-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

各位

                                                   JPCERT-AT-2013-0022
                                                             JPCERT/CC
                                                            2013-04-18

                  <<< JPCERT/CC Alert 2013-04-18 >>>

        DNS の再帰的な問い合わせを使った DDoS 攻撃に関する注意喚起

          https://www.jpcert.or.jp/at/2013/at130022.html


I. 概要

  JPCERT/CC では、海外 CSIRT などから、日本国内の DNS キャッシュサーバ
を使用した DDoS 攻撃が発生しているとの報告を受けています。

JPCERT/CC に報告された攻撃では、攻撃者は外部からの再帰的な問い合わせを
許可している DNS キャッシュサーバ (以下、オープンリゾルバ) を使用して、
DNS アンプ攻撃を行っているとのことです。攻撃者は、攻撃対象の IP アドレ
スを送信元 IP アドレスに偽装した再帰的な問い合わせパケットをオープンリ
ゾルバに送信することで、大量の応答パケットや巨大なサイズの応答パケット
を攻撃対象 (Web サイトなど)に送りつけます。

外部からの再帰的な問い合わせを受け付けるオープンリゾルバは、攻撃者によ
って DDoS 攻撃に使用される可能性があります。また、使用しているネットワ
ーク機器やソフトウエア製品に DNS サーバが組み込まれていて、ユーザが知
らない間にオープンリゾルバとして、使用されている可能性も考えられます。

自身の運用しているサーバやネットワーク機器で DNS キャッシュサーバが稼
働しているか確認し、それらの設定を適切にすることを推奨します。


II. 対象

  サーバやネットワーク機器などにおいて、外部から DNS の再帰的な問い合
わせを受け付けるものが対象となります。

  - DNS キャッシュサーバ
  - DNS キャッシュサーバが稼働しているネットワーク機器

また、ソフトウエア製品の一部には、インストール時に自動的に DNS サーバ
がインストールされる製品があり、意図せずオープンリゾルバとして稼働して
いる可能性があります。


III. 対策

  運用管理対象のキャッシュサーバにおいて再帰的な問い合わせを受け付ける
範囲を確認し、必要最小限になるようアクセス制限を施してください。また、
この機会に DNS サーバの設定を確認し、意図した動作をしているか見直すこ
とをお勧めします。

  なお、対策に関する詳細については、以下を参考にしてください。

    JPRS
    DNS の再帰的な問合せを使った DDoS 攻撃の対策について
    http://jprs.jp/tech/notice/2006-03-29-dns-cache-server.html


IV. 参考情報

    JPNIC
    オープンリゾルバ(Open Resolver)について
    https://www.nic.ad.jp/ja/dns/openresolver/

    JPRS
    DNSサーバーの不適切な設定「オープンリゾルバー」について
    http://jprs.jp/important/2013/130418.html

    JPCERT/CC
    【今週のひとくちメモ】DNS キャッシュサーバの設定に注意
    https://www.jpcert.or.jp/tips/2013/wr131201.html

    US-CERT
    DNS Amplification Attacks
    https://www.us-cert.gov/ncas/alerts/TA13-088A


  今回の件につきまして当方まで提供いただける情報がございましたら、ご連
絡ください。

======================================================================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600  FAX: 03-3518-4602
https://www.jpcert.or.jp/

-----BEGIN PGP SIGNATURE-----

iQEcBAEBCAAGBQJRb1EtAAoJEDF9l6Rp7OBIZSIH/juxvVWl+ttLxjXXepGuRZ7i
v34heL+iy3jRQCr9JBJFFdS6BPYDJHCltuA6IQtrMRGnVrMe6QI6GIRBklgigCsY
etVzqm5t2sE2zpibbep20lfvEc1EYnSTLVDSvlcCM91veLggfOnMp3EeENf3Et3s
B+YWWacHIimf5GwburY5Z9FsiLLBEVxXR2kHtbo+YbYZ+DTyBL+PjAp/klDfZWHo
pQ2BPNVTx8/3O3adeWrKXW49Bp+UOgqx+L3dKtWYe7eN+51LqLZlD424vLTgEd8I
S8tOmPcuU+xt7PRWzBb0Tj/uYszv3JhvqY0JydXIaA+CbyJ7Q6h1whSt8xvPlag=
=ZGjB
-----END PGP SIGNATURE-----