オープンリゾルバーとは

オープンリゾルバーとは、キャッシュDNSサーバーに適切なアクセス制御が設定されておらず、インターネット全体から利用が可能な状態になっていること。

インターネット上のコンピューターであるドメイン名を、IPアドレスに変換する役目を果たすDNSは、インターネット上に存在する多数のサーバー(DNSサーバー)で、データを分散して管理している。このDNSサーバーには、2つの役割がある。

一つは、それぞれのドメイン名に関する完全な情報を持つ「権威サーバー(「権威DNSサーバー」または「コンテンツサーバー」などとも言う)」で、インターネット全体でドメイン名に関する問い合わせに対して回答するサービスを提供している。

もう一つは、「キャッシュDNSサーバー」で、権威サーバーに対して問い合わせを行うサーバー(「リゾルバー」と呼ばれる)のうち、次回同じ問い合わせを受けた時のためにデータを一時保存するなどの機能を持ったDNSサーバーを指す。基本的にアクセス制御を施し、利用者を限定している。

オープンリゾルバーとは、キャッシュDNSサーバーに適切なアクセス制御が施されていないため、外部からの問い合わせにも応答を返してしまう状態だ。DNSには、問い合わせのパケットに比べ、応答パケットのサイズが非常に大きくなり得る性質があるため、この性質を悪用し、送信元IPアドレスを攻撃先(標的)のIPアドレスに詐称した問い合わせパケットをオープンリゾルバーに送信し、応答パケットを大量に標的に送信させ、結果として標的をDDoS状態に陥らせる攻撃が可能となる。

オープンリゾルバーを悪用したDDoS攻撃は、「DNSリフレクション攻撃」「DNS Amplification Attacks」(DNS増幅攻撃、DNS amp)などと呼ばれている。

オープンリゾルバー(Open Resolver)に対する注意喚起(JPNIC)
DNSサーバーの不適切な設定「オープンリゾルバー」について | 重要なお知らせ(JPRS)

セキュリティ用語辞典一覧ページへ

関連キーワード:

DNSサーバー

アクセス制御

  • セキュリティ対策企業のソフトウェア更新通知を騙るマルウェア攻撃
  • カテゴリートップへ
  • クリスマスシーズンを狙ったフィッシング詐欺等に注意