DNS関連技術情報のトップへ戻る

---------------------------------------------------------------------
■権威DNSサーバーにおける不適切なBogonフィルターの設定について
  - 設定内容の確認と割り振り状況に対応したフィルターの更新を忘れずに -

                                株式会社日本レジストリサービス(JPRS)
                                            初版作成 2010/11/02(Tue)
                                            最終更新 2010/12/02(Thu)
                                   (0.0.0.0/7に関する注意事項を追加)
---------------------------------------------------------------------

▼概要

  IANAが割り振りを開始していない未割り当てのIPアドレス、プライベート
  IPアドレス・例示用IPアドレスや、特殊な用途のためにIANAが予約している
  IPアドレスといった、本来インターネット上で送信元として存在してはなら
  ないIPアドレスを総称して、Bogon(ボーゴン)と呼びます。

  設定の誤りや悪意によるBogonの不正使用を防ぐため、インターネット上の
  ネットワーク機器やサーバーなどでBogonをブロックするためのフィルター
  (以下、Bogonフィルター)を設定することがあります。Bogonフィルターは
  インターネットを構成するルーターで設定することが一般的ですが、必要に
  応じ、各々のサーバープログラムで個別にBogonフィルターを追加設定する
  場合があります。

▼問題点

  Bogonフィルターの設定はネットワークの不正使用やサーバーに対するDoS攻
  撃の防止などに有効ですが、未割り当てのIPアドレスについては、IANAが当
  該IPアドレスに対する割り振りを実施した時点でBogonではなくなるため、
  IPアドレスの割り振り状況に対応したBogonフィルターの更新が必要になり
  ます。

  特に、権威DNSサーバーにおいて古い内容のBogonフィルターが設定されてい
  た場合、新たに割り振られたIPアドレスからのDNS問い合わせが当該サーバー
  でブロックされるため、インターネットの利用に支障を来たすことになりま
  す。

▼必要な対応

  権威DNSサーバーにおける設定内容を確認し、もしBogonフィルターが設定さ
  れていた場合、参考URIにある情報を参照し、設定内容を更新してください。

  特に最近、1.0.0.0/8や2.0.0.0/8といった、従来からBogonフィルターの設
  定例に使用されていたIPアドレスの割り振りが開始されたことにより、以前
  に設定した古い内容のBogonフィルターに起因する障害が報告されています。
  この場合、当該IPアドレスの割り振りが開始されるまでは障害が発生しない
  ことと、以前から使用していたIPアドレスからの問い合わせでは障害が発生
  しないことから、問題の発見や原因の究明に時間を要する場合があり、特に
  注意が必要です。

  BIND 9のnamed.confファイルにおける、不適切なBogonフィルターの設定例
  を例1に示します。このように、もし1.0.0.0/8や2.0.0.0/8がBogonフィル
  ターの設定に含まれていた場合、それらを削除する必要があります。

  (2010年11月29日追加)
  不適切なBogonフィルターの設定例について、0.0.0.0/8と1.0.0.0/8を集約
  した形式である「0.0.0.0/7」によるものも流通している旨のコメントをい
  ただきました(設定例を例2に示します)。0.0.0.0/7がBogonフィルターの
  設定に含まれていた場合、それを0.0.0.0/8に修正する必要があります。

  ----------------------------------------------------------------
  acl "bogon" {
      0.0.0.0/8;
      1.0.0.0/8;      ←この行が不適切なので削除する
      2.0.0.0/8;      ←この行が不適切なので削除する
      169.254.0.0/16;
      192.0.2.0/24;
      10.0.0.0/8;
      172.16.0.0/12;
      192.168.0.0/16;
      224.0.0.0/3;
  };

  options {
      blackhole {
          bogon;
      };
  };
  ----------------------------------------------------------------
  例1. BIND 9のnamed.confにおける不適切なBogonフィルターの設定例(1)

  ----------------------------------------------------------------
  acl "bogon" {
      0.0.0.0/7;      ←この行が不適切なので0.0.0.0/8に修正する
      2.0.0.0/8;      ←この行が不適切なので削除する
      169.254.0.0/16;
      192.0.2.0/24;
      10.0.0.0/8;
      172.16.0.0/12;
      192.168.0.0/16;
      224.0.0.0/3;
  };

  options {
      blackhole {
          bogon;
      };
  };
  ----------------------------------------------------------------
  例2. BIND 9のnamed.confにおける不適切なBogonフィルターの設定例(2)

  前述の通り、今後もBogonはIPアドレスの割り振り状況などに応じて随時変
  更されます。そのため、Bogonフィルターを設定した場合、割り振り状況に
  対応したフィルターの更新が必要になります。権威DNSサーバーはインター
  ネット全体からアクセスされるため、Bogonフィルターを設定する場合イン
  ターネットの円滑な利用の障害とならないよう、特に注意が必要です。

▼参考URI

  RFC 5735 - Special Use IPv4 Addresses
  http://tools.ietf.org/search/rfc5735

  The Bogon Reference - Team Cymru
  http://www.team-cymru.org/Services/Bogons/

  Team CymruによるBogonリスト(随時更新されるので注意が必要)
  http://www.team-cymru.org/Services/Bogons/bogon-bn-nonagg.txt

---------------------------------------------------------------------
▼更新履歴
  2010-11-02 初版作成
  2010-12-02 0.0.0.0/7に関する注意事項を追加

株式会社日本レジストリサービス Copyright©2001-2016 Japan Registry Services Co., Ltd.