AdGuard Home で TXT/RRSIG 攻撃を Fail2Ban + ipset で自動防御する方法

AdGuard Home × Fail2Ban × ipset で TXT/RRSIG 攻撃を自動防御する

こんにちは、あうんです!
DNS を公開していると必ずと言っていいほど飛んでくる TXT レコード攻撃RRSIG(DNSSEC 署名)クエリ攻撃 を、 AdGuard Home × Fail2Ban × ipset でガッチリ自動防御する手順をまとめました。

🧨 なにが危ないの?

  • 特定ドメインに向けた 大量 TXT リクエスト
  • それに紛れた RRSIG クエリ爆撃
  • 放置すると 自分の DNS が踏み台 になり DDoS に加担するリスク💦

🛠 構成の流れ

AdGuard Home → querylog.json
        ↓
Fail2Ban(フィルタ & BAN)
        ↓
iptables + ipset(高速ブロック)

1️⃣ Fail2Ban の設定

🔎 フィルタ定義

/etc/fail2ban/filter.d/adguard-dns-abuse.conf

[Definition]
failregex = .*"QT":"TXT".*"IP":"<HOST>".*
            .*"QT":"RRSIG".*"IP":"<HOST>".*

🔐 Jail

/etc/fail2ban/jail.local

[adguard-dns-abuse]
enabled       = true
backend       = systemd
filter        = adguard-dns-abuse
journalmatch  = _SYSTEMD_UNIT=AdGuardHome.service
maxretry      = 1
findtime      = 10m
bantime       = 10m
banaction     = iptables-ipset-proto4[name=AG-DNS,protocol=udp,port=53,ipsettime=86400,blocktype=DROP]
ignoreip      = 127.0.0.1 192.168.0.0/24 10.0.0.5 ::1 fe80::/10

🚀 サービス起動

sudo iptables -I INPUT 1 -m set --match-set f2b-AG-DNS src \ -p udp --dport 53 -j DROP
sudo systemctl restart fail2ban
sudo fail2ban-client status adguard-dns-abuse

2️⃣ ipset の永続化 & 上限拡張(1 ユニットに統合)

★ 100 万件対応セットを初回だけ作成

sudo ipset create f2b-AG-DNS hash:ip maxelem 1048576 hashsize 2097152 timeout 86400
※ 何故か20万ぐらいであたまうちになるのでよろしくです・・・。

ipset-bootstrap ユニット(作成・復元・保存ぜんぶ担当)

/etc/systemd/system/ipset-bootstrap.service

# /etc/systemd/system/ipset-bootstrap.service
[Unit]
Description=ipset + iptables restore/save before/after Fail2Ban
DefaultDependencies=no
After=local-fs.target
Before=network-pre.target fail2ban.service

[Service]
Type=oneshot
RemainAfterExit=yes

# 起動時
ExecStartPre=/usr/sbin/ipset create -exist f2b-AG-DNS \
    hash:ip maxelem 1048576 hashsize 2097152 timeout 86400
ExecStartPre=-/usr/sbin/ipset flush f2b-AG-DNS
ExecStartPre=/bin/sh -c 'tail -n +2 /etc/ipset.conf | /usr/sbin/ipset restore -exist'
ExecStart=/bin/sh -c '/usr/sbin/iptables-restore < /etc/iptables.rules'

# シャットダウン時
ExecStop=/bin/sh -c '/usr/sbin/iptables-save > /etc/iptables.rules'
ExecStop=/bin/sh -c '/usr/sbin/ipset save > /etc/ipset.conf'

[Install]
WantedBy=multi-user.target

sudo systemctl daemon-reload
sudo systemctl enable --now ipset-bootstrap.service
sudo systemctl status ipset-bootstrap.service   # active (exited) なら OK

✔️ ユニットの動き

タイミング動作内容
起動時create -exist でセット確保
flush で空に
restore(1 行目除外)でエントリ復元
Fail2Ban 起動後新たな BAN があれば ipset add で即反映
シャットダウン時ipset save > /etc/ipset.conf で最新状態を保存

🧪 動作テスト

# 追加
sudo ipset add f2b-AG-DNS 203.0.113.250 timeout 86400
# 保存される?
sudo systemctl stop ipset-bootstrap
grep 203.0.113.250 /etc/ipset.conf
# 復元される?
sudo systemctl start ipset-bootstrap
sudo ipset list f2b-AG-DNS | grep 203.0.113.250

🔚 おわりに

TXT と RRSIG の 2 種類のクエリをまとめて自動 BAN することで、DNS サーバが踏み台にされるリスクを大幅に軽減できます。
AdGuard Home の高機能ログ・Fail2Ban の柔軟なフィルタ・ipset の高速ハッシュセット——この 3 つを組み合わせ、鉄壁の防御を構築してみてください!

