DNS ampの踏み台サーバになるのを防ぐ(コンテンツ・サーバ編)Tech TIPS

DNSのコンテンツ・サーバでは、DNS ampの踏み台にされないよう、キャッシュ・サーバの機能を無効化しておく。Windows OSのDNSサービスでキャッシュ・サーバを無効にするには、[再帰を無効にする]を設定する。キャッシュ・サーバが必要なら、別のコンピュータ上に用意する。

» 2006年08月26日 00時00分 公開
[打越浩幸デジタルアドバンテージ]
「Windows TIPS」のインデックス

連載目次

対象OS:Windows 2000 Server/Windows Server 2003


解説

 TIPS「分散サービス拒否(DDoS)攻撃を仕掛けるDNS ampとは?」では、DNSのキャッシュ・サーバを踏み台として利用する、DNS ampについて説明した。本TIPSでは、DNS ampの踏み台とされないように、DNSサーバ(コンテンツ・サーバ)を設定する方法について解説する。


 DNSサーバが踏み台として利用されないようにするには、次のような対策が必要である。

  • コンテンツ・サーバとキャッシュ・サーバを分ける。
  • コンテンツ・サーバでは、キャッシュ機能を無効にし、自身で保持しているゾーン情報の提供のみを行う。
  • キャッシュ・サーバでは、ほかのDNSゾーンに対するリゾルバ機能のみを提供する。さらに、ネットワーク・アドレスなどによるアクセス制限を行い、インターネットからアクセスできないようにする。

 Windows Server OSに付属のDNSサービスでは、コンテンツ・サーバ機能とキャッシュ・サーバ(リゾルバ)機能を分離して運用することができないので、代わりに、2種類のサービスを完全に2台のサーバ・コンピュータに分けて運用するのがよい。本TIPSでは、まずコンテンツ・サーバとして設定する方法を説明する。キャッシュ・サーバに対する対策については、TIPS「DNS ampの踏み台サーバになるのを防ぐ(キャッシュ・サーバ編)」を参照していただきたい。

コンテンツ・サーバとキャッシュ・サーバ コンテンツ・サーバとキャッシュ・サーバ
インターネットにDNSサーバを公開する場合は、必ず別にキャッシュ・サーバを用意し、コンテンツ・サーバではキャッシュ機能は利用できないようにしておく。

操作方法

 Windows 2000 ServerやWindows Server 2003のDNSサービスは、コンテンツ・サーバとキャッシュ・サーバの両方の機能を持っている。どちらか一方だけをアンインストールすることはできない。だが設定を変更することにより、キャッシュ・サーバ機能(リゾルバ機能)を無効にできるので、結果的にコンテンツ・サーバ機能だけが利用可能になる。インターネットに向けてDNSのゾーン情報を提供しているDNSコンテンツ・サーバでは、以下のように設定して、踏み台として利用されないようにするのがよい。

●DNSの再帰的問い合わせを無効にする

 [管理ツール]の[DNS]ツールを起動し、サーバ名を右クリックしてポップアップ・メニューから[プロパティ]を選択する。するとサーバの設定ダイアログが表示されるので、[詳細]タブを選択し、一番上にある[再帰を無効にする](Windows 2000の場合)もしくは[再帰を無効にする(フォワーダも無効になります)](Windows Server 2003の場合)というチェック・ボックスをオンにする。

再帰クエリの禁止によるキャッシュ・サーバ機能の無効化 再帰クエリの禁止によるキャッシュ・サーバ機能の無効化
キャッシュ・サーバ機能を禁止するには、サーバの設定画面で再帰的問い合わせを禁止する(これはWindows Server 2003のDNSサービスの設定画面)。
  (1)DNSサーバのプロパティ画面で、このタブを選択する。この画面で分かるように、再帰クエリの禁止は、DNSサービス全体で効果を持つ設定である。リッスンするIPアドレスやDNSのゾーンごとに設定を変更することはできない。
  (2)このチェック・ボックスをオンにすると、リゾルバ機能が無効になり、キャッシュ・サーバとして動作しなくなる。デフォルトはオフ。

●フォワーダの無効化

 キャッシュ・サーバ機能を無効にするには、上記の設定だけで構わないが、念のために、フォワーダも無効にしておくとよい。この対策も併用することにより、何らかのミスなどでチェック・ボックスがオンになっても、キャッシュ・サーバとして動作しなくなり、安全性が高くなる。

 フォワーダとは、自分自身で解決できない名前解決要求を、別のDNSサーバに依頼して解決するための機能である。デフォルトではここには何も定義されていないはずなので、空になっていることを確認しておく。

フォワーダ設定の無効化 フォワーダ設定の無効化
フォワーダ設定をすべて空にし、間違ってほかのDNSサーバに名前解決を転送(フォワード)しないようにしておく。これはWindows 2000 ServerのDNSサーバの管理画面である。Windows Server 2003の場合はドメインごとに異なるサーバに転送することができるが(条件付きフォワード機能という)、やはりすべての転送先設定を空にしておく。
  (1)このタブを選択する。
  (2)これをオフにすると、フォワーダ機能が無効になる。Windows Server 2003の場合は、条件付きフォワーダとなっているので、フォワード先のDNSドメインとDNSサーバの組をすべて削除する。

●キャッシュの消去

 以上の設定後、キャッシュの内容を削除するか、DNSサービスを再起動する。これにより、すでにキャッシュされているDNSのレコード情報もクリアされ、名前解決要求がすべて無効になる。

キャッシュの消去 キャッシュの消去
先の設定を変更しても、キャッシュに残っているレコードについてはクライアントへ返される。キャッシュをクリアするか、DNSサービスを再起動すれば、キャッシュの内容が空になる。
  (1)DNSサーバ名を右クリックし、ポップアップ・メニューからこれを選択する。

 設定が完了したら、実際に外部からDNSサーバに対して適当なFQDN名に対する問い合わせを行い、結果が返ってこないことを確認しておこう。

「Windows TIPS」のインデックス

Windows TIPS

Copyright© Digital Advantage Corp. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

AI for エンジニアリング
「サプライチェーン攻撃」対策
1P情シスのための脆弱性管理/対策の現実解
OSSのサプライチェーン管理、取るべきアクションとは
Microsoft & Windows最前線2024
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。