あなたの背後にもいるかも知れない
外部からの再帰的名前解決要求を受け付ける「オープンリゾルバ」。DoSの主役がMirai等ボットネットそのものに移る前は、オープンリゾルバを経由したDNSクエリによってISPへの大々的なサービス妨害(DNS amp attack)が行われていたという。国内ではISPの自主的な取り組みも功を奏して、攻撃の発信源としてのオープンリゾルバは減少傾向にあると言われているものの、世界的に見れば依然としてDDoS発信源としての影響力は看過できない。ルーターやVPSの名前解決サービス設定の不備によって、あなたのネットワークにもオープンリゾルバが隠れているかも知れない。草の根的にオープンリゾルバを減らす取り組みは未だ必要とされている。
確認方法
任意のアドレスについてCLIから確認することもできるが、ここでは自組織・自宅のルーターやそれらが参照するDNSサーバーの確認方法を述べるにとどめる。
手軽に利用できるサービス
JPNICの紹介にもいくつか名前が挙がっている。ここではJPCERT/CC提供のサイトopenresolver.jpでブラウザでの操作を通してオープンリゾルバ診断を行ってみよう。ボタンを押すだけの非常に簡単な構成となっている。オープンリゾルバでなければ、次のような診断結果が得られる(WiFi経由・スマホより)
コマンドラインからの確認も可能
先ほどのサイトに向けてwgetやcurlを打てば、コマンドライン経由で診断結果を取得できる。
$ wget -QO - \
http://www.openresolver.jp/cli/check.html
$ curl --location-trusted \
http://www.openresolver.jp/cli/check.html
[OPEN]の文字列が返された場合には注意が必要だ。ルーター(接続元IP)の場合は自組織のネットワーク管理者やルーターの配布元に、DNSの場合はプロバイダに相談することをお勧めする。DoSの踏み台を増やさないためにも、自らが踏み台となってしまわないためにも、一度確認しておこう。
補足
既にQiita上に上がっている情報。
後でRefをたします。