DNSの仕組みを悪用したDDoS攻撃が発生、国内サーバも「踏み台」に

DNSの再帰検索の仕組みを用いた広範なDDoS攻撃が複数発生し、しかもその攻撃に日本国内のサイトが悪用されている。

» 2006年03月29日 19時03分 公開
[高橋睦美,ITmedia]

 DNSの再帰検索の仕組みを用いたDDoS(分散DoS)攻撃が複数発生している(関連記事)。しかもその攻撃に日本国内のサイトが悪用されていることから、JPCERTコーディネーションセンター(JPCERT/CC)は3月29日、警告を発した。

 一連のDDoS攻撃では、ボットが直接ターゲットに攻撃パケットを送り付ける典型的なDoS攻撃とは異なり、設定が不十分なDNSサーバに対するリクエストを悪用する手法が用いられている。

 攻撃者は、再帰検索を許可しているDNSサーバ(キャッシュサーバ)に、返信先として被害者をかたったクエリを送り付ける。再帰検索の範囲を限定していないDNSサーバがこれに答え、大量のDNSリプライを送信してしまうため、被害者側がDoS状態に陥るという仕組みだ。この場合DNSサーバは、他の組織をターゲットとしたDDoS攻撃の片棒を担ぐ、いわゆる踏み台と化していることになる。

 US-CERTはこの攻撃方式について「インターネット上でコミュニケーションを行うあらゆるシステムはDNSトラフィックを許可する必要がある。このため、この攻撃は非常にやっかいなものだ」と説明している。

 この問題は数年前から、ISP関係者などの間で話題になっていた。しかし「ネットワークやシステムの機能が向上し、攻撃がしやすくなっている状態にある」(JPCERT/CC)うえに、実際に幾つか攻撃に関する報告が上がり始めたことから、注意喚起を行うことにしたという。

 問題の原因は、管理下にないネットワークや信頼できないネットワークからの再帰検索を許可しているDNSサーバ(キャッシュサーバ)が存在すること。再帰検索を拒否するか、少なくとも受け付ける範囲を限定することによって問題は避けられる。「キャッシュサーバというのは、あまり不特定多数に公開する性質のものではない。必要最低限の範囲に制限すべきものをきちんと制限してほしい」(JPCERT/CC)

 JPCERT/CCやJPRS(日本レジストリサービス)ではこの問題を防止するため、再帰検索を受け付ける範囲について、適切なアクセス制限を行うよう呼びかけ、情報を公開した。

 注意が必要なのは、DNSの実装によって状況や設定が異なる点だ。djbdnsはコンテンツサーバとキャッシュサーバが分離されているため比較的対応が容易だが、Windows DNS サービスの場合、単体ではアクセスを制限する機能はなく、またコンテンツサーバとキャッシュサーバの機能が兼用となっているため、環境によっては構成を変更する必要がある。また、最も広く用いられているBINDの場合、デフォルトでは再帰検索の範囲が制限されておらず、明示的に設定を行う必要がある。

 なおUS-CERTの文書によると、Infobloxが実施した約130万台のDNSサーバを対象とした調査の結果、75%が再帰検索を受け付ける設定になっていた。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