Tweet

［System Environment］

→ Windows TIPS TOPへ → Windows TIPS全リストへ → 内容別分類一覧へ DNS ampの踏み台サーバになるのを防ぐ（コンテンツ・サーバ編） → 解説をスキップして操作方法を読む デジタルアドバンテージ　打越 浩幸 2006/08/26 　 対象OS Windows 2000 Server Windows Server 2003

■ DNS ampの踏み台として利用されないように、DNSのコンテンツ・サーバではキャッシュ・サーバの機能を無効化しておくとよい。 ■ Windows OSのDNSサービスでキャッシュ・サーバを無効にするには、［再帰を無効にする］を設定する。 ■ キャッシュ・サーバが必要なら、物理的に別のコンピュータ上に用意する。

　TIPS「分散サービス拒否（DDoS）攻撃を仕掛けるDNS ampとは？」では、DNSのキャッシュ・サーバを踏み台として利用する、DNS ampについて説明した。本TIPSでは、DNS ampの踏み台とされないように、DNSサーバ（コンテンツ・サーバ）を設定する方法について解説する。

■

　DNSサーバが踏み台として利用されないようにするには、次のような対策が必要である。

• コンテンツ・サーバとキャッシュ・サーバを分ける。

• コンテンツ・サーバでは、キャッシュ機能を無効にし、自身で保持しているゾーン情報の提供のみを行う。

• キャッシュ・サーバでは、ほかのDNSゾーンに対するリゾルバ機能のみを提供する。さらに、ネットワーク・アドレスなどによるアクセス制限を行い、インターネットからアクセスできないようにする。

　Windows Server OSに付属のDNSサービスでは、コンテンツ・サーバ機能とキャッシュ・サーバ（リゾルバ）機能を分離して運用することができないので、代わりに、2種類のサービスを完全に2台のサーバ・コンピュータに分けて運用するのがよい。本TIPSでは、まずコンテンツ・サーバとして設定する方法を説明する。キャッシュ・サーバに対する対策については、TIPS「DNS ampの踏み台サーバになるのを防ぐ（キャッシュ・サーバ編）」を参照していただきたい。

コンテンツ・サーバとキャッシュ・サーバ

インターネットにDNSサーバを公開する場合は、必ず別にキャッシュ・サーバを用意し、コンテンツ・サーバではキャッシュ機能は利用できないようにしておく。

　Windows 2000 ServerやWindows Server 2003のDNSサービスは、コンテンツ・サーバとキャッシュ・サーバの両方の機能を持っている。どちらか一方だけをアンインストールすることはできない。だが設定を変更することにより、キャッシュ・サーバ機能（リゾルバ機能）を無効にできるので、結果的にコンテンツ・サーバ機能だけが利用可能になる。インターネットに向けてDNSのゾーン情報を提供しているDNSコンテンツ・サーバでは、以下のように設定して、踏み台として利用されないようにするのがよい。

DNSの再帰的問い合わせを無効にする

　［管理ツール］の［DNS］ツールを起動し、サーバ名を右クリックしてポップアップ・メニューから［プロパティ］を選択する。するとサーバの設定ダイアログが表示されるので、［詳細］タブを選択し、一番上にある［再帰を無効にする］（Windows 2000の場合）もしくは［再帰を無効にする（フォワーダも無効になります）］（Windows Server 2003の場合）というチェック・ボックスをオンにする。

再帰クエリの禁止によるキャッシュ・サーバ機能の無効化

キャッシュ・サーバ機能を禁止するには、サーバの設定画面で再帰的問い合わせを禁止する（これはWindows Server 2003のDNSサービスの設定画面）。

DNSサーバのプロパティ画面で、このタブを選択する。この画面で分かるように、再帰クエリの禁止は、DNSサービス全体で効果を持つ設定である。リッスンするIPアドレスやDNSのゾーンごとに設定を変更することはできない。 　 このチェック・ボックスをオンにすると、リゾルバ機能が無効になり、キャッシュ・サーバとして動作しなくなる。デフォルトはオフ。

フォワーダの無効化

　キャッシュ・サーバ機能を無効にするには、上記の設定だけで構わないが、念のために、フォワーダも無効にしておくとよい。この対策も併用することにより、何らかのミスなどでチェック・ボックスがオンになっても、キャッシュ・サーバとして動作しなくなり、安全性が高くなる。

　フォワーダとは、自分自身で解決できない名前解決要求を、別のDNSサーバに依頼して解決するための機能である。デフォルトではここには何も定義されていないはずなので、空になっていることを確認しておく。

フォワーダ設定の無効化

フォワーダ設定をすべて空にし、間違ってほかのDNSサーバに名前解決を転送（フォワード）しないようにしておく。これはWindows 2000 ServerのDNSサーバの管理画面である。Windows Server 2003の場合はドメインごとに異なるサーバに転送することができるが（条件付きフォワード機能という）、やはりすべての転送先設定を空にしておく。

このタブを選択する。 　 これをオフにすると、フォワーダ機能が無効になる。Windows Server 2003の場合は、条件付きフォワーダとなっているので、フォワード先のDNSドメインとDNSサーバの組をすべて削除する。

キャッシュの消去

　以上の設定後、キャッシュの内容を削除するか、DNSサービスを再起動する。これにより、すでにキャッシュされているDNSのレコード情報もクリアされ、名前解決要求がすべて無効になる。

キャッシュの消去

先の設定を変更しても、キャッシュに残っているレコードについてはクライアントへ返される。キャッシュをクリアするか、DNSサービスを再起動すれば、キャッシュの内容が空になる。

DNSサーバ名を右クリックし、ポップアップ・メニューからこれを選択する。

　設定が完了したら、実際に外部からDNSサーバに対して適当なFQDN名に対する問い合わせを行い、結果が返ってこないことを確認しておこう。

	関連記事（Windows Server Insider）
		Windows TIPS：分散サービス拒否（DDoS）攻撃を仕掛けるDNS ampとは？
		Windows TIPS：DNS ampの踏み台サーバになるのを防ぐ（コンテンツ・サーバ編）
		Windows TIPS：DNS ampの踏み台サーバになるのを防ぐ（キャッシュ・サーバ編）

この記事と関連性の高い別のWindows TIPS DNS ampの踏み台サーバになるのを防ぐ（キャッシュ・サーバ編） 分散サービス拒否（DDoS）攻撃を仕掛けるDNS ampとは？ DNSサーバのキャッシュの内容を調査する DNSサービスのルート・ヒントを変更する nslookupの基本的な使い方（イントラネット編） このリストは、（株）デジタルアドバンテージが開発した 自動関連記事探索システム Jigsaw（ジグソー） により自動抽出したものです。 generated by

「Windows TIPS」

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）

RSSフィード