DNS DDOS攻撃 - ログを理解したい

Question

BINDクエリログ形式

アラン・クレッグ（ISC）のBIND ロギングに関するスライド? 16ページにはこう書かれています誤って:

応答が送信されるアドレス（括弧内）

BIND 9管理者リファレンスマニュアルには、実際にはクエリ送信されました。つまり、DNSサーバーのIPアドレスマニュアルの構造は読みやすくも参照しやすくもありませんので、関連ドキュメントへの完全なパスを以下に示します。

リファレンスマニュアルバージョン9.14.11より、
- 第5章 BIND 9 設定リファレンス
  - 設定ファイルの文法、
    - loggingステートメントの定義と使用法、
      - フレーズcategory、
        
        queries

より明確なフォーマットと強調は私によるものです:

クエリログエントリは、まず、クライアントオブジェクト識別子を@0x<hexadecimal-number>形式で報告します。

次に、クライアントのIPアドレスとポート番号を報告し、

クエリ名、クラス、およびタイプ。

次に、

再帰希望フラグが設定されているかどうか（+設定されている場合、-設定されていない場合）、

クエリが署名されているかどうか（S）、

EDNSが使用されていたかどうか、EDNSバージョン番号（E(#)）、

TCPが使用されたかどうか（T）、

DO (DNSSEC Ok)が設定されているかどうか（D）、

CD（チェック無効）が設定されているかどうか（C）、

有効なDNSサーバーCOOKIEが受信されたかどうか（V）、および

有効なサーバーCOOKIEのないDNS COOKIEオプションが存在したかどうか（K）。

その後、クエリが送信された宛先アドレスが報告されます。

最後に、クライアントクエリに CLIENT-SUBNET オプションが存在する場合は、という形式で角括弧で囲まれます[ECS address/source/scope]。

つまり:

info: client @0xf00 203.0.113.88#3074 (example.com): query: example.com IN RRSIG + (192.0.2.1)

203.0.113.88#3074クライアントのIPアドレスとポートです
example.comクエリ名、INクラス、RRSIGタイプ（RFC 4034、3）
+クライアントが再帰を要求したことを伝える
192.0.2.1クエリが送信されたDNSサーバーのIPアドレスです

DNS 増幅攻撃とその軽減方法

このログエントリにはDDoS攻撃の兆候はありませんそれ自体応答はクライアントに返されます203.0.113.88#3074。クライアントのIPアドレスが偽装されていた場合、増幅攻撃クエリに対する応答がRRSIG元のクエリよりもはるかに大きくなることです。

...攻撃者は、UDP DNS クエリをリフレクションリゾルバに送信し、クエリの送信元 IP アドレスをターゲット (被害者) のアドレスに設定します。リフレクションサーバーは再帰クエリを処理し、クエリの送信元と思われる IP アドレスに応答を送信します。送信元が偽装されているため、応答は実際にはターゲットに送信されます。 - -

要求されていない DNS 応答は、ターゲットマシンに到達した場合には破棄されますが、破棄されるまでに、ターゲットマシン上のネットワークリソースと CPU 時間の一部が消費されます。

これを軽減するには、状況に応じて次の操作を行います。

もしこれが権威あるサーバーでは、オープン再帰を許可しません。これはIANAの権威ネームサーバーの技術要件:

オープン再帰名サービスなし

権威ネームサーバーは再帰的な名前サービスを提供してはなりません。この要件は、「RD」ビットを設定したクエリを権威の管轄外に送信することでテストされます。

もしこれが再帰的ネームサーバーでは、このサービスの使用を許可する必要がある独自のネットワークのみにアクセスを制限します。これは、またはのいずれかを使用して実行できallow-queryますallow-recursion。

allow-recursion

このサーバーを介して再帰クエリを実行できるホストを指定します。がallow-recursion設定されていない場合はallow-query-cacheが使用され、設定allow-queryされていない場合はが使用され、それ以外の場合はデフォルト ( localnets; localhost;) が使用されます。

使用できます応答率の制限:

RRL がこれに対して防御できるようにするには、named.conf次のrate-limit句を編集してグローバルオプションに追加します。
options {
         … 
          rate-limit {
              responses-per-second 10;
          };
      };

これについては、公式ドキュメントで詳しく説明されています。optionsステートメントの定義と使用法:応答率の制限. そこには

- why and how to use `slip` to truncate responses (done by default with value `2`)
- use `qps-scale` to tighten defenses during attacks.

