オープンリゾルバーを利用した攻撃が観測されているとのことで、 記録しておく。-- ToshinoriMaeno 2023-05-01 21:27:56
U.S. Authorities Seize 13 Domains Offering Criminal DDoS-for-Hire Services https://thehackernews.com/2023/05/us-authorities-seize-13-domains.html
1. DNS amp
https://aolaniengineer.com/archives/3483
攻撃者は、脆弱性のある複数の公開DNSキャッシュサーバに対して、送信元IPアドレスを偽装して標的サーバのものにして、DNSクエリを発行する。 DNSクエリを受信したDNSキャッシュサーバは、送信元である標的サーバに応答パケットを一斉に送信する。 大量の応答パケットを受信した標的サーバや自身が属するネットワークは過負荷状態となり、サービス提供ができなくなる。
リフレクション攻撃(アンプ攻撃)を防御する方法 https://www.a10networks.co.jp/news/blog/how-defend-against-amplified-reflection-ddos-attacks.html
https://www.a10networks.com/blog/new-ddos-threat-intelligence-map/
2. 検査手段
tssさんのハニーポット(オープンリゾルバー)での観察から: http://www.e-ontap.com/dns/openresolver/
http://www.e-ontap.com/dns/openresolver/
http://www.e-ontap.com/dns/todaydownjp.txt http://www.e-ontap.com/dns/todaydown.txt
https://securitytrails.com/dns-trails ゾーン情報の確認
DNS健全性チェッカー http://www.e-ontap.com/dns/health/
DNS traversal checker http://dns.squish.net/
DNSの設定チェック https://dnscheck.jp/
DNSViz is a tool for visualizing the status of a DNS zone. http://dnsviz.net/
DDoS攻撃への対策について https://twitter.com/nisc_forecast/status/1652841595497222144?s=20
CHECK DNS PROPAGATION https://dnschecker.org/
3. ランダムサブドメイン攻撃
(DNS水責め攻撃)https://jprs.jp/glossary/index.php?ID=0137
- 攻撃に用いられる問い合わせと通常の問い合わせとの区別がつかない
オープンリゾルバーを減らし
フルサービスリゾルバーにおいて、フィルタリングや問い合わせレートによる制限などの攻撃の影響を緩和する仕組みを導入する
4. より適切な呼び方
DNS NXDOMAIN Flood DDoS Attacks
5. 対策
DNS の再帰的な問合せを使った DDoS 攻撃の対策について
- 2006/03/29 (Wed)
キャッシュサーバ (兼用サーバを含む) の運用管理者を対象としています。
https://jprs.jp/tech/notice/2006-03-29-dns-cache-server.html
The FBI and International Law Enforcement Partners Intensify Efforts to Combat Illegal DDoS Attacks https://www.fbi.gov/contact-us/field-offices/anchorage/fbi-intensify-efforts-to-combat-illegal-ddos-attacks
5.1. 権威サーバー
権威サーバーとしては、問い合わせを無視するくらいだ。
- NXDOMAIN 返答はしないという対応もいい。
5.2. リゾルバー
覚悟の上でのオープンリゾルバー運用であれば、言ってもむだだろうから、ここでは特に考えない。
- Unbound などでの対応を調べるのがいい。
- rate limit はリゾルバーでの制限か。
不注意でオープンリゾルバー設定しているのであれば、止めてもらえばよい。
ランダムサブドメインだと判定する基準をどうするか。