隠れオープンリゾルバのスキャナー開発と調査

～進まない脆弱性対策～

中京大学工学部鈴木常彦
March 3, 2023 IEICE
https://www.e-ontap.com/misc/ieice2023oki/

オープンリゾルバとは

アクセス制限されていないリゾルバ
(DNS キャッシュサーバや DNS プロキシ)
キャッシュポイズニング (偽応答注入) されやすい
DNS 水責め攻撃 (DDoS) の踏み台にされる
DNS リフレクター攻撃 (DDoS) の踏み台にされる
情報漏洩 (キャッシュ内容) につながることもある

隠れオープンリゾルバとは

問題なのはリゾルバではなくネットワーク (境界ルータ or F/W)
攻撃に晒されるのは DNS ばかりではない
(NTP,SNMP,SSDP,Memcached,LDAP,ICMP,...)
リゾルバではアクセス制限 (許可外のクエリは REFUSED)
許可内の送信元 IP アドレスに偽装するとクエリを受け入れ
ログを監視できるドメイン名のクエリを撃ち込むことで検出可能
キャッシュポイズニングされやすい
DNS水責め攻撃 (DDoS) の踏み台になりやすい
DNSリフレクション攻撃の踏み台としては限定的 (許可範囲内)

オープンリゾルバの調査

過去の調査

2008年 48,594 の JP ドメインの 18,190 の権威サーバを調べた結果、77% にあたる 23,609 がキャッシュ兼用のオープンリゾルバ (筆者[1])
2013年網羅的なスキャンで発見された約 3,000 万の DNS サーバ (port 53 が応答するもの)のうち 82.5%がオープンリゾルバ (Yuuki Takano ら[2])
2018年 54.6%〜79.4% (大井ら[3])

直近の調査

2022年8月末 104,980 の DNS リゾルバのうち 1,513 (1.4%)
104,980 中 JP は2,462 で、そのうち 59 (5.3%) がオープン
(つまり JP は世界に対して 4 倍ほど多い)

かなり減った! 2008 年頃からの各所による啓発活動の成果! (と思っていた)

[1] オープンリゾルバの状況, 鈴木常彦, 情報処理学会研究報告(IPSJ SIG technical reports) 2008 (37), 89-91, 2008-05
[2] The Ecology of DNS Open Resolvers, Yuuki Takano and Ruo Ando and Satoshi Uda andc Takeshi Takahashi and Tomoya Inoue, ICECE Transaction B, Vol. J97-B, pp. 873-889, 2014.
[3] オープンDNSリゾルバの現状把握手法の提案と評価, 大井,落合,江崎,マルチメディア，分散協調とモバイルシンポジウム2018論文集, 2018, 1126-1133, 2018-06-27

隠れオープンリゾルバの調査

2022年8月末 104,980 の DNS リゾルバを調査し 7,228 (6.9%)

通常のオープンリゾルバ 1.4% に対し 5 倍が隠れていたことになる

日本の隠れオープンリゾルバ対策の追跡調査

(隠れオープンリゾルバを放置している日本のドメインより)

'21/3/7 JP の調査対象の IPアドレス数 2,462 中、
300 ドメイン 736 IP アドレス (30%) の隠れオープンリゾルバ発見 ...JPCERT/CCへ届出
追加発見分を加えた 774 IPアドレス (31%) を初期値として '21/4/24 から日毎の追跡調査を開始
Maciej Korczyński らの論文によれば日本に 28,660

日本の隠れオープンリゾルバ対策の推移

日付	脆弱数	90日削減率	削減率	イベント
21/04/24	783			追跡開始
21/07/12	774			公開予告
21/07/22	763	-2.6%	-3%	90日後
21/09/07	713		-9%	リスト公開
21/10/20	628	-18%	-20%	180日後
22/01/16	609	-3.0%	-22%	270日後
22/04/16	595	-2.2%	-24%	360日後
22/07/15	586	-1.5%	-25%	450日後
22/10/13	565	-3.5%	-28%	540日後
23/01/11	563	-0%	-28%	630日後

脆弱サイトのリスト公開をまたぐ 3 カ月の間に 18% 減少 ... 公開の効果大
'23/2/23 時点で 565 IPアドレス = 初期 783 の 72% が残存
調査対象 JP (2,462) の 23% が未だに脆弱

AC.JP の状況

'21/9/17 1,667 AC.JP ドメインから AC.JP のホスト名のついた DNS 権威サーバ 1,132 台を調査
結果 224 の AC.JP ドメインに 323 台 (約 3 割) の隠れオープンリゾルバを発見
'21/9/17 JPCERT/CC と文部科学省の CSIRT (サイバーセキュリティ・情報化推進室) へ情報提供
'23/2/22 時点で 207 ドメイン (291 台) ... 1 年経っても約 9 割が未対策
JP 全体が 1/4 減ったのと比べると大学の対応は非常に鈍い
本日のリスト

隠れオープンリゾルバスキャナ (Spoofer)

BCP 38 (Ingress Filtering) 不適用の事業者 (欧州) の VPS に設置
Python 3.10 + Kamene (Scapy fork)
約 10 万 IP アドレスを毎晩スキャン
筆者管理のドメイン名 reflec.to をクエリ
IPアドレス+"."+詐称形式+日付+".scan.reflec.to"
例: 192.0.2.1.shift0901.scan.reflec.to
送信元詐称形式
- 対象の IP アドレスと同じもの (sameip)
- 1つずらしたもの (shift) ...毎晩のスキャンはこれのみ
- ルートサーバのIPアドレス (open)
- ルートサーバのIPアドレスかつソースポート53番 (53)
- 筆者の大学のIPアドレス (chukyo)
対象のリゾルバがクエリを受け入れると権威サーバへクエリが発生し検知

隠れオープンリゾルバ検査サイト

隠れオープンリゾルバ検査サイトの仕組み

謎の装置 (推測図)

隠れオープンリゾルバ対策

サーバ (リゾルバ) でアクセス制限するだけでは不足
境界ルータ (F/W) の外側インターフェイスから内部アドレス(詐称)の流入を止める
```
deny all from 192.0.2.0/24 to any in via ${外側IF}
```
境界ルータ or F/W の内側インターフェイスから内部アドレス以外(詐称)の流出を止める (攻撃元にならないため)
```
deny all from not 192.0.2.0/24 to any in via ${内側IF}
```
IP TTL によるブロック (サーバ管理者の自衛策)
```
deny ip from 192.0.2.0/24 to me not ipttl 64,128,255
```

(例は FreeBSD の ipfw)

実際の詐称攻撃

隣接 IP アドレス (詐称) から 47077 への SYN,ACK
ベトナムの IP アドレス (ephemeral port) から 47077 への SYN,ACK
ベトナムの IP アドレス (ephemeral port) から 47077 への SYN の連続

まったく意味不明ながら 1 週間ほど続いた (詐称は ICMP のケースも)

まとめ

全体の 1.4%、JP の 5.3% がオープンリゾルバ ... Aug 2023
隠れオープンリゾルバは上記の約 5 倍の 6.9% (JP では 30%) ... Aug 2023
脆弱ドメインの公開の効果は大きい (18% 減少)
調査開始からの約 2 年弱で対策されたのは 28%
AC.JP では約 10% しか対策が進んでいない
検査サイト Snoopy では隠れを含む 706 のオープンリゾルバが発見され、うち対策されたのは193 (27%)

参考リンク

お問い合わせ先: tss@suzuki.sist.chukyo-u.ac.jp