インターネット上で、不特定多数から名前解決の問い合わせに応答するキャッシュDNSサーバー
オープンリゾルバ(英:open resolver)とは、アクセス制限を行わず、インターネット上のどこからでも名前解決の問い合わせに応答する状態になっているキャッシュDNSサーバーのこと。
DNSサーバーには、ドメイン名とIPアドレスの関係を管理し、ドメイン名から対応するIPアドレスを検索して応答する「名前解決」という役割がある。この名前解決を遂行するシステムは、ドメイン名の情報を持っている「権威DNSサーバー」と、クライアントからの問い合わせを受け、名前解決を行った結果を一定期間保持する「キャッシュDNSサーバー」の2つのサーバーにより構成されている。
「キャッシュDNSサーバー」のなかで、アクセス制御が行われずに、外部からの問い合わせにも応答してしまうものが「オープンリゾルバ」と呼ばれ、サイバー攻撃の踏み台に利用されることから問題視されている。
オープンリゾルバは、管理者の認識不足やサーバーの設定ミスがおもな原因。ルータなどのネットワーク機器にキャッシュDNSサーバーの機能を備わっており、それらが意図せずオープンリゾルバとなっているケースもある。
セキュリティ上における意味
オープンリゾルバは、不特定多数からのアクセスを受け入れてしまうため、攻撃の踏み台に利用されるリスクが高く、実際に悪用されている。
DDoS攻撃の一種である「DNSリフレクター攻撃」は、そのひとつ。送信元のIPアドレスを攻撃対象に偽装して名前解決のリクエストを行い、オープンリゾルバによって増幅された応答パケットを攻撃対象に送り付ける。攻撃を受けると、大量のオープンリゾルバから一方的に送られる応答パケットを処理しきれず、サービスが停止したり、ネットワークの帯域不足に陥る。
また、キャッシュDNSサーバーにドメイン名とIPアドレスの不正な対応情報を保持させ、偽の応答を返させることで、利用者を意図しないサーバーにアクセスさせる「DNSキャッシュポイズニング」についても、どこからでも問い合わせを受け付けるオープンリゾルバが悪用されやすい。
DNSサーバーやネットワーク機器、サーバーソフトウェアにおいて、名前解決の問い合わせを受け付ける範囲を確認し、適切なアクセス制御を講じてオープンリゾルバを回避することが重要となっている。