Answer 1

BINDクエリログ形式

アラン・クレッグ（ISC）のBIND ロギングに関するスライド? 16ページにはこう書かれています誤って:

応答が送信されるアドレス（括弧内）

BIND 9管理者リファレンスマニュアルには、実際にはクエリ送信されました。つまり、DNSサーバーのIPアドレスマニュアルの構造は読みやすくも参照しやすくもありませんので、関連ドキュメントへの完全なパスを以下に示します。

リファレンスマニュアルバージョン9.14.11より、
- 第5章 BIND 9 設定リファレンス
  - 設定ファイルの文法、
    - loggingステートメントの定義と使用法、
      - フレーズcategory、
        
        queries

より明確なフォーマットと強調は私によるものです:

クエリログエントリは、まず、クライアントオブジェクト識別子を@0x<hexadecimal-number>形式で報告します。

次に、クライアントのIPアドレスとポート番号を報告し、

クエリ名、クラス、およびタイプ。

次に、

再帰希望フラグが設定されているかどうか（+設定されている場合、-設定されていない場合）、

クエリが署名されているかどうか（S）、

EDNSが使用されていたかどうか、EDNSバージョン番号（E(#)）、

TCPが使用されたかどうか（T）、

DO (DNSSEC Ok)が設定されているかどうか（D）、

CD（チェック無効）が設定されているかどうか（C）、

有効なDNSサーバーCOOKIEが受信されたかどうか（V）、および

有効なサーバーCOOKIEのないDNS COOKIEオプションが存在したかどうか（K）。

その後、クエリが送信された宛先アドレスが報告されます。

最後に、クライアントクエリに CLIENT-SUBNET オプションが存在する場合は、という形式で角括弧で囲まれます[ECS address/source/scope]。

つまり:

info: client @0xf00 203.0.113.88#3074 (example.com): query: example.com IN RRSIG + (192.0.2.1)

203.0.113.88#3074クライアントのIPアドレスとポートです
example.comクエリ名、INクラス、RRSIGタイプ（RFC 4034、3）
+クライアントが再帰を要求したことを伝える
192.0.2.1クエリが送信されたDNSサーバーのIPアドレスです

DNS 増幅攻撃とその軽減方法

このログエントリにはDDoS攻撃の兆候はありませんそれ自体応答はクライアントに返されます203.0.113.88#3074。クライアントのIPアドレスが偽装されていた場合、増幅攻撃クエリに対する応答がRRSIG元のクエリよりもはるかに大きくなることです。

...攻撃者は、UDP DNS クエリをリフレクションリゾルバに送信し、クエリの送信元 IP アドレスをターゲット (被害者) のアドレスに設定します。リフレクションサーバーは再帰クエリを処理し、クエリの送信元と思われる IP アドレスに応答を送信します。送信元が偽装されているため、応答は実際にはターゲットに送信されます。 - -

要求されていない DNS 応答は、ターゲットマシンに到達した場合には破棄されますが、破棄されるまでに、ターゲットマシン上のネットワークリソースと CPU 時間の一部が消費されます。

これを軽減するには、状況に応じて次の操作を行います。

もしこれが権威あるサーバーでは、オープン再帰を許可しません。これはIANAの権威ネームサーバーの技術要件:

オープン再帰名サービスなし

権威ネームサーバーは再帰的な名前サービスを提供してはなりません。この要件は、「RD」ビットを設定したクエリを権威の管轄外に送信することでテストされます。

もしこれが再帰的ネームサーバーでは、このサービスの使用を許可する必要がある独自のネットワークのみにアクセスを制限します。これは、またはのいずれかを使用して実行できallow-queryますallow-recursion。

allow-recursion

このサーバーを介して再帰クエリを実行できるホストを指定します。がallow-recursion設定されていない場合はallow-query-cacheが使用され、設定allow-queryされていない場合はが使用され、それ以外の場合はデフォルト ( localnets; localhost;) が使用されます。

使用できます応答率の制限:

RRL がこれに対して防御できるようにするには、named.conf次のrate-limit句を編集してグローバルオプションに追加します。
options {
         … 
          rate-limit {
              responses-per-second 10;
          };
      };

これについては、公式ドキュメントで詳しく説明されています。optionsステートメントの定義と使用法:応答率の制限. そこには

- why and how to use `slip` to truncate responses (done by default with value `2`)
- use `qps-scale` to tighten defenses during attacks.

DNS DDOS攻撃 - ログを理解したい

答え1

BINDクエリログ形式

DNS 増幅攻撃とその軽減方法

関連情報