LinuxRouterWindows Server

DNS 再帰的な問い合わせ DDos攻撃について

1 Mins read

世の中の「DNS の再帰的な問い合わせを使った DDoS 攻撃」が相変わらず多いようです。

公開している外向きのDNSサーバーは再帰的な問合せをローカルIP以外からは使用できないよう設定する必要がありますが、昔のDNSサーバーは標準で外向きにも答えるようになっているものが多いみたいです。今回、色々な場所=GlobalIPから攻撃が飛んできているのもそのためであり、一定期間でアクセス元が変わってしまい捕まえるのが大変な状況になります。(また、被害者が加害者になってしまう構図も問題です)

以下はRTX1200でDDos攻撃を防ぐ目的で調査した際に判明したことを覚書しておきます。

DNSサーバーで有名なBIND(LINUX)はローカルIPからの問い合わせのみ再帰的な問合せに応答し、外部からの問い合わせには応答しない設定が出来ますので、DMZ内などに1台置くことでセキュリティ対策と保持Domainサーバーの2機能を賄うことが可能となっています。

一方、ActiveDirectryに対応する関係でWindows DNSサーバーを使用している会社さんも結構います。WindowsのDNSサーバーはローカルIPからの問い合わせと外部からの問い合わせに対する切り替え機能がないので、再帰的な問合せに対し応答するかしないかの2つしか設定できないので、社内に上位DNS情報のキャッシュサーバーを置きたい且つ、今まで通り保持Domainは社内のDNSサーバーを使いたいといった場合、セキュリティーの関係上、DMZに外用DNSサーバー、ローカルに内用DNSサーバーと2台立てることが必要となります。

プロバイダーが公開しているDNSを上位指定することでキャッシュサーバーを立てなくても解決できますが、多数のクライアントがある時、引っ越しなどの時は大変になりますね。(そこまで考えなくても良いかもしれませんが。。。)

雑学でした。。。

Related posts
AWSLinux

.htaccess IP制御 AWS ELB ロードバランサー環境

1 Mins read

Apache 2.4.39

[.htaccess] Or [httpd.conf]

# 0.0.0.0にアクセス許可のIPを設定する
# AWS ELB 用 管理画面アクセス制御
<location "/wp-admin">
  # 管理用IP
  SetEnvIf X-Forwarded-For "0.0.0.0.*" allowed_ip_admin
  SetEnvIf X-Forwarded-For "0.0.0.0.*" allowed_ip_admin
  Order Deny,Allow
  Deny from all
  Allow from env=allowed_ip_admin
</location>

AWSLinux

SMTP Server 設定 確認 メール送信できない時の注意点

1 Mins read

注意点の覚書

・DNSにAホストとしてSMTP ServerのGlobal IPを登録する
・DNSにSPFレコード登録する
・DNSにDMARCレコードを登録する
・DNSにDKIMレコードを登録する(201906時点で35%の普及率なので必要なら)
MX、SPFなどメールサーバー確認ツール
DMARCレコードチェックツール

・AWSの場合、SMTP送信解除申請をおこなう
AWS SMTP送信制限解除について

スパムメールに判定されにくいよう
・システムから送る送信メールに「Reply-to」を設定する

AWSLinux

Linux Postfix メール送信 エラー 解析

1 Mins read

ひたすら繰り返す

# コンフィグ修正
vi /etc/postfix/main.cf


# プロセス リスタート
systemctl restart postfix

# root宛てテストメール送信
echo testtaro | mail root

# 外部宛てテストメール送信
echo "テストメール" | mail -s "test mail from hoge.jp server." <送信先メアド>

# ログ解析
systemctl status postfix -l
チームを強化する

サービスの
サブスクリプションの利点を説明するテキストを追加します。