AC.JP における隠れオープンリゾルバの対策状況 2023

中京大学工学部鈴木常彦
Dec 15, 2023 AXIES
http://www.e-ontap.com/misc/axies2023/

発表履歴

浸透しない隠れオープンリゾルバ対策, NGK2022S Lightning Talk, Jan '22
減らない脆弱性 - 隠れオープンリゾルバ -, 経営情報学会 2022年度秋全国研究発表大会, Nov '22
隠れオープンリゾルバのスキャナー開発と調査～進まない脆弱性対策～, 電子情報通信学会 2023 NS研, Mar '23
AC.JP における隠れオープンリゾルバの対策状況 2023, Now!

オープンリゾルバとは

アクセス制限されていないリゾルバ
(DNS キャッシュサーバや DNS プロキシ)
キャッシュポイズニング (偽応答注入) されやすい
DNS 水責め攻撃 (DDoS) の踏み台にされる
DNS リフレクター攻撃 (DDoS) の踏み台にされる
情報漏洩 (キャッシュ内容) につながることもある

隠れオープンリゾルバとは

問題なのはリゾルバではなくネットワーク (境界ルータ or F/W)
攻撃に晒されるのは DNS ばかりではない
(NTP, SNMP, SSDP, Memcached, LDAP, ICMP, SYN(TCP),...)
リゾルバではアクセス制限 (許可外のクエリは REFUSED)
許可内の送信元 IP アドレスに偽装するとクエリを受け入れ
ログを監視できるドメイン名のクエリを撃ち込むことで検出可能
キャッシュポイズニングされやすい
DNS水責め攻撃 (DDoS) の踏み台になりやすい
DNSリフレクション攻撃の踏み台としては限定的 (許可範囲内)

日本の隠れオープンリゾルバ対策の追跡調査

(隠れオープンリゾルバを放置している日本のドメインより)

'21/3/7 JP の調査対象の IPアドレス数 2,462 中、
300 ドメイン 736 IP アドレス (30%) の隠れオープンリゾルバ発見 ...JPCERT/CCへ届出
追加発見分を加えた 774 IPアドレス (31%) を初期値として '21/4/24 から日毎の追跡調査を開始
Maciej Korczyński らの論文 (2020)によれば日本に/24単位で 28,660 (世界6位)
Yevheniya Nosyk, Maciej Korczyński らの論文 (2023)によれば日本に 27,890 (世界5位) ... 3%減

日本の隠れオープンリゾルバ対策の推移

日付	脆弱数	90日削減率	削減率	イベント
21/04/24	783			追跡開始
21/07/12	774			公開予告
21/07/22	763	-2.6%	-3%	90日後
21/09/07	713		-9%	リスト公開
21/10/20	628	-18%	-20%	180日後
22/01/16	609	-3.0%	-22%	270日後
22/04/16	595	-2.2%	-24%	360日後
22/07/15	586	-1.5%	-25%	450日後
22/10/13	565	-3.5%	-28%	540日後
23/01/11	563	-0.4%	-28%	630日後
23/04/11	558	-0.9%	-27%	720日後
23/07/10	550	-1.4%	-30%	810日後
23/10/10	497	-9.6%	-37%	900日後

脆弱サイトのリスト公開をまたぐ 3 カ月の間に 18% 減少 ... 公開の効果大
'23/12/12 時点で 490 IPアドレス = 初期 783 の 63% が残存
調査対象 JP (2,462) の 20% が未だに脆弱

AC.JP の状況

'21/9/17 1,667 AC.JP ドメインから AC.JP のホスト名のついた DNS 権威サーバ 1,132 台を調査
結果 224 の AC.JP ドメインに 323 台 (約 3 割) の隠れオープンリゾルバを発見
'21/9/17 JPCERT/CC と文部科学省の CSIRT (サイバーセキュリティ・情報化推進室) へ情報提供
'22/9/3 時点で 207 ドメイン (291 台) ... 1 年経っても約 9 割が未対策
'23/10/8 時点で 189 ドメイン (264 台) ... 2 年経っても約 8 割が未対策
JP 全体が 36% 減ったのと比べると大学の対応は非常に鈍い
高専は '21/9/17 に 11 ドメイン、17 IP アドレスあったが '23/5/15 に 0 になった。 (高専機構ががんばったらしい)
本日のリスト

隠れオープンリゾルバ検査サイト

隠れオープンリゾルバ検査サイトの仕組み

謎の装置 (推測図)

隠れオープンリゾルバ対策

サーバ (リゾルバ) でアクセス制限するだけでは不足
境界ルータ (F/W) の外側インターフェイスから内部アドレス(詐称)の流入を止める
```
deny all from 192.0.2.0.24 to any in via ${外側IF}
```
境界ルータ or F/W の内側インターフェイスから内部アドレス以外(詐称)の流出を止める (攻撃元にならないため)
```
deny all from not 192.0.2.0/24 to any in via ${内側IF}
```
IP TTL によるブロック (サーバ管理者の自衛策)
```
deny ip from 192.0.2.0/24 to me not ipttl 64,128,255
```

(例は FreeBSD の ipfw)

まとめ

JP の IP アドレス 2,462 中 497 (20%)が隠れオープンリゾルバ ... Oct 2023
脆弱ドメインの公開の効果は大きい (18% 減少)
調査開始からの 900 日後 ('23/10/10) において未対策が64%
AC.JP では約8割が未対策
検査サイト Snoopy では隠れを含む 706 のオープンリゾルバが発見され、うち対策されたのは193 (27%)

なぜ対応が進まないのか?

JPCERT/CC、文科省からの連絡が届いていない?
- C は Cordination の C (直接個別連絡しているわけでもない)
- 学会やイベントでの発表も効果は極めて小さいと感じる
問題を理解できない?
- DNS とネットワークの両方を理解・担当している人がいない?
問題を誤解している?
- DNS の問題だと思ってしまっている?
- 学外の利用者への影響を心配してしまう?
問題をなめている?
- 踏み台にされていることにも気づかない?
対策方法がわからない? 　
予算? (config 数行ですが?)
他は?

参考リンク

お問い合わせ先: tss@suzuki.sist.chukyo-u.ac.jp