なぜこれが問題かというと、DNSの特徴が関連してくる。DNSでは、問い合わせのパケットに比べ、応答パケットのサイズが非常に大きなものとなり得る。この特徴を悪用し、送信元IPアドレスを、ターゲットとなる犠牲者に詐称（＝IPスプーフィング）した問い合わせパケットをオープンリゾルバに投げつけることで、1つ1つのサイズが大きな応答パケットが大量に被害対象に送りつけられ、DDoS状態に陥ってしまう。この特徴から、オープンリゾルバを悪用したDDoS攻撃は、「DNSリフレクション攻撃」や「DNS Amplification Attacks」（DNS増幅攻撃、DNS amp）などと呼ばれている。