DNS ampの踏み台サーバになるのを防ぐ(コンテンツ・サーバ編):Tech TIPS
DNSのコンテンツ・サーバでは、DNS ampの踏み台にされないよう、キャッシュ・サーバの機能を無効化しておく。Windows OSのDNSサービスでキャッシュ・サーバを無効にするには、[再帰を無効にする]を設定する。キャッシュ・サーバが必要なら、別のコンピュータ上に用意する。
対象OS:Windows 2000 Server/Windows Server 2003
解説
TIPS「分散サービス拒否(DDoS)攻撃を仕掛けるDNS ampとは?」では、DNSのキャッシュ・サーバを踏み台として利用する、DNS ampについて説明した。本TIPSでは、DNS ampの踏み台とされないように、DNSサーバ(コンテンツ・サーバ)を設定する方法について解説する。
DNSサーバが踏み台として利用されないようにするには、次のような対策が必要である。
- コンテンツ・サーバとキャッシュ・サーバを分ける。
- コンテンツ・サーバでは、キャッシュ機能を無効にし、自身で保持しているゾーン情報の提供のみを行う。
- キャッシュ・サーバでは、ほかのDNSゾーンに対するリゾルバ機能のみを提供する。さらに、ネットワーク・アドレスなどによるアクセス制限を行い、インターネットからアクセスできないようにする。
Windows Server OSに付属のDNSサービスでは、コンテンツ・サーバ機能とキャッシュ・サーバ(リゾルバ)機能を分離して運用することができないので、代わりに、2種類のサービスを完全に2台のサーバ・コンピュータに分けて運用するのがよい。本TIPSでは、まずコンテンツ・サーバとして設定する方法を説明する。キャッシュ・サーバに対する対策については、TIPS「DNS ampの踏み台サーバになるのを防ぐ(キャッシュ・サーバ編)」を参照していただきたい。
コンテンツ・サーバとキャッシュ・サーバ操作方法
Windows 2000 ServerやWindows Server 2003のDNSサービスは、コンテンツ・サーバとキャッシュ・サーバの両方の機能を持っている。どちらか一方だけをアンインストールすることはできない。だが設定を変更することにより、キャッシュ・サーバ機能(リゾルバ機能)を無効にできるので、結果的にコンテンツ・サーバ機能だけが利用可能になる。インターネットに向けてDNSのゾーン情報を提供しているDNSコンテンツ・サーバでは、以下のように設定して、踏み台として利用されないようにするのがよい。
●DNSの再帰的問い合わせを無効にする
[管理ツール]の[DNS]ツールを起動し、サーバ名を右クリックしてポップアップ・メニューから[プロパティ]を選択する。するとサーバの設定ダイアログが表示されるので、[詳細]タブを選択し、一番上にある[再帰を無効にする](Windows 2000の場合)もしくは[再帰を無効にする(フォワーダも無効になります)](Windows Server 2003の場合)というチェック・ボックスをオンにする。
再帰クエリの禁止によるキャッシュ・サーバ機能の無効化キャッシュ・サーバ機能を禁止するには、サーバの設定画面で再帰的問い合わせを禁止する(これはWindows Server 2003のDNSサービスの設定画面)。
(1)DNSサーバのプロパティ画面で、このタブを選択する。この画面で分かるように、再帰クエリの禁止は、DNSサービス全体で効果を持つ設定である。リッスンするIPアドレスやDNSのゾーンごとに設定を変更することはできない。
(2)このチェック・ボックスをオンにすると、リゾルバ機能が無効になり、キャッシュ・サーバとして動作しなくなる。デフォルトはオフ。
●フォワーダの無効化
キャッシュ・サーバ機能を無効にするには、上記の設定だけで構わないが、念のために、フォワーダも無効にしておくとよい。この対策も併用することにより、何らかのミスなどでチェック・ボックスがオンになっても、キャッシュ・サーバとして動作しなくなり、安全性が高くなる。
フォワーダとは、自分自身で解決できない名前解決要求を、別のDNSサーバに依頼して解決するための機能である。デフォルトではここには何も定義されていないはずなので、空になっていることを確認しておく。
フォワーダ設定の無効化フォワーダ設定をすべて空にし、間違ってほかのDNSサーバに名前解決を転送(フォワード)しないようにしておく。これはWindows 2000 ServerのDNSサーバの管理画面である。Windows Server 2003の場合はドメインごとに異なるサーバに転送することができるが(条件付きフォワード機能という)、やはりすべての転送先設定を空にしておく。
(1)このタブを選択する。
(2)これをオフにすると、フォワーダ機能が無効になる。Windows Server 2003の場合は、条件付きフォワーダとなっているので、フォワード先のDNSドメインとDNSサーバの組をすべて削除する。
●キャッシュの消去
以上の設定後、キャッシュの内容を削除するか、DNSサービスを再起動する。これにより、すでにキャッシュされているDNSのレコード情報もクリアされ、名前解決要求がすべて無効になる。
キャッシュの消去先の設定を変更しても、キャッシュに残っているレコードについてはクライアントへ返される。キャッシュをクリアするか、DNSサービスを再起動すれば、キャッシュの内容が空になる。
(1)DNSサーバ名を右クリックし、ポップアップ・メニューからこれを選択する。
設定が完了したら、実際に外部からDNSサーバに対して適当なFQDN名に対する問い合わせを行い、結果が返ってこないことを確認しておこう。
■この記事と関連性の高い別の記事
- 分散サービス拒否(DDoS)攻撃を仕掛けるDNS ampとは?(TIPS)
- DNS ampの踏み台サーバになるのを防ぐ(キャッシュ・サーバ編)(TIPS)
- WindowsでDNSサーバのキャッシュの内容を調査する(TIPS)
- DNSサービスのルート・ヒントを変更する(TIPS)
- 優先DNSサーバと代替DNSサーバの動作について(TIPS)
- Windowsの名前解決のトラブルシューティング(DNSリゾルバーキャッシュ編)(TIPS)
- nslookupの基本的な使い方(イントラネット編)(TIPS)
Copyright© Digital Advantage Corp. All Rights Reserved.
ITmediaはアイティメディア株式会社の登録商標です。