よくあるお問い合わせ

質問
BINDのDNSオープンリゾルバ対策について教えてください。
お問い合わせ分類
トラブル解決
対象のサービス
ZOOT NEXT/ZOOT(PPPoE接続)

答え

Windows Serverにおいて「Microsoft DNS」を利用している場合は、こちらをご参照ください。
また、ルーターのオープンリゾルバ対策については、こちらをご参照ください。

文末の参考文献を元に、以下の3パターンにまとめました。ご利用方法に応じてBINDの設定を修正し対策を講じてくださいますようお願い致します。

BINDの設定ファイルは標準的に/etc/named.conf もしくは /usr/local/etc/named.confとなります。

設定変更後は、BINDをreloadまたはrestartして変更を反映させてください。

>設定例1)権威DNSサーバーのみ運用している場合
>設定例2)キャッシュDNSサーバーを運用している場合
>設定例3)権威DNSサーバーとキャッシュDNSサーバーを兼用している場合

設定例1)権威DNSサーバーのみ運用している場合

リゾルバーとしての動作を止めて、内外部からのクエリを全面的に禁止します。(推奨)

//======================================
// /etc/named.conf
//======================================

options {
  ...
  recursion no;       // リゾルバーとして動作しません
  allow-query { any; };    // 何処からのクエリでも受け取ります
  allow-recursion { none; };  // リゾルバーとして動作しません
  allow-query-cache { none; }; // キャッシュの内容を返しません
  ...
};

設定例2)キャッシュDNSサーバーを運用している場合

クエリを許可するアドレスをaclに記載し、そこからのアクセスのみを許す設定にします。
以下例では、自宅または社内ネットワーク帯域(LAN)を「192.168.1.0/24」とし、外部からのクエリを禁止し、LAN内からのみクエリを許可します。

//======================================
// /etc/named.conf
//======================================

acl my-network {   // aclで、my-networkという名前を定義し、問い合わせを許可するIPアドレスを設定します
   192.168.1.0/24;  // 自宅・社内のネットワーク帯域
   localhost;
};

options {
  ...
  recursion yes;    // キャッシュDNSサーバーとして動作します
  allow-query {    // my-networkからのみクエリを許可します
  my-network;

  allow-recursion { my-network; };  // リゾルバーとしての応答をmy-networkからのみ許可します
  allow-query-cache { my-network; }; // キャッシュの内容をmy-networkのみに返す
  ...
};

設定例3)権威DNSサーバーとキャッシュDNSサーバーを兼用している場合

権威DNSサーバーとして何処からもクエリを受け取り、キャッシュサーバーはLANからのみクエリを許可します。
以下例では、自宅または社内ネットワーク帯域(LAN)を「192.168.1.0/24」としています。

//======================================
// /etc/named.conf
//======================================

acl my-network {   // aclで、my-networkという名前を定義し、問い合わせを許可するIPアドレスを設定します
   192.168.1.0/24; // 自宅・社内のネットワーク帯域
   localhost;
};

options {
  ...
  recursion yes;           // キャッシュDNSサーバーとして動作します
  allow-query { any; };     // 何処からのクエリでも受け取ります
  allow-recursion { my-network; };  // リゾルバーとしての応答をmy-networkからのみ許可します
  allow-query-cache { my-network; }; // キャッシュの内容をmy-networkのみに返します
  ...
};


診断ツールでチェック

対策・設定完了後、DNS/NTP/SNMP/UPnPリフレクション診断ツールでチェックを行ってください。

>>DNS/NTP/SNMP/UPnPリフレクション診断ツール

                                                           
参考文献
>>JPRS 設定ガイド:オープンリゾルバー機能を停止するには【BIND編】

>>JPRS DNS の再帰的な問合せを使った DDoS 攻撃の対策について【BIND編】

>>JPNIC オープンリゾルバ(Open Resolver)に対する注意喚起

>>JPCERT オープンリゾルバ確認サイト公開のお知らせ

>>2013.4.30 注意喚起活動:DNSサーバーを運用されているお客様へ オープンリゾルバDNS対策にご協力を!

 

この回答は役に立ちましたか?評価をお願いします。

メンバーIDまたはメールアドレス:
パスワード: