DNS amp 2
連休中に投稿できるかなと思っていたのですが、急な仕事が来たり、資料の整理に時間がかかったりして、結局休みが全部つぶれてしまいました……。まぁ、いいか。(^^;
で、前回で宙ぶらりんになった感のあるDNS ampの説明ですが、少しだけ補足をしておきたいと思います。インターネットに対する攻撃にはさまざまな形があります。サービス妨害(DoS)攻撃はその中のひとつですが、当然のように、この攻撃の肝はどのようにしてターゲットとするネットワークの帯域を飽和させるか、です。
ネットワーク帯域を飽和させるにはいろいろな方法がありますが、攻撃者にとっては、ターゲットに向けるパケットをどこかで“増幅(amp)”できれば一番嬉しいわけですよね。増幅するには、大きく、数頼み(multiple replies)と、大きなリプライを返す(bigger reply)という2つの方法があります。
DNS ampでは、数についてはボットネットなどを使い、大きなリプライを作るところでDNSのキャッシュサーバが使われました。なぜ、キャッシュサーバなのかというと、増幅率がいい(大きなパケットを送ることが可能)からという点と、アクセスコントロールをしていないサーバが多く、第三者が利用しやすいからです。
本来、キャッシュサーバは、自組織とか顧客というように、そのサービス範囲を制限して提供するものです。したがって、この部分をきちんと管理し、第三者が利用できないようにするだけで、攻撃者は困ることになります。
キャッシュサーバがampとして悪用されると、下手をすると自身が管理しているネットワークも停滞する可能性がありますから、DNS管理者の皆様は、この機会にぜひ、キャッシュサーバのアクセスコントロールを導入してください。攻撃者から道具を奪うことは、とても重要なことなのです。
そうそう。いくつかの記事ではBINDが問題と書かれていましたが、WindowsのDNSサーバであるWindows DNSサービスも同様です。むしろ、アクセスコントロール機能を標準では持っていないため、より面倒かもしれません。詳細は、JPドメイン名を管理しているJPRSの技術ページに詳しく書かれていますので、そちらを参照してください。 → 「DNSの再帰的な問合せを使ったDDoS攻撃の対策について」
あと、話しを変えて2つほど。
Winny以外のファイル交換ソフトでも情報流出はする、という記事「毎日新聞6万5000人分の読者情報がP2Pで流出」と、まさに便乗商法という記事「対策ソフトの「押し売り」に関する相談が急増――IPAが警告」。まぁ、このページを読まれている読者の皆様(ありがとうございます!)には既知のことだと思いますが……。
最後はスパム対策の件で。ご存知の方も多いかと思いますが、5月16日(火)にIAjapanの主催で「第3回 迷惑メール対策カンファレンス」が行われます。個人的には、この最初のセッション「ISPによる送信ドメイン・インバウンド・チェックの導入手順(法的な観点から)」で話されるという「インバウンドチェックがいよいよ始まるよ」という部分が一番の注目点かなと思います。最悪の場合、メールの受信拒否ということにもなりますので、管理者の皆様はぜひ。まだ席はあるようです。