ネットワークで開いているDNSリゾルバーを識別するにはどうすればよいですか？

Question

この記事は、オープンDNSリゾルバーがインターネット上でDDOS攻撃を作成するためにどのように使用されているかを強調しています。 DNSサーバーが開いているかどうかを確認するにはどうすればよいですか？開いているDNSサーバーを実行していることがわかった場合、DDOS攻撃で悪用されないようにするにはどうすればよいですか？

White Shadow · Accepted Answer

オープンDNSサーバーを識別する独自のNMAPを介したクエリ：

x.x.x.x = DNSサーバーIP

nmap -sU -p 53 -sV -P0 --script "dns-recursion" x.x.x.x

可能な出力は次のとおりです。

PORT STATE SERVICE VERSION
53/udp open domain ISC BIND "version"
* | _dns-recursion：再帰が有効になっているようです*

オンラインサービス：

オンラインサービスの利用を希望する場合、openresolverプロジェクトは非常に優れており、/ 22幅のサブネットもチェックするため、チェックアウトしてください---> http://www.openresolverproject.org

オンラインツールでOpen DNSサーバーを検出した後、再帰についての証拠を得るためにダブルチェックを行うことをお勧めします---> http://www.kloth.net/services/Dig.php

出力例、"ra"フラグを確認し、再帰が利用可能であることを意味します。
; << >> Dig 9.7.3 << >> @ x.x.x.x domain.cn A
; （1台のサーバーが見つかりました）
;;グローバルオプション：+ cmd
;;答えを得た：
;; ->> HEADER <<-opcode：QUERY、status：NOERROR、id：xxx
;;フラグ：qr rd ra;クエリ：1、回答：1、権限：5、追加：0

DISABLING RECURSION
（source knowledgelayer softlayer com）

Windows Server 2003および2008で再帰を無効にする

Access the DNS Manager from the Start menu: Click the Start button. Select Administrative Tools. Select DNS. Right click on the desired DNS Server in the Console Tree. Select the Proprerties tab. Click the Advanced button in the Server Options section. Select the Disable Recursion checkbox. Click the OK button.

Linuxで再帰を無効にする

Locate the BIND configuration file within the operating system. The BIND configuration file is usually located in one of the following paths: /etc/bind/named.conf /etc/named.conf Open the named.conf file in your preferred editor. Add the following details to the Options section: allow-transfer {"none";}; allow-recursion {"none";}; recursion no; Restart the device.

Graham Hill · Answer

オープンDNSサーバーは、誰からのDNS要求にも何でも応答するサーバーです。原則として、実行するDNSサーバーは、要求する要求にのみ応答する必要があります。

たとえば、一般的な組織では、ラップトップなどのネットワーク内のマシンは何でも解決できるようにし、ネットワーク外のマシンはWebサーバーや受信メールなどの公開サービスのみを解決できるようにする必要があります。。もちろん、あなたの組織は典型的ではないかもしれません。

DNSサーバーが望まない要求に応答しているかどうかを確認するには、そのような要求を行い、何が起こるかを確認してください！ネットワーク外のマシンを使用して、Digのコピーをリゾルバーに向け、クエリを実行してみます。

DNSサーバーを保護するには、特定のブランドのDNSサーバーのドキュメントを参照し、必要な処理を実行するように構成します。

JasperWallace · Answer

インターネットをスキャンしてオープンDNSリゾルバーを探し、ISPがリゾルバーを検出してシャットダウンするのに役立つサイトのリストを公開しているサイトがいくつかあります。ここに1つあります。これを使用して、オープンリゾルバであるネットワーク内のIPを検索できます。

http://dns.measurement-factory.com/surveys/openresolvers.html

それらを保護することに関しては、それは非常に簡単です-DNSリゾルバを制限して、ネットワーク内部からのクエリのみを許可します。ネットワーク内にあるアドレスからのクエリにのみ応答するようにDNSを構成するか、ファイアウォール/パケットフィルタールールを使用してポート53へのアクセスを制限します。

Team Cymruのガイドは次のとおりです： http://www.team-cymru.org/Services/Resolvers/instructions.html

権限のあるネームサーバーを除外しないようにしてください。ドメインが機能するには、インターネットがそれらに到達する必要があります。