DNS ampの踏み台サーバになるのを防ぐ(コンテンツ・サーバ編)Tech TIPS

DNSのコンテンツ・サーバでは、DNS ampの踏み台にされないよう、キャッシュ・サーバの機能を無効化しておく。Windows OSのDNSサービスでキャッシュ・サーバを無効にするには、[再帰を無効にする]を設定する。キャッシュ・サーバが必要なら、別のコンピュータ上に用意する。

» 2006年08月26日 00時00分 公開
[打越浩幸デジタルアドバンテージ]
「Windows TIPS」のインデックス

連載目次

対象OS:Windows 2000 Server/Windows Server 2003

解説

 TIPS「分散サービス拒否(DDoS)攻撃を仕掛けるDNS ampとは?」では、DNSのキャッシュ・サーバを踏み台として利用する、DNS ampについて説明した。本TIPSでは、DNS ampの踏み台とされないように、DNSサーバ(コンテンツ・サーバ)を設定する方法について解説する。


 DNSサーバが踏み台として利用されないようにするには、次のような対策が必要である。

  • コンテンツ・サーバとキャッシュ・サーバを分ける。
  • コンテンツ・サーバでは、キャッシュ機能を無効にし、自身で保持しているゾーン情報の提供のみを行う。
  • キャッシュ・サーバでは、ほかのDNSゾーンに対するリゾルバ機能のみを提供する。さらに、ネットワーク・アドレスなどによるアクセス制限を行い、インターネットからアクセスできないようにする。

 Windows Server OSに付属のDNSサービスでは、コンテンツ・サーバ機能とキャッシュ・サーバ(リゾルバ)機能を分離して運用することができないので、代わりに、2種類のサービスを完全に2台のサーバ・コンピュータに分けて運用するのがよい。本TIPSでは、まずコンテンツ・サーバとして設定する方法を説明する。キャッシュ・サーバに対する対策については、TIPS「DNS ampの踏み台サーバになるのを防ぐ(キャッシュ・サーバ編)」を参照していただきたい。

コンテンツ・サーバとキャッシュ・サーバ コンテンツ・サーバとキャッシュ・サーバ
インターネットにDNSサーバを公開する場合は、必ず別にキャッシュ・サーバを用意し、コンテンツ・サーバではキャッシュ機能は利用できないようにしておく。

操作方法

 Windows 2000 ServerやWindows Server 2003のDNSサービスは、コンテンツ・サーバとキャッシュ・サーバの両方の機能を持っている。どちらか一方だけをアンインストールすることはできない。だが設定を変更することにより、キャッシュ・サーバ機能(リゾルバ機能)を無効にできるので、結果的にコンテンツ・サーバ機能だけが利用可能になる。インターネットに向けてDNSのゾーン情報を提供しているDNSコンテンツ・サーバでは、以下のように設定して、踏み台として利用されないようにするのがよい。

●DNSの再帰的問い合わせを無効にする

 [管理ツール]の[DNS]ツールを起動し、サーバ名を右クリックしてポップアップ・メニューから[プロパティ]を選択する。するとサーバの設定ダイアログが表示されるので、[詳細]タブを選択し、一番上にある[再帰を無効にする](Windows 2000の場合)もしくは[再帰を無効にする(フォワーダも無効になります)](Windows Server 2003の場合)というチェック・ボックスをオンにする。

再帰クエリの禁止によるキャッシュ・サーバ機能の無効化 再帰クエリの禁止によるキャッシュ・サーバ機能の無効化
キャッシュ・サーバ機能を禁止するには、サーバの設定画面で再帰的問い合わせを禁止する(これはWindows Server 2003のDNSサービスの設定画面)。
  (1)DNSサーバのプロパティ画面で、このタブを選択する。この画面で分かるように、再帰クエリの禁止は、DNSサービス全体で効果を持つ設定である。リッスンするIPアドレスやDNSのゾーンごとに設定を変更することはできない。
  (2)このチェック・ボックスをオンにすると、リゾルバ機能が無効になり、キャッシュ・サーバとして動作しなくなる。デフォルトはオフ。

●フォワーダの無効化

 キャッシュ・サーバ機能を無効にするには、上記の設定だけで構わないが、念のために、フォワーダも無効にしておくとよい。この対策も併用することにより、何らかのミスなどでチェック・ボックスがオンになっても、キャッシュ・サーバとして動作しなくなり、安全性が高くなる。

 フォワーダとは、自分自身で解決できない名前解決要求を、別のDNSサーバに依頼して解決するための機能である。デフォルトではここには何も定義されていないはずなので、空になっていることを確認しておく。

フォワーダ設定の無効化 フォワーダ設定の無効化
フォワーダ設定をすべて空にし、間違ってほかのDNSサーバに名前解決を転送(フォワード)しないようにしておく。これはWindows 2000 ServerのDNSサーバの管理画面である。Windows Server 2003の場合はドメインごとに異なるサーバに転送することができるが(条件付きフォワード機能という)、やはりすべての転送先設定を空にしておく。
  (1)このタブを選択する。
  (2)これをオフにすると、フォワーダ機能が無効になる。Windows Server 2003の場合は、条件付きフォワーダとなっているので、フォワード先のDNSドメインとDNSサーバの組をすべて削除する。

●キャッシュの消去

 以上の設定後、キャッシュの内容を削除するか、DNSサービスを再起動する。これにより、すでにキャッシュされているDNSのレコード情報もクリアされ、名前解決要求がすべて無効になる。

キャッシュの消去 キャッシュの消去
先の設定を変更しても、キャッシュに残っているレコードについてはクライアントへ返される。キャッシュをクリアするか、DNSサービスを再起動すれば、キャッシュの内容が空になる。
  (1)DNSサーバ名を右クリックし、ポップアップ・メニューからこれを選択する。

