FC2ブログ

PCで: OP53BかIP53Bかはたまた

 先日、DNSを使ったDDoSに関連する新聞記事について、二つのエントリを書きました。
 いずれも報道についての話ですが、今回はやや技術よりのことについて書いてみます。
 あと補足ですが、そもそもあの報道の元になったのは、タイミング的にはこれかも知れません。
 警察庁が7月23日に発表したものです。

 さて、二つ目に題材にした読売新聞の記事(2014-08-05)には、このようにありました。

 昨年から猛威をふるっている新手の攻撃「DNSアンプ攻撃」も対処可能になった。攻撃に使われる通信には、特定のポート番号に接続しようとするなどの特徴があり、これらの通信を遮断すれば簡単に予防することができる。

 ちなみにこの記事は8月13日にウェブ版にも載りました。
 今回は、この部分について簡単に考えてみます。つまり、どんなフィルタリングが現実的かということです。
 って、タイトルに全部書いてあるんですけど(笑)。

 さて、前に書いたエントリでは何となくSMTPのフィルタリングをイメージしてOP25Bと絡めた話にしましたが、考えてみると状況はちょっと違いますね。
 SMTPの件、つまりどちらかというと迷惑メール対策の趣旨が強かったあのフィルタリングは、つまり、踏み台を「使う側」への対策でした。言い換えると、オープンリレーになっているものを悪用「させない」仕組みですね。
 これは、SMTPサーバなんてのはそう誰もが立てるものじゃないから、というのがあるでしょう。
 対して今回の件では、一般家庭にも数多く存在するDNSサーバをどうするか、つまり「使われる側」「(踏み台に)される側」をどうするかを考えるのが合理的に思えます。

 ということになると、それをすれば「簡単に予防することができる」、と言えるような「遮断」の仕方というのは多分、OP25Bの場合とは異ってくるんでは。つまり、オープンリゾルバになっているDNSサーバの方を何とかするのであれば、そこに外からリクエストが届かないようにするのがより適切そうです。
 例えばリフレクションだと、応答を返す先を偽装されることになるでしょうけど、上記の警察庁発表の資料にあるやり方だと、これは通常の問い合わせを、通常のやり方で、通常使用するキャッシュサーバに投げるだけです。リクエストのパターンを見ると何かわかるかも知れませんが、それだと記事にあるような簡単な予防法にはなりません。

 記事にあるような予防法ということになるとやはり、IP53B、つまり、外から入ってくる、宛先のポート番号が53になっているパケットをブロック(遮断)するということになるのでは。

 勿論、攻撃、つまりそれは認めることとしていないDNSサーバへリクエストを投げることになるわけですが、それ自体を遮断することも、予防として実行される可能性はあります。それが以前のエントリで書いたことです。
 しかし、現実問題としてそれは困難なのではないか。例えば、これも以前のエントリで書きましたがGoogleのパブリックDNSのサービスを利用している人は結構な数にのぼると思われるし、それを塞いでしまうのは影響が大きすぎるでしょう。勿論、プロバイダのキャッシュサーバとともにそういった一部のサーバも許可すればいいわけですが、ではどれを許可するのかという問題が別に発生します。
 ということは、技術面よりも手続き的に簡単ではないですね。

 というわけで、「特定のポート番号に接続しようとするなどの特徴」を利用し、「これらの通信を遮断」することで「簡単に予防することができる」ような方法はと言えば、以前心配したような外向けのパケットの遮断ではなく、入ってくる方であると考えられるわけですが、さてどうでしょう。
 それとも……?

コメント

非公開コメント

プロフィール

水響俊二

Author:水響俊二
水響 俊二 [MIZUKI Shunji]

暫定的に、18禁作品の感想などは裏サイトで書いています。
   

最新記事
最新コメント
カテゴリ
検索フォーム
リンク
RSSリンクの表示
月別アーカイブ
アクセス解析中