JPCERT/CCは、お手元のPCからオープンリゾルバーの確認ができるサイトに3つの機能を追加しました。
[新機能]
オープンリゾルバー確認サイト
https://www.openresolver.jp/
オープンリゾルバーとは、外部の不特定のIPアドレスからの再帰的な問い合わせを許可しているDNSサーバーのことです。オープンリゾルバーは国内外に多数存在し、大規模なDDoS攻撃の踏み台として悪用されているとの報告があります。
JPCERT/CC Alert 2013-04-18 JPCERT-AT-2013-0022
DNS の再帰的な問い合わせを使った DDoS 攻撃に関する注意喚起
https://www.jpcert.or.jp/at/2013/at130022.html
また、DNSサーバーとして運用しているホストだけではなく、ブロードバンドルーターなどのネットワーク機器が意図せずオープンリゾルバーになっている事例があることを確認しています。
本確認サイトでは、お使いのPCに設定されているDNSサーバーと、本確認サイトへの接続元となっているブロードバンドルーターなどのネットワーク機器がオープンリゾルバーとなっていないかを確認することが可能です。
また、ホスティングサービスで使用しているサーバーがユーザーの意図しないままオープンリゾルバーとなっている事象も多く報告されています。これらのホスト管理者の方が wget コマンドなどを使用してコマンドラインから確認できるサイトも用意しています。
I. 確認方法
(a) Web ブラウザーで確認
1) Web ブラウザで以下のサイトにアクセスします。
オープンリゾルバー確認サイト
https://www.openresolver.jp/
2) 本サイトの動作に関する説明をお読みいただき、その動作に同意いただき、チェックボックスにチェックをして確認ボタンをクリックしてください。
・接続元IPアドレスがIPv4の場合
3) 結果が表示され、「オープンリゾルバーの可能性があります。」と表示されたときは「II. 対策」を参照してください。
お使いの PC に設定されている DNS サーバーまたは接続元となっているブロードバンドルーターなどのネットワーク機器がオープンリゾルバーになっている可能性がある場合は、以下の画面が表示されます。
(b) コマンドラインで確認
下記の例のようにwgetもしくはcurlコマンドを実行します。
結果が表示され、どちらかが「OPEN」となっているときは、「II. 対策」を参照してください。
wget の場合:
[Text形式]
$ wget -qO - https://www.openresolver.jp/cli/check.html Configured DNS server: [Not open] 203.0.113.4(None) Configured DNS server: [Not open] 203.0.113.3(None) Source IP address: [Not open] 203.0.113.5(p7195-ipbffx02hibiya.t0ky0.0cm.ne.jp.)[JSON形式]
$ wget -qO - https://www.openresolver.jp/checkme
{"created_at":"2021-11-25T06:01:28.424957+00:00","fullresolvers":[{"created_at":"2021-11-25T05:59:58.151737+00:00","ipaddress":"203.0.113.194","is_openresolver":false,"ptr_rr":null},{"created_at":"2021-11-25T05:54:18.197374+00:00","ipaddress":"203.0.113.2","is_openresolver":false,"ptr_rr":null}],"gateway":{"created_at":"2021-11-25T05:53:36.918023+00:00","ipaddress":"203.0.113.195","is_openresolver":false,"ptr_rr":"p7195-ipbffx02hibiya.t0ky0.0cm.ne.jp."},"nonce":"67ykf6z754xrvkasn17fp28rq7x8rt2xw6wh95t3xwb79l359u9ze5og9jnp72a","path":"/checkme"}
curl の場合:
[Text形式]
$curl --location --cookie-jar cookie.txt https://www.openresolver.jp/cli/check.html Configured DNS server: [Not open] 203.0.113.3(None) Source IP address: [Not open] 203.0.113.195(p7195-ipbffx02hibiya.t0ky0.0cm.ne.jp.)[JSON形式]
$ curl --location --cookie-jar cookie.txt https://www.openresolver.jp/checkme
{"created_at":"2021-11-25T07:32:26.304897+00:00","fullresolvers":[{"created_at":"2021-11-25T07:31:39.132851+00:00","ipaddress":"203.0.113.2","is_openresolver":false,"ptr_rr":null}],"gateway":{"created_at":"2021-11-25T07:31:11.498242+00:00","ipaddress":"203.0.113.195","is_openresolver":false,"ptr_rr":"p7195-ipbffx02hibiya.t0ky0.0cm.ne.jp."},"nonce":"dljg2wrqrzq6em5m55q4rghqdd30an3p1j3fc828y0y4eupvbppwgvbn1zll7fy","path":"/checkme"}
II. 対策
(1) 設定されているDNSサーバーがオープンリゾルバーと判定されたとき・ご自身 (もしくは自組織) の管理するDNSサーバーの場合
DNSサーバーの設定を見直すことをご検討ください。
JPRS
DNSサーバーの不適切な設定「オープンリゾルバー」について
http://jprs.jp/important/2013/130418.html
JPNIC
オープンリゾルバ(Open Resolver)に対する注意喚起
https://www.nic.ad.jp/ja/dns/openresolver/
・上記以外の場合 (プロバイダーのDNSサーバーなど)
JPCERT/CCより管理者の方へ連絡いたしますので、JPCERT/CCへの報告をご検討ください。
JPCERT/CC
JPCERT/CCインシデント対応依頼
https://form.jpcert.or.jp/
(2) 接続元の IPアドレスがオープンリゾルバーと判定されたとき
・該当の IPアドレスがブロードバンドルーターなどのネットワーク機器の場合
1) お使いのブロードバンドルーターなどのネットワーク機器の設定や、最新のソフトウェアバージョンをお使いかどうかの確認をしてください。
※ 製品の取り扱い方法については、メーカーのマニュアルやサポートサイト等をご参照ください。
Japan Vulnerability Notes JVN#62507275
複数のブロードバンドルータがオープンリゾルバとして機能してしまう問題
https://jvn.jp/jp/JVN62507275/index.html
2) オープンリゾルバとなっていた機器について、JPCERT/CCへの報告をご検討ください。
JPCERT/CC
JPCERT/CCインシデント対応依頼
https://form.jpcert.or.jp/
・該当の IP アドレスがサーバーの場合
1) DNS サーバーの設定を確認してください。
※ DNS サービスが不要な場合は停止することをご検討ください。
JPRS
DNSサーバーの不適切な設定「オープンリゾルバー」について
http://jprs.jp/important/2013/130418.html
JPNIC
オープンリゾルバ(Open Resolver)に対する注意喚起
https://www.nic.ad.jp/ja/dns/openresolver/
(3) 本件につきましてそのほかご提供いただける情報がございましたらJPCERT/CCへご連絡ください。
JPCERT/CC
JPCERT/CCインシデント対応依頼
https://www.jpcert.or.jp/form/