 設定が完了したら、実際に外部からDNSサーバに対して適当なFQDN名に対する問い合わせを行い、結果が返ってこないことを確認しておこう。

「Windows TIPS」のインデックス

Windows TIPS

鬯ッ�ッ�ス�ゥ髫ー�ウ�ス�セ�ス�ス�ス�ス�ス�ス�ス�オ�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�コ鬯ッ�ッ�ス�ョ�ス�ス�ス�ヲ�ス�ス�ス�ス�ス�ス�ス�ョ鬯ョ�ッ�ス�キ�ス�ス�ス�サ�ス�ス�ス�ス�ス�ス�ス�サ�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ソ�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス鬯ッ�ッ�ス�ッ�ス�ス�ス�ッ�ス�ス�ス�ス�ス�ス�ス�ィ�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�セ�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�」鬯ッ�ッ�ス�ッ�ス�ス�ス�ョ�ス�ス�ス�ス�ス�ス�ス�エ鬯ョ�」髮具スサ�ス�ソ�ス�ス�ス�ス�ス�ス�ス�ス�ス�・�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ウ�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ィ�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス鬯ョ�ッ隲幢スカ�ス�ス�ス�」�ス�ス�ス�ス�ス�ス�ス�、�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ク�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�イ鬯ッ�ッ�ス�ゥ髯滂ソス迹ウ�ス�ス�ス�ス�ス�ス�ス�ス�ス�ソ�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス驍オ�コ�ス�、�ス縺、ツ€�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�」鬯ッ�ッ�ス�ッ�ス�ス�ス�ョ�ス�ス�ス�ス�ス�ス�ス�エ鬯ッ�ッ�ス�ゥ髯晢スカ陞「�ス隴ッ�カ�ス�ス�ス�ス�ス�ス�ス�ュ鬯ッ�ョ�ス�ョ�ス�ス�ス�」�ス�ス�ス�ス�ス�ス�ス�ソ�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ィ鬯ッ�ョ�ス�ッ髯具スケ�ス�コ�ス�ス�ス�サ驛「�ァ隰�∞�ス�ス�ス�ス�ス�ス�ス�ソ�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�コ鬯ッ�ョ�ス�」髯具スケ�ス�ス�ス�ス�ス�ス�ス�ス�ス�オ鬯ョ�ォ�ス�エ髫ー�ォ�ス�セ�ス�ス�ス�ス�ス�ス�ス�エ�ス�ス�ス�ス�ス�ス�ス�ス鬮ォ�カ鬮ョ�」�ス�ス�ス�」�ス�ス陞ウ闌ィ�ス�「隰�∞�ス�ス�ス�ュ鬮ョ諛カ�ス�」�ス�ス�ス�ス�ス�ス�ス�「�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ゥ鬯ッ�ッ�ス�ゥ髯晢スキ�ス�「�ス�ス�ス�ス�ス�ス�ス�「鬯ョ�ォ�ス�エ鬮ョ諛カ�ス�」�ス�ス�ス�ス�ス�ス�ス�「�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�シ鬯ッ�ッ�ス�ゥ髯晢スキ�ス�「�ス�ス�ス�ス�ス�ス�ス�「鬯ョ�ォ�ス�エ髣包スウ�ス�サ�ス�ス�ス�ス鬮ォ�カ隰撰スコ�ス�サ郢ァ謇假スス�ス�ス�ソ�ス�ス�ス�ス鬩搾スオ�ス�コ�ス�ス�ス�、�ス�ス邵コ�、�つ€鬯ッ�ッ�ス�ッ�ス�ス�ス�ョ�ス�ス�ス�ス�ス�ス�ス�ヲ�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ェ鬯ッ�ゥ陋ケ�ス�ス�ス�ス�カ鬮」雋サ�ス�ィ�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ヲ�ス�ス�ス�ス�ス�ス�ス�エ�ス�ス�ス�ス驍オ�コ�ス�、�ス縺、ツ€鬯ョ�ッ�ス�キ鬮」魃会スス�ィ�ス�ス�ス�ス�ス�ス�ス�キ�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�サ鬯ッ�ッ�ス�ッ�ス�ス�ス�ッ�ス�ス�ス�ス�ス�ス�ス�ェ�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ュ�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�イ鬯ッ�ッ�ス�ゥ髫ー�ウ�ス�セ�ス�ス�ス�ス�ス�ス�ス�オ�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�コ鬯ッ�ョ�ス�ッ�ス�ス�ス�キ�ス�ス�ス�ス�ス�ス�ス�キ�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�カ�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス New

Copyright© Digital Advantage Corp. All Rights Reserved.

スポンサーからのお知らせPR

Windows Server Insider 鬯ョ�ォ�ス�ェ髯区サゑスソ�ス�ス�ス�ス�コ髣包スオ隴∵コキ�ク�キ�ス�ケ隴趣ス「�ス�ス�ス�ウ鬩幢ス「�ス�ァ�ス�ス�ス�ュ鬩幢ス「隴趣ス「�ス�ス�ス�ウ鬩幢ス「�ス�ァ�ス�ス�ス�ー

鬮ォ�エ陝キ�「�ス�ス�ス�ャ鬮ォ�エ鬲�シ夲スス�ス�ス�・鬮ォ�エ陝カ�キ�ス�」�ス�ッ髣厄スォ�ス�」

注目のテーマ

4AI by @IT - AIを作り、動かし、守り、生かす
Microsoft & Windows最前線2025
AI for エンジニアリング
ローコード/ノーコード セントラル by @IT - ITエンジニアがビジネスの中心で活躍する組織へ
Cloud Native Central by @IT - スケーラブルな能力を組織に
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。