DNSサーバが DDoSの発射台にされる問題について

日経ITproの記事によると、DNSの再帰問い合わせの問題を突いてDDoSの発射台に使用されるサーバが増えているので対策を、とのこと。

正直に言うと、この話は初耳。
DNSは、NAT内で、内部ドメイン + forward-only なものぐらいしか構築したことないので、情報収集怠り気味だったとはいえ、知らなかったことは、ちょっとショックでした。
ので、外からアクセス可能な DNSサーバはたてたり、管理してないので、今のところ直接は関係ないとはいえ、後学のためにちょっと調べてみることにしました。

まず攻撃の手口についてですが、詳細に書くと、まねする奴が出るからか、Googleで検索しても、なかなか説明が見つからず、結局一次ソースの The Continuing Denial of Service Threat Posed by DNS Recursionを読むしかなさそうでした。orz

で、US-CERTの Summaryをざっと読んだところ、私の理解したところでは「(攻撃者が)いたずら電話(DNS)で他人の家(被害サイト)宛に出前(名前解決要求)を頼む」嫌がらせ...という感じでした。

ので、対策は 外向きDNSサーバを運営するなら、再帰要求を受け付ける IPなどを制限しましょう。ということらしいです。

で対策ですが、私、named.confの「recursion」の設定項目自体が初耳でした。orz

なさけないのでDNSの設定入門みたいなページを検索してみてみたんですが、あまり「recursion」をちゃんと設定の必要性まで含めて説明しているページも少ないようです。(だからなんだといわれると、ただの言い訳なんだけど)

でも、こんな状況ではJPCERTには悪いけど、「namedの方で、allow-recursionを設定しないと、再帰要求を受け付けないようにデフォルトを変更する」ぐらいの劇薬的対処が取られない限り、簡単には設定変更広がらなさそうな予感がします。

＃ rootサーバこけて、トラブル出ると、いらん仕事が増えるという意味では管理者にとってもひとごとではないんだけど orz

しかし、djbdnsのページ見ると、思いっきり警告してますねぇ。
qmailは、お世話になっているんでドキュメントも一通り読んだけど、DNSの方はスルーでした...
やっぱ、せめて主張のとこぐらいは読んどくべきだったかなぁ。orz