コメント

コメントを投稿

このブログの人気の投稿

ゲーム発展国++ のコツ

イメージ
個人的なコツ。 1,  オフィスの大きさは3段階あります。移転したら新規雇用をしましょう。 体力の大きなキャラを雇うのがおすすめです。 中規模 ・ミスターX               売上10位 専門学校 ・アブファラ国王     売上100万本 会社説明会 大規模 ・スティブジョビン          会社説明会 ・大堂ドリン子          同上 ・藤山ふじおA          同上 ・フランソワーズ花     同上 ・森野クマックス          グランプリ1勝 ・チンパンGフォース     グランプリ3勝 ・カイロくん                    グランプリ全ての賞 5回+α 2, キャラのレベルやステータスは積極的にアップさせましょう。 ステータスを上げることで売上が伸びるため回収は容易にできます。 3, 開発が始まったら宣伝広告をしましょう。 4, 人気ゲーム機で開発をましょう。 ゲーム経験者なら感覚でわかると思います。 任天堂(?)やソニー(?)のゲーム機で開発をすると良いでしょう。 後はこちらを御覧ください。 https://wikiwiki.jp/kairoparknew/%E3%82%B2%E3%83%BC%E3%83%A0%E7%99%BA%E5%B1%95%E5%9B%BD%2B%2B 以下、引用したもの。 傑作  ジャンル 内容 RPG ファンタジー、美少女、マツタケ シミュレーション ビル建築、古本屋、アニメ、漫画家、美少女、F1、ゲーム会社、モータースポーツ、映画、マツタケ、アイドル、恋愛、サッカー、街開発、電車、競馬 シミュレーションRPG テーブルゲーム ポンチョ、麻雀 アクションゲーム ホラー、時代劇、忍者、バスケット、相撲 アドベンチャー 探...
続きを読む

Nuro光 ONU F660A オススメ設定

イメージ
1, IPv4の設定 DHCPのアドレス振り分けは100番以降にしています。 2~99番はクライアント側で固定して利用しています。(WiFiルータ、プリンタ、NAS等) DNSアドレスは後述の設定を利用するようにしています。 2, IPv6の設定 前述1,と同様です。 3,プレフィックスデリゲーション(IPv6) IPv6のアドレスを決める際にルータ側のDHCP機能を使わない設定をしています。 理由としてはクライアント側のOSによってDHCPのサポートがマチマチだからです。 4,ルータ広告(IPv6) IPv6のアドレスはルータ広告にお任せです。 5,【最重要】ファイアウォール SPI(IPv6)のチェックを入れないと外部から直に接続できてしまいます。 初期値ではチェックが外れてます。 さすが米国の制裁対象ChinaメーカーZTE。 6,【重要】UPnP ゲーマーはここの設定を忘れずに。 広報の周期を短くしないとゲーム中に接続が切れてしまいます。初期値は30分。 7,DNSの設定 お好きなDNSサーバーのアドレスを入れましょう。 筆者は契約しているNextDNSのアドレスを入れてます。 8,SNTPの設定 ルータの時刻設定です。お好きなSTNPサーバーのアドレスを入れましょう。 以上
続きを読む

Xperia XZ Premium に BlissRoms というカスタムROMを入れてみた

イメージ
動機 ・Xperia XZ PremiumはAndroid9で更新が止まっており、Android10で実装されたジェスチャーに変えたかった。これにより画面が大きくなるのと、普段使っているPixel4aと使い方が同じになる。 注意 ・Xperia XZ Premiumの中身がすべて消えます。 ・保証も消えます。 ・自己責任でどうぞ。 ・G8142の場合での成功例です。他の型番は試してません。 やり方メモ 1, ブートローダーのロック解除 2, TWRPのインストール 3, BlissRomsのインストール 1, ブートローダーのロック解除 概ねの流れは下記の公式の通りだが、途中うまくいかないかもしれない。 https://developer.sony.com/develop/open-devices/get-started/unlock-bootloader/how-to-unlock-bootloader/ ①はそのまま従う。 ②-1は、ドライバのダウンロードを行った後、 再起動する トラブルシューティングを選択 詳細オプションからスタートアップ設定を選択 7番を選択 普通にWindowsが立ち上がりますが、 署名のないドライバのインストールができるようになります。 Flashtoolをインストールします http://www.flashtool.net/index.php Xperia XZ PremiumをFastbootモードで起動し、PCにUSB接続します。 一度本体の電源を落としてから、電源ボタンと音量ボタンの上方向を同時に押しながら起動します。 LEDが青く灯れば成功です。 Flashtoolフォルダ内にあるドライバをインストールします。 C:\Flashtool\drivers\Flashtool-drivers.exe 警告が出ますがインストールします。 インストール完了。 ②-2は下記のツールをインストールする。 [TOOL]Minimal ADB and Fastboot https://forum.xda-developers.com/showthread.php?t=2317790 必要なツールが勝手にインストールされる。 ②-3は指示の通り従う。 ③も指示に従う。 ④は指示に背き下記のコマンドを実行。 fastboot -...
続きを読む