DNSへの攻撃

ここ最近、というか今更ですが、DNSへのDDoS攻撃がハンパないですね。
当方も自前でDNSを運用していますが、最近ひどい気がする（弱小無名サイトなので影響無いけど。）
まぁ、もっともひどいと言われているキャッシュDNSは管理ネットワーク内のみで運用しているので、
世間のISPさんに比べたら全然マシですが。

ってことで、DNSで困ったことにならないための覚書。（BINDの場合）

○基本ポリシー
・コンテンツDNSとキャッシュDNSはなるべく別々に運用する。
・キャッシュDNSのACLは適切に。
・やむ得ず、同居する場合はACLをしっかりと。
・コンテンツDNSだけで運用する場合は、明示的にrecursion no ; 　または消す。
・バージョン情報は出さない。　version         "unknown";　でOK
・ソースポートランダマイゼーションを有効にする（53番だけとかにしない）
　#listen-on port 53 { 127.0.0.1; };
　#listen-on-v6 port 53 { ::1; };　
　↑コメントアウトしておく。
・BINDのバージョンを上げておく。（BIND9で十分だけど、アップデートはマスト！）

最低限これだけはやった方がいいです。
特に、 ソースポートランダマイゼーションをいれておかないと、あっという間に毒入れされます。
また、recursion yesでANYの設定なんて論外です。他人に迷惑かけてますよ！！

ぜひ、ご自身のDNSがまともに運用されているかご確認ください。

詳しくは、JPRSさんのサイトにいい資料が置いてありました。
http://jprs.jp/tech/security/2014-05-30-poisoning-countermeasure-auth-1.pdf