浸透しない隠れオープンリゾルバ対策

E-ONTAP.COM / 中京大学工学部鈴木常彦
Jan 22, 2022 NGK2022S
http://www.e-ontap.com/misc/ngk2022s/

オープンリゾルバとは

アクセス制限されていないリゾルバ
(DNS キャッシュサーバや DNS プロキシ)
キャッシュポイズニングされやすい
DNS 水責め攻撃 (DDoS) の踏み台にされる
DNS リフレクション攻撃 (アンプ攻撃) の踏み台にされる

隠れオープンリゾルバとは

問題なのはリゾルバではなくネットワーク (境界ルータ or F/W)
攻撃に晒されるのは DNS ばかりではない
(NTP,SNMP,QUIC,SSDP,Memcached,LDAP,ICMP,...etc.)
リゾルバではアクセス制限 (許可外のクエリは REFUSED)
許可内の送信元 IP アドレスに偽装するとクエリを受け入れ
ログを監視できるドメイン名のクエリを撃ち込むことで検出可能
キャッシュポイズニングされやすい
DNS水責め攻撃 (DDoS) の踏み台になりやすい
DNSリフレクション攻撃の踏み台としては限定的 (許可範囲内)

隠れオープンリゾルバ対策

サーバ (リゾルバ) でアクセス制限するだけでは不足
境界ルータ (F/W) の外側インターフェイスから内部アドレス(詐称)の流入を止める
```
deny all from 192.0.2.0/24 to any in via ${外側IF}
```
境界ルータ or F/W の内側インターフェイスから内部アドレス以外(詐称)の流出を止める (攻撃元にならないため)
```
deny all from not 192.0.2.0/24 to any in via ${内側IF}
```
IP TTL によるブロック (サーバ管理者の自衛策)
```
deny ip from 192.0.2.0/24 to me not ipttl 64,128,255
```

(例は FreeBSD の ipfw)

隠れオープンリゾルバ対策の推移

(隠れオープンリゾルバを放置している日本のドメインより)

私の管理する権威サーバへのクエリ元約10万をスキャン (うち約1割が脆弱 / グラフは PTR が JP のもの)
なかなか対策が浸透しない!
リスト公開の効果は大きかった (誰でも簡単に探せるので隠しても無駄)
Maciej Korczyński らの論文によれば日本に 28,660

穴の開き方のパターン

リゾルバに隣接する IP アドレスに偽装すると受け入れ (わかる)
リゾルバと同一 IP アドレスに偽装すると受け入れ (わかる)
ルートサーバに偽装すると受け入れ (わからない)
ソースポート 53 だとどこからでも受け入れ (わからない)
REFUSED なのに名前解決は発動 / 偽装は不要 (まったくわからない)

主な脆弱サイト (AD.JP)

135 mesh.ad.jp.
29 dti.ad.jp.
23 sakura.ad.jp.
4 ztv.ad.jp.
4 stnet.ad.jp.
4 mex.ad.jp.
3 mirai.ad.jp.
2 sphere.ad.jp.
2 mcnet.ad.jp.
2 intervia.ad.jp.
1 mind.ad.jp.

etc. (2022.01.21 現在)

主な脆弱サイト (OR.JP)

5 interlink.or.jp.
4 tokai.or.jp.
2 sun-inet.or.jp.
2 iic.or.jp.
2 din.or.jp.
1 plala.or.jp.
1 mint.or.jp.
1 hitwave.or.jp.

etc. (2022.01.21 現在)

主な脆弱サイト (NE.JP)

31 so-net.ne.jp.
12 wadax.ne.jp.
10 home.ne.jp.
4 cty-net.ne.jp.
3 zaq.ne.jp.
2 vips.ne.jp.
2 owari.ne.jp.
2 catvmics.ne.jp.
1 tees.ne.jp.
1 tac-net.ne.jp.
1 sakura.ne.jp.
1 odn.ne.jp.
1 ocn.ne.jp.
1 alpha-net.ne.jp.

etc. (2022.01.21 現在)

主な脆弱サイト (AC.JP)

3 aichi-gakuin.ac.jp.
2 yokkaichi-u.ac.jp.
2 fujita-hu.ac.jp.
2 aichi-med-u.ac.jp.
~~1 toyota-ct.ac.jp.~~(2022.03.01 対策)
1 tokoha.ac.jp.
1 suzuka-u.ac.jp.
1 nagoya-cu.ac.jp.
1 kawai-juku.ac.jp.
1 hal.ac.jp.
1 gifu-kyoiku.ac.jp.
1 aut.ac.jp.
1 aichi-pu.ac.jp.

etc. (2022.01.21 現在)

主な脆弱サイト (CO.JP)

3 yokogawa.co.jp.
2 nittsu.co.jp.
2 mazda.co.jp.
1 taisay.co.jp.
1 sra.co.jp.
1 sony.co.jp.
1 shimadzu.co.jp.
1 ishida.co.jp.
1 iprevolution.co.jp.
1 daido.co.jp.
1 citizen.co.jp.
1 canon.co.jp.

etc. (2022.01.21 現在)

主な脆弱サイト (GO.JP)

今回公開しようと思いましたがもうしばらく自粛 (わりと深刻)

GO.JP 6 ドメイン 9 サーバ
外部名 13 ドメイン (2 業者 4 サーバ)

のちほどデモでチラ見せ

追記: 2022.3.22 公開

主な脆弱サイト (その他)

11 2iij.net.
4 bbtec.net.
2 kddi.com.
その他、銀行、鉄道など重要インフラ企業でも多く発見し JPCERT/CC へ報告済

スキャンデモ (GO.JP)

上段:詐称クエリ送出サーバ, 下段:権威サーバ(検出用)

自分の環境を調べてみよう

チェックはこちら (Hidden Open Resolver Tester)

参考リンク

お問い合わせ先: tss@e-ontap.com