JPCERT/CCは、インターネット利用者が、自分の利用する環境がオープンリゾルバーとして機能していないか、適切な設定や対策が施されているかを確認できる「オープンリゾルバー確認サイト」を運用しています(2014年運用開始)。 具体的には、利用するPCに設定されているDNSサーバーと、本確認サイトへの接続元となっているブロードバンドルーターなどのネットワーク機器がオープンリゾルバーとなっていないかを確認することができます。 オープンリゾルバー確認サイト https://www.openresolver.jp/ オープンリゾルバー確認サイトでは、実際に名前解決要求を行った結果に基づき判定を行いますが、踏み台とならないように対策が施されてるDNSサーバーがオープンリゾルバーと判定されることはあります。 「オープンリゾルバー確認サイト」に関してのご質問は、cm-info@jpcert.or.jpにお寄せください。
オープンリゾルバーとはオープンリゾルバーとは、外部の不特定のIPアドレスからの再帰的な問い合わせを許可しているDNSサーバーのことです。オープンリゾルバーは、その特性からDDoS攻撃の踏み台として悪用されることがあります。なお、オープンリゾルバーは、DNSサーバーの設定不備によるものだけでなく、ブロードバンドルーターなどのネットワーク機器に組み込まれているリゾルバーが意図せずインターネットからアクセス可能になっているケースがあります。 オープンリゾルバーは、その特性からDDoS攻撃の踏み台となることが知られており、複数の組織から注意が発せられています。 JPCERT/CC DNS の再帰的な問い合わせを使った DDoS 攻撃に関する注意喚起 https://www.jpcert.or.jp/at/2013/at130022.html JPRS DNSサーバーの不適切な設定「オープンリゾルバー」について http://jprs.jp/important/2013/130418.html JPNIC オープンリゾルバ(Open Resolver)に対する注意喚起 https://www.nic.ad.jp/ja/dns/openresolver/
オープンリゾルバーと判定された場合の対策「オープンリゾルバー確認サイト」にて、設定されているDNSサーバーやブロードバンドルーターがオープンリゾルバーと判定されたときは、設定の見直しを行ってください。なお、オープンリゾルバーと判定されたことや、対策したことについて、JPCERT/CCへ報告を寄せていただく必要はありません。
- DNSサーバーの管理者の方へ 「オープンリゾルバー確認サイト」を自ら利用して、あるいは「オープンリゾルバー確認サイト」を利用したインターネット利用者からの連絡により、DNSサーバーがオープンリゾルバーと判定された場合には、設定や対策の確認を行ってください。何らかの対策を講じているケースでも、「オープンリゾルバー確認サイト」からの名前解決を受け付けた場合には、オープンリゾルバーと判定をしているケースもあります。
- ブロードバンドルーターなど接続元IPアドレスがオープンリゾルバーと判定された方へ ブロードバンドルーターの設定や設置方法が適切かを確認してください。また、ファームウェアにより対策が施されているケースもあります。対策方法は機器により異なりますので、マニュアルをよく確認し適切な設定を行ってください。使用中の製品で適切な対策が施せない場合には、対策可能な別の製品にリプレースすることもアイデアの一つです。 JVN#62507275 複数のブロードバンドルータがオープンリゾルバとして機能してしまう問題 https://jvn.jp/jp/JVN62507275
(1)オープンリゾルバー確認サイトへアクセスする オープンリゾルバー確認サイトは、Webブラウザーでアクセスして確認を行うことを想定しています。次のWebサイトにアクセスしてください。なお、オープンリゾルバー確認サイトでは、判定結果をplaintextやJSONにて出力することもできます。wgetなどのコマンドを使ってコマンドラインからでも確認できます。 オープンリゾルバー確認サイト https://www.openresolver.jp/ (2)「オープンリゾルバー確認サイト」の記載を確認し、「確認」ボタンを押してオープンリゾルバーであるかどうかの確認を行う オープンリゾルバー確認サイトでは、IPv4とIPv6のいずれも確認を行うことができます。アクセスしたPCに設定されているDNSサーバーと接続元IPアドレスの両方に対して確認を行った後、「オープンリゾルバー確認結果」を返します。
- 「オープンリゾルバー確認結果」の例(オープンリゾルバーと判定されなかったケース)
- 「オープンリゾルバー確認結果」の例(オープンリゾルバーと判定されたケース)
(参考)「オープンリゾルバー確認サイト」をWebブラウザーを用いずコマンドラインから確認する場合 wgetコマンドでの操作例を示します。なお、検査対象がオープンリゾルバーであった場合には「OPEN」の文字列を返します。
- plaintextでの出力
$ wget -qO - https://www.openresolver.jp/cli/check.html Configured DNS server: [Not open] 203.0.113.4(None) Configured DNS server: [Not open] 203.0.113.3(None) Source IP address: [Not open] 203.0.113.5(p7195-ipbffx02hibiya.t0ky0.0cm.ne.jp.)
$ wget -qO - https://www.openresolver.jp/checkme {"created_at":"2021-11-25T06:01:28.424957+00:00","fullresolvers":[{"created_at":"2021-11-25T05:59:58.151737+00:00","ipaddress":"203.0.113.194","is_openresolver":false,"ptr_rr":null},{"created_at":"2021-11-25T05:54:18.197374+00:00","ipaddress":"203.0.113.2","is_openresolver":false,"ptr_rr":null}],"gateway":{"created_at":"2021-11-25T05:53:36.918023+00:00","ipaddress":"203.0.113.195","is_openresolver":false,"ptr_rr":"p7195-ipbffx02hibiya.t0ky0.0cm.ne.jp."},"nonce":"67ykf6z754xrvkasn17fp28rq7x8rt2xw6wh95t3xwb79l359u9ze5og9jnp72a","path":"/checkme"}