これまで多くの警告がなされているにも関わらずインターノットにはたくさんのオープンリゾルバが存在しています。その中にはポート番号がランダマイズされていない危険なサーバがいくつも見つかっています。こうしたサーバの管理者に個別に連絡してあげられる時間は残念ながら私にはありません。
古くからDNSの諸問題に取り組まれている qmail.jp の前野さんからも「たくさんの危険なサーバが見つかっているのだが、どうしたものだろう」という声が聞こえてきていました。
どうしたものかと考えて、思案した結果「毒入れ」を敢行することにしました。「毒入れ」と言っても大量の偽応答を送り込むような悪事を働こうという話ではなく、合法的な「毒入れ」です。
今回、私自身が管理するこの www.e-ontap.com のDNSコンテンツサーバに毒を盛りました。そしてその毒は、危険なDNSサーバが問い合わせを送ってきたときにのみ応答に使われます。危険なDNSサーバのリスト(現在約4000件)が私のサーバに登録してあり、選択的に応答に使われるようになっているわけです。djbdns(tinydns) の location という機能を用いています。リストの大部分は前野さんから提供を受けたものを再検査の上用いています。
さて、リストに掲載された危険な状態にあるDNSサーバを用いて http://www.e-ontap.com/(以下の任意のURI) にアクセスすると、以下のような画面に誘導されます。
前野さんの http://moin.qmail.jp においても現在、同様の設定がなされており、危険なサーバの利用者はこの警告のページへ誘導されるようになっています。
リストは今後増やしていく予定です。これで、気づいて対策がなされれば良いのですが、、、
追記: 自動判定システム(Port Randomize Tester)とそのバナー版も作成しました。説明はこちら。
何があったか知らないですけど、「ルートDNSサーバー側の挙動に変更があり」って何を言い出すんですか。なんでもルートサーバや浸透のせいにしてごまかさないでくれます? ちゃんと訂正記事お願いしますね。
(松崎氏いわく「このトラブルはRFC6303 (tools.ietf.org/html/rfc6303) を実施していれば防げた類のものではないでしょうか?」)
p.s.
ついでにこいつらもなんとかしてください。
11月2日に書いたように「危険なDNSサーバの利用者へ警告」というのをはじめましたが、これは主としてqmail.jpの前野さんから提供頂いたブラックリストに基づくものです。
もう少し広範囲に警告しようと、先週土曜の夜から日曜の朝にかけて、ブラックリスト不要で危険なサーバを自動判定する仕掛けを作成しました。このブログの右上にある3つの小さなボールアイコンとともに表示されているのがその仕掛けを用いたバナーです。危険なサーバを用いたアクセスには Your DNS is Risky. と表示されます。ブラックリストの場合とは異なりオープンリゾルバでなくともポート番号が固定されていれば警告が出ます。ファイアウォールの内側でアクセス制限があっても毒入れはできるのです。警告が出た場合は早急に対処したほうが良いでしょう。
また、自分の使っているDNSキャッシュサーバをチェックすることのできる専用のページ"Port Randomize Tester"も作成しました。どうぞご利用ください。Queryのポート番号が固定なのを確かめるだけの仕掛けなので、ランダム性を詳細に調べたい方はこちらのほうがよくできています。また、ポートがランダマイズされていてもオープンリゾルバはDDoS(DNS amplification attack)に使われるなどの危険性もあります。そのあたりのチェックはこちらでどうぞ。
バナーをつくろうと思ったのは、一緒にはじめた前野さんがウェブアプリケーションで有名な徳丸さんを誘ってくださったことがきっかけです。徳丸さんがバナーなら協力してもよいとのことで、まずは旧「徳丸浩の日記」に危険なサーバを判定する仕掛け入りのバナーを設置頂いています。こちらはまだブラックリストにもとづくものですが、新しい仕掛けも使って頂こうと思っています。自分のサイトにもバナー設置してもいいという方はご連絡ください。
Copyright by T.Suzuki
Before...
■ だきわ [ウォーゲームの初っぱなのところで出てくる台詞でよさそうなのがあったような>警告文]
■ tm [tokumaru.org 閲覧者が利用しているのか、危険なサーバのリストが膨張中です。]
■ tm [alert.qmail.jp ドメインの管理を変更して、警告もれのケースをなくしました。 source port 5..]