DNSの再帰的な問合せを使ったDDoS攻撃の対策

  • 投稿日:
  • by
  • カテゴリ:

ネームサーバ診断
にてDNSの再帰的な問合せを使ったDDoS攻撃の踏み台になるかどうかの確認ができます。

踏み台の可能性がある場合はDNSの再設定が必要です。BIND9の場合の設定を書いておきます。

セキュリティの観点からですと、キャッシュサーバと分離した方が良いらしい。

BIND9を使っている場合以下のような設定ができます。

named.conf での設定
options 配下で設定するもの。
[ max-cache-size ] ※BIND9から追加
デフォルトは、unlimited(無制限)です。

[ max-cache-ttl ]
デフォルトは 604800秒(一週間)

[ max-ncache-ttl ] ※BIND9から追加
デフォルトは 10800秒(3時間)

[ cleaning-interval ]
デフォルトは 60分 0に設定をするとキャッシュの掃除はされなくなります。

[ recursive-clients ] ※BIND9から追加
recursive-clients × 20kbytes らしいので、実メモリより小さくする。
同時にいくつからの問い合わせに答えるか?という設定です。
適切な大きさで設定

[ lame-ttl ]
0-1800(3分)の間で設定

view 配下での設定
internal 内向けの設定をします。
external 外向けの設定をします。

[ match-clients ] 
ホスト、またはネットワークを設定。
192.168.0.1/32 (端末指定)
192.168.0.0/24 (ネットワーク指定)
localhost (自分)

[ recursion ]
再帰的な問い合わせをするかの設定。
yes 問い合わせをする
no 問い合わせをしない
グローバル側では再帰的な問い合わせは必要ではないため、no に設定する。

設定の参考例。各項目の設定は状況に合わせて変更してください。
/etc/named.conf
options {
directory "/var/named"; //bindの設定ファイルを置く場所の指定
max-cache-size unlimited;
max-cache-ttl 60;
max-ncache-ttl 60;
cleaning-interval 15;
//recursive-clients 400;
//lame-ttl 600;
};

//内向けの設定
view "internal" {
match-clients {210.249.66.96/29; 192.168.0.0/24; localhost; };
recursion yes; //再帰的な問合せをするため yes
zone "." IN {
type hint;
file "named.ca";
};
zone "localhost" IN {
type master;
file "localhost.zone";
allow-update { none; };
};
zone "0.0.127.in-addr.arpa" IN {
type master;
file "named.local";
allow-update { none; };
};
zone "96h.66.249.210.in-addr.arpa" {
type master;
file "96h.66.249.210.in-addr.arpa";
};
zone "zephel.com" {
type master;
file "zephel.com.zone";
};
};

//外向けの設定
view "external" {
match-clients {any; };
recursion no; //再帰的な問い合わせをさせないため no
zone "." IN {
type hint;
file "named.ca";
};
zone "localhost" IN {
type master;
file "localhost.zone";
allow-update { none; };
};
zone "0.0.127.in-addr.arpa" IN {
type master;
file "named.local";
allow-update { none; };
};
zone "96h.66.249.210.in-addr.arpa" {
type master;
file "96h.66.249.210.in-addr.arpa";
};
zone "zephel.com" {
type master;
file "zephel.com.zone";
};
};

参照サイト
Man page of NAMED.CONF
@IT 第11回 BIND 9のチューニングと大規模運用

http://jprs.jp/tech/notice/2006-03-29-dns-cache-server.html
DNSの再帰的な問い合わせを悪用したDDoS攻撃手法の検証について(@police)