DNSリフレクタ攻撃

特徴

  • DNSリフレクタ攻撃とは、送信元IPアドレスを攻撃対象のIPアドレスに詐称したDNS問合せパケットを、多数の端末から一斉にDNSサーバへ送信し、応答パケットを攻撃対象に送りつける攻撃である。
  • DNSの応答パケットを受信した攻撃対象や所属するネットワークが過負荷状態になり、正常なサービスの提供が出来なくなる。
  • DNSの問合せ・応答には、通常、UDPが使用される。UDPはコネクションレス型通信であり、問合せ元が送信元IPアドレスを詐称すると、その応答は詐称されたIPアドレスへそのまま返信されることを利用した攻撃である。
  • DNSリフレクタ攻撃の踏み台にされることを防災する対策としては、DNSサーバをキャッシュサーバとコンテンツサーバに分離し、インターネット側からキャッシュサーバに問合せできないようにする。
    • DNSサーバにはキャッシュサーバとコンテンツサーバがある。
    • キャッシュサーバは内部のユーザからのDNSの再帰的な問合せを受信、応答するもの
    • コンテンツサーバは外部からのDNSの非再帰的な問合せを受信し、自身が管理するゾーンのIPアドレスなどの情報を提供するもの

過去問

ネットワークスペシャリスト試験 令和3年度 春期 午前2 問17
情報処理安全確保支援士試験 令和3年度 春期 午前2 問1

【出典:ネットワークスペシャリスト試験 令和3年度 春期 午前2 問17(一部、加工あり)】

【出典:情報処理安全確保支援士試験 令和3年度 春期 午前2 問1(一部、加工あり)】

リフレクタ攻撃に悪用されることの多いサービスの例はどれか。

  1. DKIM、DNSSEC、SPF
    →いずれも送信元の認証を行うため、リフレクタ攻撃に悪用されることは多くありません。
  2. DNS、Memcached、NTP
    →正解。いずれもUDPが使用され送信元の認証は行われないため、リフレクタ攻撃に悪用されることが多いです。
  3. FTP、L2TP、Telnet
    →FTP、TelnetはTCPが使用され、L2TPはIPsecにより暗号化されるため、リフレクタ攻撃に悪用されることは多くありません。
  4. IPsec、SSL、TLS
    →いずれも暗号化されるため、リフレクタ攻撃に悪用されることは多くありません。

ネットワークスペシャリスト試験 令和元年度 秋期 午前2 問21

【出典:ネットワークスペシャリスト試験 令和元年度 秋期 午前2 問21(一部、加工あり)】

DNSの再帰的な問合せを使ったサービス妨害攻撃(DNSリフレクタ攻撃)の踏み台にされることを防止する対策はどれか。

  1. DNSサーバをキャッシュサーバとコンテンツサーバに分離し、インターネット側からキャッシュサーバに問合せできないようにする。
    →正解です。
  2. 問合せがあったドメインに関する情報をWhoisデータベースで確認してからキャッシュサーバに登録する。
    →キャッシュサーバでは、キャッシュにないドメイン名についてはコンテンツサーバに問合せを行います。
  3. 一つのDNSレコードに複数のサーバのIPアドレスを割り当て、サーバへのアクセスを振り分けて分散するように設定する。
    →DNSラウンドロビンに関する説明です。
  4. ほかのDNSサーバから送られてくるIPアドレスとホスト名の対応情報の信頼性を、ディジタル署名で確認するように設定する。
    →DNSSEC(DNS Security Extensions)に関する説明です。DNS SECはDNSキャッシュポイズニング対策の一つです。

情報処理安全確保支援士試験 平成30年度 秋期

【出典:情報処理安全確保支援士試験 平成30年度 秋期 午前2 問7(一部、加工あり)】

UDPの性質を悪用したDDoS攻撃に該当するものはどれか。

  1. DNSリフレクタ攻撃
    →正解
  2. SQLインジェクション攻撃
    →SQLインジェクション攻撃は、Webサイトに対して、入力データを細工して、データベースへの不正な命令を実行させる攻撃です。
  3. ディレクトリトラバーサル攻撃
    →ディレクトリトラバーサル攻撃とは、Webサイトに対して、入力文字列を細工して、上位のディレクトリを意味する文字列など非公開のファイルにアクセスする攻撃です。
  4. パスワードリスト攻撃
    →他のWebサイトから窃取または流出したパスワードのリストを用いて、別のサイトへ不正ログインを試みる攻撃です。