サイバーインシデントがなくなるその日まで

JPCERT Coordination Center

powered by Yahoo! JAPAN

  • このサイト内を検索
  • ウェブ全体を検索

オープンリゾルバー確認サイト

最終更新: 2023-06-01
オープンリゾルバー確認サイトについて

JPCERT/CCは、インターネット利用者が、自分の利用する環境がオープンリゾルバーとして機能していないか、適切な設定や対策が施されているかを確認できる「オープンリゾルバー確認サイト」を運用しています(2014年運用開始)。
具体的には、利用するPCに設定されているDNSサーバーと、本確認サイトへの接続元となっているブロードバンドルーターなどのネットワーク機器がオープンリゾルバーとなっていないかを確認することができます。

オープンリゾルバー確認サイト
https://www.openresolver.jp/

オープンリゾルバー確認サイトでは、実際に名前解決要求を行った結果に基づき判定を行いますが、踏み台とならないように対策が施されてるDNSサーバーがオープンリゾルバーと判定されることはあります。
「オープンリゾルバー確認サイト」に関してのご質問は、cm-info@jpcert.or.jpにお寄せください。

オープンリゾルバーとは

オープンリゾルバーとは、外部の不特定のIPアドレスからの再帰的な問い合わせを許可しているDNSサーバーのことです。オープンリゾルバーは、その特性からDDoS攻撃の踏み台として悪用されることがあります。なお、オープンリゾルバーは、DNSサーバーの設定不備によるものだけでなく、ブロードバンドルーターなどのネットワーク機器に組み込まれているリゾルバーが意図せずインターネットからアクセス可能になっているケースがあります。
オープンリゾルバーは、その特性からDDoS攻撃の踏み台となることが知られており、複数の組織から注意が発せられています。

JPCERT/CC
DNS の再帰的な問い合わせを使った DDoS 攻撃に関する注意喚起
https://www.jpcert.or.jp/at/2013/at130022.html

JPRS
DNSサーバーの不適切な設定「オープンリゾルバー」について
http://jprs.jp/important/2013/130418.html

JPNIC
オープンリゾルバ(Open Resolver)に対する注意喚起
https://www.nic.ad.jp/ja/dns/openresolver/

オープンリゾルバーと判定された場合の対策

「オープンリゾルバー確認サイト」にて、設定されているDNSサーバーやブロードバンドルーターがオープンリゾルバーと判定されたときは、設定の見直しを行ってください。なお、オープンリゾルバーと判定されたことや、対策したことについて、JPCERT/CCへ報告を寄せていただく必要はありません。

  • DNSサーバーの管理者の方へ
    • 「オープンリゾルバー確認サイト」を自ら利用して、あるいは「オープンリゾルバー確認サイト」を利用したインターネット利用者からの連絡により、DNSサーバーがオープンリゾルバーと判定された場合には、設定や対策の確認を行ってください。何らかの対策を講じているケースでも、「オープンリゾルバー確認サイト」からの名前解決を受け付けた場合には、オープンリゾルバーと判定をしているケースもあります。

  • ブロードバンドルーターなど接続元IPアドレスがオープンリゾルバーと判定された方へ
    • ブロードバンドルーターの設定や設置方法が適切かを確認してください。また、ファームウェアにより対策が施されているケースもあります。対策方法は機器により異なりますので、マニュアルをよく確認し適切な設定を行ってください。使用中の製品で適切な対策が施せない場合には、対策可能な別の製品にリプレースすることもアイデアの一つです。

    JVN#62507275
    複数のブロードバンドルータがオープンリゾルバとして機能してしまう問題
    https://jvn.jp/jp/JVN62507275

オープンリゾルバー確認サイトでの確認方法

オープンリゾルバー確認サイトへアクセスする
オープンリゾルバー確認サイトは、Webブラウザーでアクセスして確認を行うことを想定しています。次のWebサイトにアクセスしてください。なお、オープンリゾルバー確認サイトでは、判定結果をplaintextやJSONにて出力することもできます。wgetなどのコマンドを使ってコマンドラインからでも確認できます。

オープンリゾルバー確認サイト
https://www.openresolver.jp/

「オープンリゾルバー確認サイト」の記載を確認し、「確認」ボタンを押してオープンリゾルバーであるかどうかの確認を行う
オープンリゾルバー確認サイトでは、IPv4とIPv6のいずれも確認を行うことができます。アクセスしたPCに設定されているDNSサーバーと接続元IPアドレスの両方に対して確認を行った後、「オープンリゾルバー確認結果」を返します。

  • 「オープンリゾルバー確認結果」の例(オープンリゾルバーと判定されなかったケース)

    • openresolver_v4.png
  • 「オープンリゾルバー確認結果」の例(オープンリゾルバーと判定されたケース)

    • pr130002-2.png


(参考)「オープンリゾルバー確認サイト」をWebブラウザーを用いずコマンドラインから確認する場合
wgetコマンドでの操作例を示します。なお、検査対象がオープンリゾルバーであった場合には「OPEN」の文字列を返します。

  • plaintextでの出力
    • $ wget -qO - https://www.openresolver.jp/cli/check.html
Configured DNS server: [Not open] 203.0.113.4(None)
Configured DNS server: [Not open] 203.0.113.3(None)
Source IP address: [Not open] 203.0.113.5(p7195-ipbffx02hibiya.t0ky0.0cm.ne.jp.)
  • JSONでの出力
    • $ wget -qO - https://www.openresolver.jp/checkme
{"created_at":"2021-11-25T06:01:28.424957+00:00","fullresolvers":[{"created_at":"2021-11-25T05:59:58.151737+00:00","ipaddress":"203.0.113.194","is_openresolver":false,"ptr_rr":null},{"created_at":"2021-11-25T05:54:18.197374+00:00","ipaddress":"203.0.113.2","is_openresolver":false,"ptr_rr":null}],"gateway":{"created_at":"2021-11-25T05:53:36.918023+00:00","ipaddress":"203.0.113.195","is_openresolver":false,"ptr_rr":"p7195-ipbffx02hibiya.t0ky0.0cm.ne.jp."},"nonce":"67ykf6z754xrvkasn17fp28rq7x8rt2xw6wh95t3xwb79l359u9ze5og9jnp72a","path":"/checkme"}

Topへ

公開資料を見る

おすすめ情報