Internet Week 2014 - D1 DNS DAY 「攻撃への対応」

Transcript

1. Internet Week 2014
   Internet Week 2014
   攻撃への対応
   Internet Week 2014 DNS DAY
   2014/11/20
   1/16
   

   View Slide

2. Internet Week 2014
   Internet Week 2014
   Agenda
   n はじめに
   n ⾃⼰紹介
   n DNS基本構成と運⽤ポリシー
   n これまでの対応
   n 2014年6⽉以降の状況と対応
   n 攻撃対応の⼿法と実際
   n おわりに
   2/16
   

   View Slide

3. Internet Week 2014
   Internet Week 2014
   1. はじめに
   本稿はDNSに対する様々な攻撃のうち、今年6⽉以
   降のDNSキャッシュサーバに対する攻撃対応を紹
   介します.
   3/16
   

   View Slide

4. Internet Week 2014
   Internet Week 2014
   2. ⾃⼰紹介
   n ⽒名 藤原豊
   n 所属 ソネット株式会社
   ü2000年よりWWW/DNS/NetNews等の構築運⽤に従事
   ü2010年より情報セキュリティ推進業務に従事
   üabuse@so-net
   ü現在に⾄る
   4/16
   

   View Slide

5. Internet Week 2014
   Internet Week 2014
   3. So-netのDNS
   n 基本構成と運⽤ポリシー
   üBIND
   üサービス・機能に応じてシステムを分離
   üロードバランサによる分散
   ü監視(稼働状況、DNS統計情報、SLA)
   üリクエスト数に応じて柔軟にリソース増強
   ü「7⽉」対応など
   5/16
   

   View Slide

6. Internet Week 2014
   Internet Week 2014
   4. これまでの対応
   n オープンリゾルバ対応
   üリフレクション/amp攻撃対策
   üユーザ向けキャッシュサーバのクエリ制限
   -2013年 海外からのクエリを制限
   -2014年5⽉ 国内他ネットワークからのクエリを制限
   6/16
   

   View Slide

7. Internet Week 2014
   Internet Week 2014
   攻撃者
   攻撃対象?DNSサーバ
   （example.comの権威DNSサー
   バ）
   aaa.example.com
   bbb.example.com
   ccc.example.com
   aaa.example.com
   bbb.example.com
   ccc.example.com
   ccc.example.com
   bbb.example.com
   aaa.example.com
   ccc.example.com
   bbb.example.com
   aaa.example.com
   ccc.example.com
   bbb.example.com
   aaa.example.com
   ccc.example.com
   bbb.example.com
   aaa.example.com
   存在しないレコード
   を多数リクエスト
   名前解決失敗多発
   ・リソース枯渇
   ・性能低下
   ・サーバ停⽌
   権威サーバからの応答
   待ち滞留
   新規リクエスト不可
   サービス障害
   ISP DNS
   キャッシュ
   ISP DNS
   キャッシュ
   ISP A
   ISP B
   Internet
   5. 2014年6⽉以降…
   7/16
   

   View Slide

8. Internet Week 2014
   Internet Week 2014
   6. DNS Water Torture (Slow Drip)攻撃
   n 攻撃元?はお客様
   ü多分オープンリゾルバ
   -試しに version.bind や hostname.bind を問い合わせてみると
   「⾒覚えのある⽂字列」が返ってくる
   -“So--net” “So----net”
   -とある調査では⾃AS内に多数存在する模様
   -OpenResolverProject、ShadowServer、Telecom-ISAC
   n 攻撃の⽬的
   ü不明、諸説あり
   -Cloudflareがホストしているドメイン?
   -⾹港関係?
   8/16
   

   View Slide

9. Internet Week 2014
   Internet Week 2014
   7. 攻撃の検知
   n 異常傾向の検知
   üサーバ
   ⁻NXDOMAIN, ServFail 増加
   ⁻recursive clients 上昇
   ⁻ファイルディスクリプタ 増加
   üNW機器(FW,LB等)
   ⁻セッションテーブルカウンタ上昇
   üサービス
   ⁻応答性能低下
   9/16
   

   View Slide

10. Internet Week 2014
    Internet Week 2014
    8. 攻撃対応の流れ
    1. 監視
    ü 監視→判断→意思決定→対応
    2. チューニング
    üチューニングのツボ
    -「DNSキャッシュサーバの設定ノウハウ」(DNS SummerDays2014
    東さん)
    ☞http://dnsops.jp/event/20140626/DNS-design-operation-higashi_final.pdf
    3. リソース増強
    üサーバ追加
    4. クエリ制限
    ü 2)3)をやってもダメな場合
    ü DNSサービスの安定運⽤のための最終⼿段(緊急避難)
    10/16
    

