家庭用ルータの「オープンリゾルバ」対策

  • 投稿 : 2015-07-27

ポート制限をしておくと安心かも

※画像が、片方が通過になってますが、両方「無視」で!!

方向:Internet(WAN)→LAN
プロトコルとポート番号:UDP 53, TCP 53
動作:無視
オープンリゾルバに関するご注意 (「ルーターがオープンリゾルバになっている」「プロバイダーのDNSサーバーに 対して過剰なDNS要求が送られている」と指摘を受けました) - アンサー詳細 | BUFFALO バッファロー

53/TCP,UDP Domain Name System (DNS)
TCPやUDPにおけるポート番号の一覧 - Wikipedia

古めのルータをオークションとかで入手したとかですこし不安だという場合は、ルータの機能の「IPフィルター」あたりの機能で、「UDP 53, TCP 53」のポートを外部->LANの通信を遮断しておけば、(たぶん)安心です。

この53ポートは、DNSが使うポートです。
上記設定をしても、ルーター(LAN)につながっているパソコンやスマホからはDNSの名前解決できます。

・無視
対象パケットは、無視され、破棄され、通過させられません。
・拒否
対象パケットは、無視され、破棄され、通過させられません。
さらに送信元のパソコンへ拒否パケットが送られます。

BUFFALOの家庭用ルータは、上記の用になっていて今回は「無視」を選択。
「拒否」に該当するものしかないルータは、それしか選ぶことができませんが・・・。

オープンリゾルバかどうかの確認方法


1) Web ブラウザで以下のサイトにアクセスします。

オープンリゾルバ確認サイト
http://www.openresolver.jp/

2) 下部にある「オープンリゾルバの確認に進む」をクリックします。
オープンリゾルバ確認サイト公開のお知らせ

自身のルータ(モデム)がオープンリゾルバになっているかどうかは上記の方法で確認できます。
上記で確認して、もし該当していたら、メーカーのサイトで新しいFWがないかどうかを確認してそれを適用するのもよいかも。

新FWを導入したのちに再度上記のツールで確認して、問題なければ解決ですね。

新しいFWが公開されていない、サポートが打ち切られた?古いルータの場合は、この記事の最初の53ポートを制限するとたぶん解決できると思います。

事例

再起動した直後は調子いいんだけどすぐ調子悪くなる。たいして情報が見れるわけではないのだけど、DNSのログが見えるのだけど、いろんなサイトの問い合わせが来ている。これがウイルスかなと思った最初だったけど、いろいろ調べたら、外からのアクセスが多いんだよ。光メディコンのアクセスがひっきりなしで、PCを繋いでいなくてもアクセスしてる。こりゃおかしいと更に調べたら、オープンリゾルバになっていたってわけ。
オープンリゾルバのルータだった: diary

参考

安いブロードバンドルータをIP Unnumberedの固定8IPで使うとき、
そいつ自身が外向きにもDNSとして動作していて驚いた。

オープンリゾルバになりまくっていたのだ。
仕方ないので、外からのTCPとUDPの53番を遮断した。
BuffaloのWZR-450HPなんだけど、ファームは最新なのに、気が利かないなぁ。
2013-09-12 :安いブロードバンドルータによるオープンリゾルバ|とりあえず今日いじったシステムの公開できる箇所

2013-10-31:オープンリゾルバ確認サイト公開のお知らせ
2014/8/4 :バッファロー、ルーター脆弱性に関する報道を受けファーム更新を呼びかけ - PC Watch
オープンリゾルバ(Open Resolver)に対する注意喚起 - JPNIC
JVN#81094176: Android OS がオープンリゾルバとして機能してしまう問題

スポンサーリンク