メインコンテンツへジャンプする

JPNICはインターネットの円滑な運営を支えるための組織です

ロゴ:JPNIC

WHOIS 検索 サイト内検索 WHOISとは? JPNIC WHOIS Gateway
WHOIS検索 サイト内検索

ニュースレターNo.54/2013年7月発行

技術動向報告

APOPSは「The Asia Pacific OPeratorS forum」の略称で、環太平洋地域のインターネット運用者を対象とする、情報交換と交流のコミュニティです。APOPSのPlenaryセッションは、毎回のAPNIC/APRICOTカンファレンスにおいて開幕直後に設定されていて、年間の動向や注目すべきテクノロジーについて共有と報告がなされます。

今回のAPOPSは、2013年2月25日(月)、26日(火)の2日間に、APOPS Plenary1~2の二つのセッションによって構成され、開催されました。

本稿では、APOPSで紹介されたプレゼンテーションのうち、DNS関連のものについて詳しくご報告します。

オープンリゾルバに関する話題

Cloudflare社のTom Paseka氏から、“The curse of the Open Recursor (オープンリゾルバのもたらす災厄について)”という演題で、オープンリゾルバに関する発表がありました。

オープンリゾルバとは、どのDNSクライアントからの再帰的な名前解決に対しても応答する状態になっている、キャッシュDNSサーバのことです。Google社、OpenDNS社、Level3社などの事業者は、特にセキュリティに配慮した上でそのようなキャッシュDNSサーバをサービスとして公開していますが、インターネットに存在しているキャッシュDNSサーバには、セキュリティへの対策が不十分なものが多数あり、DNSリフレクション攻撃と呼ばれる攻撃の踏み台となってしまう場合がある旨が述べられていました。

Cloudflare社では実際にそのような攻撃を観測しており、詳細について発表されていました。

DNSリフレクション攻撃は下記の特徴を持っています。

  • UDPを使う
  • 送信元アドレスは、攻撃対象のホストのものに偽装する(これにより、キャッシュDNSサーバが該当の送信元アドレスに対してパケットを返すようになる)
  • 攻撃者は、ripe.netやisc.orgのanyレコードのように、クエリのパケットサイズは小さいが、応答パケットサイズは大きくなるような名前解決を問い合わせる(これにより、パケットサイズが増幅されて攻撃対象へ送信される)

Cloudflare社の調査により攻撃元を確認したところ、APNIC地域となる56の国と地域の中からは、27の国と地域から攻撃が行われていました。傾向としては、より人口の多い国と地域から、より多くの攻撃が観測されるようです。確認されたオープンリゾルバとなっているサーバの数について報告されていましたが、1位が日本の4,625となっていました。

オープンリゾルバを利用したDNS攻撃への対策については、下記の方法が紹介されていました。

  • アドレスの詐称を防ぐために、BCP 38で規定されるような、送信元アドレスのフィルタリングを実施する(送信元アドレスがネットワークに割り当てたアドレスのものかどうかを確認し、割り当てたアドレスであればパケットを転送し、そうでないものは拒否する)。※1
  • キャッシュDNSサーバ側で、名前解決を受け付けるDNSクライアントを必要な範囲に限定する
  • 権威DNSサーバ側で、再帰的な名前解決を不必要に受け付けないようにする。

DNSの応答レート制限に関する話題

株式会社インターネットイニシアティブ(IIJ)のRandy Bush氏から、“DNS Rate Limiting(DNSの応答レート制限について)”という演題で、DNSの応答に一定の制限をかける技術について発表がありました。

発表は、下記の流れに沿って、DNSリフレクション攻撃の実例とその対策について述べられていました。

  • Bush氏の管理しているDNSサーバが、急に外部向けトラフィックを大量に流すようになった
  • DNSサーバ宛のパケットをキャプチャしたところ、DNSリフレクション攻撃に遭っていることがわかった
  • しかし、該当のDNSサーバはキャッシュDNSサーバではなく、ccTLDのゾーンを管理している権威DNSサーバである(いわゆるオープンリゾルバではない)
  • 攻撃の分析を進めたところ、DNSSEC関連のレコードを利用した攻撃であることがわかった
  • 今回は、スイスのccTLDである.chドメイン名のDNSSEC付きレコードの大量問い合わせがあったが、個々の問い合わせのパケットサイズは小さくとも、署名の付いた.chドメイン名の応答は1KB以上のサイズに増幅される
  • 攻撃者は送信元アドレスを詐称したUDPパケットを送信していた
  • 対処として、DNSサーバのソフトウェアに、同一送信元アドレスからの単位時間あたりの応答に制限をかけたところ、問題は解消した
  • Bush氏のDNSサーバのソフトウェアはBINDであったが、NSDについても対策のあることを確認した

上記二つの発表はJANOGのメーリングリストでも紹介され、日本のオペレーターの間でも議論が交わされていました([janog:11575]参照)※2

その他のセッション

上記のセッション以外にも、次のようなトピックでさまざまなセッションが開催されていました。発表のビデオとスライドが公開されていますので、興味のある方は以下のURLをご参照ください。

  • IPv6関連(Asia Pacific IPv6 Task Forceなど)
  • ルーティング関連(Peering Forum、Routing Securityなど)
  • SDN関連(Software Defined Networking Panelなど)

http://www.apricot2013.net/program/presentations/

(JPNIC 技術部 澁谷晃)


※1 インターネット用語1分解説「イングレスフィルタリングとは」
https://www.nic.ad.jp/ja/basics/terms/ingress-filtering.html
※2 JANOGのMLに参加すれば、アーカイブで過去の投稿記事も読むことができます。
http://www.janog.gr.jp/

このページを評価してください

このWebページは役に立ちましたか?
ページの改良点等がございましたら自由にご記入ください。

このフォームをご利用した場合、ご連絡先の記入がないと、 回答を差し上げられません。 回答が必要な場合は、お問い合わせ先をご利用ください。

ロゴ:JPNIC

Copyright© 1996-2020 Japan Network Information Center. All Rights Reserved.