    View Slide

11. Internet Week 2014
    Internet Week 2014
    9. 攻撃対応の⼿法
    n 回答詐称
    ü児童ポルノブロッキングと同⼿法
    -ゾーン上書き⽅式
    -RPZ⽅式
    -DNSブロッキングによる児童ポルノ対策ガイドライン(第2版)
    ☞http://www.good-net.jp/investigation/uploads/2013/10/31/20121102_4.pdf
    n Iptablesで制限
    üOutbound通信を⾒張ってhashlimitかける
    n IP53B
    ü省略
    11/16
    

    View Slide

12. Internet Week 2014
    Internet Week 2014
    10. 攻撃対応の実際
    n ゾーンの上書き
    ü監視
    - 権威サーバへの問い合わせ滞留を監視
    - rndc recursing 等の出⼒から”継続的に滞留”してい
    るドメインを特定
    ü設定
    - 当該ドメインゾーンをローカルに作成
    - 結果当該クエリに対してNXDOMAINを返すように
    ü注意事項
    - ブロックは可能な限り最⼩限に!!
    - 当該ドメインの応答を監視し、回復次第制限解除
    12/16
    

    View Slide

13. Internet Week 2014
    Internet Week 2014
    [参考]⼤量通信等ガイドライン(第2版) 11ページ
    イ. 事業者設備に⽀障が⽣じる場合
    【考え⽅】
    発⽣している⼤量通信等の特性を把握した上、当該特性を有する通信のみを機械的に遮断する場
    合、その特性を把握することは、通信の秘密の侵害（知得）に当たりうる。また、把握した特性に
    基づき、当該特性に合致する通信を遮断することは通信の秘密の侵害（窃⽤）に当たりうる。
    しかしながら、⼤量通信等が発⽣し、これにより事業者設備に⽣じる侵害を防⽌するために、原
    因となっている⼤量通信等の特性を把握した上で、これに合致した通信のみを遮断することは、通
    常は、正当防衛⼜は緊急避難として違法性が阻却される。
    また、事業者の設備等に⽀障が⽣じうるが、これを回避するためには通信の間引き・遮断を⾏う
    必要がある場合において、当該⽀障のおそれを防⽌するとともに、遮断する通信の範囲を最⼩限に
    留めるために⾏われる⼤量通信等の特性の把握及びそれに合致した通信の遮断については、そのた
    めに相当な限度で⾏われる場合には、正当業務⾏為に当たると解される。
    (エ) 特定の受信者宛の⼤量通信等やマルウェアなどに起因する⼤量通信等の発⽣によって、
    ルータやＤＮＳサーバなどの通信設備に⽀障が⽣じ、他の通信に影響を及ぼした場合、当
    該⽀障を解決するためには、通信の間引き・遮断を⾏う必要があるが、遮断する通信の範
    囲を最⼩限に留める必要がある。そこで、通常時より取得しているトラヒック等のデータ
    と、現時点のデータとを突合した上で、当該⼤量通信等の特性（送信元アドレス、受信元
    アドレス、ポート番号、パケットの送信頻度、クエリなど）を把握の上、当該特性に合致
    する通信のみを遮断してよいか。
    13/16
    

    View Slide

14. Internet Week 2014
    Internet Week 2014
    [参考]⼤量通信等ガイドライン(第2版) 12ページ
    イ. 事業者設備に⽀障が⽣じる場合
    【考え⽅】
    ⼤量通信等の特性を把握した上、当該特性を有する通信のみを機械的に遮断することは、通信の
    秘密の侵害に当たりうる。
    しかしながら、⼤量通信等により事業者設備に⽣じる侵害を防⽌するために⾏われる⾏為として
    、当該特性を有する通信を遮断するのではなく、ＤＮＳサーバへの検索において通信破棄⽤のＩＰ
    アドレスを返答することも、通常は、正当防衛⼜は緊急避難として違法性が阻却される。
    また、このような対応も、事業者の設備等に⽣じる⽀障のおそれを防⽌するとともに、別のドメ
    イン名宛の通信まで遮断してしまうことを防ぐために⾏われる場合には、その⽬的は正当であると
    いえ、必要かつ相当な⽅法で⾏われる場合には、正当業務⾏為に当たると解される。
    (オ)⼤量通信等が、マルウェアや攻撃ツールにより攻撃先のＩＰアドレスをＤＮＳサーバで検
    索・取得した上で⾏われていることが判明した場合、当該ＩＰアドレス宛通信のうち、別
    のドメイン名宛の通信まで遮断してしまうことを防ぐため、発⽣した⼤量通信等そのもの
    を遮断するのではなく、その前段で⾏われるＤＮＳサーバへの検索において、本来のＩＰ
    アドレスではなく、通信破棄⽤のＩＰアドレスを返答することで、当該⼤量通信等の発⽣
    を防⽌してよいか。
    14/16
    

    View Slide

15. Internet Week 2014
    Internet Week 2014
    11. おわりに
    n 適切な監視が重要
    n 「緊急避難」は慎重に
    n 本稿の内容はあくまでも暫定対応
    n 恒久対応はIP53B
    15/16
    

    View Slide

16. Internet Week 2014
    Internet Week 2014
    ありがとうございました。
    16/16
    

    View Slide