DNS の脆弱性と対策

脆弱性

ゾーン転送機能によって第三者に登録情報が不正利用される可能性がある

ゾーン転送要求は、セカンダリ DNS サーバとプライマリ DNS サーバの登録内容を同期させるため、前者から後者に対して定期的に実行される

一般的な DNS サーバプログラムの初期設定では、ゾーン転送要求について特に制限がないため、そのままの設定で運用されていると悪意のある第三者が情報収集する可能性がある

不正な情報をキャッシュに登録することができる可能性がある

不正なリクエストによってサービス不能状態となる可能性がある

対策

DNS サーバプログラムのバージョンアップ

外部向けゾーン情報と内部向けゾーン情報の分離

コンテンツサーバとキャッシュサーバの分離

ゾーン転送の制限

キャッシュサーバを利用可能なホストの範囲を制限

キャッシュサーバへの問い合わせ数を制限

DoS 対策

DNS サーバプログラムのバージョン情報隠蔽