Internet Week 2014 - D1 DNS DAY 「攻撃への対応」

C0707a5634ab5d0b38eb13d0939a1b0b?s=47 Yu F
November 20, 2014
8

Internet Week 2014 - D1 DNS DAY 「攻撃への対応」

C0707a5634ab5d0b38eb13d0939a1b0b?s=128

Yu F

November 20, 2014
Tweet

Transcript

  1. 2.

    Internet Week 2014 Internet Week 2014 Agenda n はじめに n

    ⾃⼰紹介 n DNS基本構成と運⽤ポリシー n これまでの対応 n 2014年6⽉以降の状況と対応 n 攻撃対応の⼿法と実際 n おわりに 2/16
  2. 4.

    Internet Week 2014 Internet Week 2014 2. ⾃⼰紹介 n ⽒名

    藤原豊 n 所属 ソネット株式会社 ü2000年よりWWW/DNS/NetNews等の構築運⽤に従事 ü2010年より情報セキュリティ推進業務に従事 üabuse@so-net ü現在に⾄る 4/16
  3. 5.

    Internet Week 2014 Internet Week 2014 3. So-netのDNS n 基本構成と運⽤ポリシー

    üBIND üサービス・機能に応じてシステムを分離 üロードバランサによる分散 ü監視(稼働状況、DNS統計情報、SLA) üリクエスト数に応じて柔軟にリソース増強 ü「7⽉」対応など 5/16
  4. 6.

    Internet Week 2014 Internet Week 2014 4. これまでの対応 n オープンリゾルバ対応

    üリフレクション/amp攻撃対策 üユーザ向けキャッシュサーバのクエリ制限 -2013年 海外からのクエリを制限 -2014年5⽉ 国内他ネットワークからのクエリを制限 6/16
  5. 7.

    Internet Week 2014 Internet Week 2014 攻撃者 攻撃対象?DNSサーバ (example.comの権威DNSサー バ)

    aaa.example.com bbb.example.com ccc.example.com aaa.example.com bbb.example.com ccc.example.com ccc.example.com bbb.example.com aaa.example.com ccc.example.com bbb.example.com aaa.example.com ccc.example.com bbb.example.com aaa.example.com ccc.example.com bbb.example.com aaa.example.com 存在しないレコード を多数リクエスト 名前解決失敗多発 ・リソース枯渇 ・性能低下 ・サーバ停⽌ 権威サーバからの応答 待ち滞留 新規リクエスト不可 サービス障害 ISP DNS キャッシュ ISP DNS キャッシュ ISP A ISP B Internet 5. 2014年6⽉以降… 7/16
  6. 8.

    Internet Week 2014 Internet Week 2014 6. DNS Water Torture

    (Slow Drip)攻撃 n 攻撃元?はお客様 ü多分オープンリゾルバ -試しに version.bind や hostname.bind を問い合わせてみると 「⾒覚えのある⽂字列」が返ってくる -“So--net” “So----net” -とある調査では⾃AS内に多数存在する模様 -OpenResolverProject、ShadowServer、Telecom-ISAC n 攻撃の⽬的 ü不明、諸説あり -Cloudflareがホストしているドメイン? -⾹港関係? 8/16
  7. 9.

    Internet Week 2014 Internet Week 2014 7. 攻撃の検知 n 異常傾向の検知

    üサーバ ⁻NXDOMAIN, ServFail 増加 ⁻recursive clients 上昇 ⁻ファイルディスクリプタ 増加 üNW機器(FW,LB等) ⁻セッションテーブルカウンタ上昇 üサービス ⁻応答性能低下 9/16
  8. 10.

    Internet Week 2014 Internet Week 2014 8. 攻撃対応の流れ 1. 監視

    ü 監視→判断→意思決定→対応 2. チューニング üチューニングのツボ -「DNSキャッシュサーバの設定ノウハウ」(DNS SummerDays2014 東さん) ☞http://dnsops.jp/event/20140626/DNS-design-operation-higashi_final.pdf 3. リソース増強 üサーバ追加 4. クエリ制限 ü 2)3)をやってもダメな場合 ü DNSサービスの安定運⽤のための最終⼿段(緊急避難) 10/16
  9. 11.

    Internet Week 2014 Internet Week 2014 9. 攻撃対応の⼿法 n 回答詐称

    ü児童ポルノブロッキングと同⼿法 -ゾーン上書き⽅式 -RPZ⽅式 -DNSブロッキングによる児童ポルノ対策ガイドライン(第2版) ☞http://www.good-net.jp/investigation/uploads/2013/10/31/20121102_4.pdf n Iptablesで制限 üOutbound通信を⾒張ってhashlimitかける n IP53B ü省略 11/16
  10. 12.

