ザツログ

雑学、幕末、80年代、ブログカスタマイズ、ITトラブルシューティングなど。

MENU

DNSサーバで『DNSキャッシュポイズニング』対策は必須です

f:id:maekeeeeen:20141230035925j:plain

DNSキャッシュポイズニング』と呼ばれるDNSサーバーへの攻撃を回避する必須対策です。

 

『DNSキャッシュポイズニング』とは

DNSキャッシュポイズニング』とは、DNSサーバーに保管された問い合わせキャッシュ情報を書き換え、悪意のあるサイトに誘導する、などの攻撃です。

1.ホスト名とIPアドレスの対応を変更し有害サイトへ誘導する

2.Web、メールの内容を盗聴する、改ざんする
3.spamを送信する
4.DNSを使用不能にして、各種サービスやアプリケーションを動作不能にする(DoS)

出典:インターネット10分講座:DNSキャッシュポイズニング - JPNIC

 

『ソースポートランダマイゼーション』

ソースポートランダマイゼーション』とは、DNS問い合わせ送信時のUDPポートをランダムに変化させる機能です。
ソースポートランダマイゼーション』が無効で、送信先ポート番号が固定されていると、攻撃者が容易にポート番号を判別して偽の応答を注入し、その結果、悪意のあるサイトに誘導されてしまう危険性があります。

 

必須対策

ソースポートランダマイゼーション』を有効にする事で、偽の応答を注入する確率を下げる事が可能です。

f:id:maekeeeeen:20141230042328j:plain

出典:http://jprs.jp/tech/security/2014-04-30-poisoning-countermeasure-resolver-1.pdf

BINDの『named.conf』ファイルの以下の設定を無効にする事で、『ソースポートランダマイゼーション』を有効にできます。

query-source port 53;
query-source-v6 port 53;

 

【『ソースポートランダマイゼーション』の有効化
※コメントアウトします。

# query-source port 53;
# query-source-v6 port 53;