DNSサーバ/NTPサーバ運用中の方へのセキュリティに関する注意喚起

セキュリティ

昨今、DNSサーバ/NTPサーバが DDoS/DoS攻撃(サービス拒否攻撃)の踏み台として悪用される事案が多数発生しています。
このような攻撃を防ぐ手法として代表的な対応策がございますので、設定内容をご確認ください。

DNSサーバ

主にDNSキャッシュサーバとして運用し、インターネットからアクセス可能になっているサーバが攻撃の対象となる傾向が見受けられます。
また、DNSサーバにBINDを利用されている場合、DoS攻撃・サービス停止攻撃に悪用される恐れがある脆弱性の発表が相次いでいます。
このため、次のような対策をとることをお勧めします。

  • 対策 1. BINDを最新バージョンにアップデートする
  • 対策 2. 自ホストが管理するドメイン以外に対する、再帰的問合せの拒否
  • 対策 3. 再帰的問合せを許可する範囲を限定する

対策例の詳細は次のページを参照してください。

DNSサーバ/NTPサーバのDDoS/DoS攻撃への対策例

NTPサーバ

主に、NTPサーバの状態を確認する機能 (monlist)が悪用され、NTPリフレクション攻撃の対象となる事案が発生しています。
この該当機能は、サーバへの問い合わせデータ量に対して、大きなサイズのデータ量を返送する動作を行います。
NTPは送信元IPアドレスの偽装が容易なプロトコルを利用しているため、送信元IPアドレスの偽装によって、第三者への攻撃手法として利用されてしまいます。
このため、次のような対策をとることをお勧めします。

  • 対策1. monlist機能の一部を修正し、DDoS攻撃の影響を低減させたバージョンにアップデートする
  • 対策2. ntpdの設定において、monlist機能を無効にする

対策例の詳細は次のページを参照してください。

DNSサーバ/NTPサーバのDDoS/DoS攻撃への対策例

TOPへ戻る

関連リンク

TOPへ戻る

お問い合わせ

MyWaseda [ITサービス] の [ヘルプデスク] よりお問合せください。