DNSの再帰的な問合せを使ったDDoS攻撃の対策
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
検索
|
最終更新
|
ヘルプ
]
開始行:
サーバーを立ち上げてDNSサーバーをプライマリーにて運用して...
どうやらDNSのキャッシュ機能を悪用したDDoS攻撃の踏み台にさ...
攻撃名は「DNSamp」や「DNSリフレクション攻撃」と呼ばれたり...
DNSにはBIND9をしており、以下のような対策をしたので、メモ...
*BINDを最新バージョンにする [#eec504c1]
# yum update bind
*問い合わせを受け付けるネットワークを制限する [#q9a21e0d]
条件
-プライマリサーバーのIPは192.168.0.2
-セカンダリサーバーのIPは192.168.0.3
-プライマリで運用しているドメインはexample.com
-セカンダリで運用しているドメインはexample2.com
# vi /etc/named.conf
// 許可するネットワークを定義
acl my-network {
192.168.0.2/32;
192.168.0.3/32;
};
options {
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
//fetch-glue no; // BIND9の場合は不要
recursion yes; // キャッシュサーバーの場合 yes
// 問い合わせを許可するネットワーク
allow-query {
localhost;
my-network;
};
allow-transfer { none; }; // 転送は全部拒否
};
zone "example.com" IN {
type master;
file "example.com";
allow-query { any; }; // 公開するゾーンなのでどこか...
allow-transfer {
192.168.0.3; // セカンダリに転送許可
};
};
zone "example2.com" {
type slave;
file "example2.com";
masters { 192.168.0.2; };
allow-query { any; }; // 公開するゾーンなのでどこか...
};
これでexample.comとexample2.com以外についての問い合わせは...
*確認方法 [#q29424f3]
$ dig @192.168.0.2 yahoo.co.jp any
status: REFUSED などと出て、IPアドレスを引くことができな...
もちろん自ドメインについて正引きができることも確認してお...
**参考資料 [#ic5ac2d2]
警視庁資料~
http://www.npa.go.jp/cyberpolice/server/rd_env/pdf/200607...
JPRS資料~
http://jprs.jp/tech/notice/2006-03-29-dns-cache-server.html
Web担当者Forum~
http://web-tan.forum.impressrd.jp/e/2009/01/15/4414
終了行:
サーバーを立ち上げてDNSサーバーをプライマリーにて運用して...
どうやらDNSのキャッシュ機能を悪用したDDoS攻撃の踏み台にさ...
攻撃名は「DNSamp」や「DNSリフレクション攻撃」と呼ばれたり...
DNSにはBIND9をしており、以下のような対策をしたので、メモ...
*BINDを最新バージョンにする [#eec504c1]
# yum update bind
*問い合わせを受け付けるネットワークを制限する [#q9a21e0d]
条件
-プライマリサーバーのIPは192.168.0.2
-セカンダリサーバーのIPは192.168.0.3
-プライマリで運用しているドメインはexample.com
-セカンダリで運用しているドメインはexample2.com
# vi /etc/named.conf
// 許可するネットワークを定義
acl my-network {
192.168.0.2/32;
192.168.0.3/32;
};
options {
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
//fetch-glue no; // BIND9の場合は不要
recursion yes; // キャッシュサーバーの場合 yes
// 問い合わせを許可するネットワーク
allow-query {
localhost;
my-network;
};
allow-transfer { none; }; // 転送は全部拒否
};
zone "example.com" IN {
type master;
file "example.com";
allow-query { any; }; // 公開するゾーンなのでどこか...
allow-transfer {
192.168.0.3; // セカンダリに転送許可
};
};
zone "example2.com" {
type slave;
file "example2.com";
masters { 192.168.0.2; };
allow-query { any; }; // 公開するゾーンなのでどこか...
};
これでexample.comとexample2.com以外についての問い合わせは...
*確認方法 [#q29424f3]
$ dig @192.168.0.2 yahoo.co.jp any
status: REFUSED などと出て、IPアドレスを引くことができな...
もちろん自ドメインについて正引きができることも確認してお...
**参考資料 [#ic5ac2d2]
警視庁資料~
http://www.npa.go.jp/cyberpolice/server/rd_env/pdf/200607...
JPRS資料~
http://jprs.jp/tech/notice/2006-03-29-dns-cache-server.html
Web担当者Forum~
http://web-tan.forum.impressrd.jp/e/2009/01/15/4414
ページ名: