DNSへの攻撃 [通信・ネットワーク]
ここ最近、というか今更ですが、DNSへのDDoS攻撃がハンパないですね。
当方も自前でDNSを運用していますが、最近ひどい気がする(弱小無名サイトなので影響無いけど。)
まぁ、もっともひどいと言われているキャッシュDNSは管理ネットワーク内のみで運用しているので、
世間のISPさんに比べたら全然マシですが。
ってことで、DNSで困ったことにならないための覚書。(BINDの場合)
○基本ポリシー
・コンテンツDNSとキャッシュDNSはなるべく別々に運用する。
・キャッシュDNSのACLは適切に。
・やむ得ず、同居する場合はACLをしっかりと。
・コンテンツDNSだけで運用する場合は、明示的にrecursion no ; または消す。
・バージョン情報は出さない。 version "unknown"; でOK
・ソースポートランダマイゼーションを有効にする(53番だけとかにしない)
#listen-on port 53 { 127.0.0.1; };
#listen-on-v6 port 53 { ::1; };
↑コメントアウトしておく。
・BINDのバージョンを上げておく。(BIND9で十分だけど、アップデートはマスト!)
最低限これだけはやった方がいいです。
特に、 ソースポートランダマイゼーションをいれておかないと、あっという間に毒入れされます。
また、recursion yesでANYの設定なんて論外です。他人に迷惑かけてますよ!!
ぜひ、ご自身のDNSがまともに運用されているかご確認ください。
詳しくは、JPRSさんのサイトにいい資料が置いてありました。
http://jprs.jp/tech/security/2014-05-30-poisoning-countermeasure-auth-1.pdf
コメント 0