あなたの背後にもいるかも知れない

外部からの再帰的名前解決要求を受け付ける「オープンリゾルバ」。DoSの主役がMirai等ボットネットそのものに移る前は、オープンリゾルバを経由したDNSクエリによってISPへの大々的なサービス妨害（DNS amp attack）が行われていたという。国内ではISPの自主的な取り組みも功を奏して、攻撃の発信源としてのオープンリゾルバは減少傾向にあると言われているものの、世界的に見れば依然としてDDoS発信源としての影響力は看過できない。ルーターやVPSの名前解決サービス設定の不備によって、あなたのネットワークにもオープンリゾルバが隠れているかも知れない。草の根的にオープンリゾルバを減らす取り組みは未だ必要とされている。

確認方法

任意のアドレスについてCLIから確認することもできるが、ここでは自組織・自宅のルーターやそれらが参照するDNSサーバーの確認方法を述べるにとどめる。

手軽に利用できるサービス

JPNICの紹介にもいくつか名前が挙がっている。ここではJPCERT/CC提供のサイトopenresolver.jpでブラウザでの操作を通してオープンリゾルバ診断を行ってみよう。ボタンを押すだけの非常に簡単な構成となっている。オープンリゾルバでなければ、次のような診断結果が得られる（WiFi経由・スマホより）

コマンドラインからの確認も可能

先ほどのサイトに向けてwgetやcurlを打てば、コマンドライン経由で診断結果を取得できる。

$ wget -QO - \
http://www.openresolver.jp/cli/check.html

$ curl --location-trusted \
http://www.openresolver.jp/cli/check.html

[OPEN]の文字列が返された場合には注意が必要だ。ルーター(接続元IP)の場合は自組織のネットワーク管理者やルーターの配布元に、DNSの場合はプロバイダに相談することをお勧めする。DoSの踏み台を増やさないためにも、自らが踏み台となってしまわないためにも、一度確認しておこう。

補足
既にQiita上に上がっている情報。
後でRefをたします。