DNSサーバがオープンリゾルバかどうか確認する方法と対策をメモします。
オープンリゾルバとは、外部からの問い合わせを許可しているDNSサーバのことを言います。
DDoS攻撃などを受ける可能性があるので対策は必要です。
■ オープンリゾルバの確認
下記サイトでオープンリゾルバかどうかの確認ができます。
サイトにアクセスし、確認したいサーバのIPアドレスを入力します。
入力後、「送信」ボタンをクリックします。
結果が出力されるので、Statusが「closed」になっていれば、
オープンリゾルバではない状態です。
また、Statusが「open」になっている場合は、
オープンリゾルバの状態なので対策が必要です。
■ オープンリゾルバの対策
DNSサーバがオープンリゾルバ設定になっている場合、
「named.conf」に下記の内容を反映します。
recursion no;
「recursion no」を設定すれば、オープンリゾルバとして動作しないように設定できます。
また、オープンリゾルバの設定にする場合は、「recursion yes」で設定します。
「named.conf」を編集し、「recursion no;」を「options」の箇所に追加します。
options {
recursion no;
(省略)
};
※「named.conf」の内容により、設定方法が異なる場合があります。
上記の設定を行い、rndcをリロードすれば設定完了です。
再度確認を行い「closed」になっていればOKです。
オープンリゾルバについて、分からないことだらけなので、
詳しい内容が分かれば、随時ここに追記していきたいと思います。