    Internet Week 2014 Internet Week 2014 10. 攻撃対応の実際 n ゾーンの上書き

    ü監視 - 権威サーバへの問い合わせ滞留を監視 - rndc recursing 等の出⼒から”継続的に滞留”してい るドメインを特定 ü設定 - 当該ドメインゾーンをローカルに作成 - 結果当該クエリに対してNXDOMAINを返すように ü注意事項 - ブロックは可能な限り最⼩限に!! - 当該ドメインの応答を監視し、回復次第制限解除 12/16
  11. 13.

    Internet Week 2014 Internet Week 2014 [参考]⼤量通信等ガイドライン(第2版) 11ページ イ. 事業者設備に⽀障が⽣じる場合

    【考え⽅】 発⽣している⼤量通信等の特性を把握した上、当該特性を有する通信のみを機械的に遮断する場 合、その特性を把握することは、通信の秘密の侵害(知得)に当たりうる。また、把握した特性に 基づき、当該特性に合致する通信を遮断することは通信の秘密の侵害(窃⽤)に当たりうる。 しかしながら、⼤量通信等が発⽣し、これにより事業者設備に⽣じる侵害を防⽌するために、原 因となっている⼤量通信等の特性を把握した上で、これに合致した通信のみを遮断することは、通 常は、正当防衛⼜は緊急避難として違法性が阻却される。 また、事業者の設備等に⽀障が⽣じうるが、これを回避するためには通信の間引き・遮断を⾏う 必要がある場合において、当該⽀障のおそれを防⽌するとともに、遮断する通信の範囲を最⼩限に 留めるために⾏われる⼤量通信等の特性の把握及びそれに合致した通信の遮断については、そのた めに相当な限度で⾏われる場合には、正当業務⾏為に当たると解される。 (エ) 特定の受信者宛の⼤量通信等やマルウェアなどに起因する⼤量通信等の発⽣によって、 ルータやDNSサーバなどの通信設備に⽀障が⽣じ、他の通信に影響を及ぼした場合、当 該⽀障を解決するためには、通信の間引き・遮断を⾏う必要があるが、遮断する通信の範 囲を最⼩限に留める必要がある。そこで、通常時より取得しているトラヒック等のデータ と、現時点のデータとを突合した上で、当該⼤量通信等の特性(送信元アドレス、受信元 アドレス、ポート番号、パケットの送信頻度、クエリなど)を把握の上、当該特性に合致 する通信のみを遮断してよいか。 13/16
  12. 14.

    Internet Week 2014 Internet Week 2014 [参考]⼤量通信等ガイドライン(第2版) 12ページ イ. 事業者設備に⽀障が⽣じる場合

    【考え⽅】 ⼤量通信等の特性を把握した上、当該特性を有する通信のみを機械的に遮断することは、通信の 秘密の侵害に当たりうる。 しかしながら、⼤量通信等により事業者設備に⽣じる侵害を防⽌するために⾏われる⾏為として 、当該特性を有する通信を遮断するのではなく、DNSサーバへの検索において通信破棄⽤のIP アドレスを返答することも、通常は、正当防衛⼜は緊急避難として違法性が阻却される。 また、このような対応も、事業者の設備等に⽣じる⽀障のおそれを防⽌するとともに、別のドメ イン名宛の通信まで遮断してしまうことを防ぐために⾏われる場合には、その⽬的は正当であると いえ、必要かつ相当な⽅法で⾏われる場合には、正当業務⾏為に当たると解される。 (オ)⼤量通信等が、マルウェアや攻撃ツールにより攻撃先のIPアドレスをDNSサーバで検 索・取得した上で⾏われていることが判明した場合、当該IPアドレス宛通信のうち、別 のドメイン名宛の通信まで遮断してしまうことを防ぐため、発⽣した⼤量通信等そのもの を遮断するのではなく、その前段で⾏われるDNSサーバへの検索において、本来のIP アドレスではなく、通信破棄⽤のIPアドレスを返答することで、当該⼤量通信等の発⽣ を防⽌してよいか。 14/16
  13. 15.

    Internet Week 2014 Internet Week 2014 11. おわりに n 適切な監視が重要

    n 「緊急避難」は慎重に n 本稿の内容はあくまでも暫定対応 n 恒久対応はIP53B 15/16