DNS amp攻撃の特徴、過去問例です。
特徴
- DNS amplification
- 標的サーバのサービスを妨害するDDoS攻撃(Distributed Denial of Service 分散型サービス妨害)の一つで、脆弱性のある複数の公開DNSキャッシュサーバを踏み台に再帰的な問合せを行う攻撃
- 攻撃者は、脆弱性のある複数の公開DNSキャッシュサーバに対して、送信元IPアドレスを偽装して標的サーバのものにして、DNSクエリを発行する。DNSクエリを受信したDNSキャッシュサーバは、送信元である標的サーバに応答パケットを一斉に送信する。大量の応答パケットを受信した標的サーバや自身が属するネットワークは過負荷状態となり、サービス提供ができなくなる。
- DNSでは、DNSクエリのパケットサイズに比べて応答パケットは大きくなるため、攻撃を増幅できることからDNS amp攻撃と呼ばれる。
- DNSサーバが攻撃を反射することから、DNSリフレクター(reflector:反射)攻撃ともいう。
- DNS amp攻撃の踏み台とならないための防止策は、DNSサーバをキャッシュサーバとコンテンツサーバに分離し、インターネット側からキャッシュサーバに問合せできないようにすることや、クエリが可能なホストのIPアドレス範囲を設定するなどがある。
過去問
平成29年度秋期ネットワークスペシャリスト試験
DNSの再帰的な問合せを使ったサービス不能攻撃(DNS amp攻撃)の踏み台にされることを防止する対策はどれか。
【出典:ネットワークスペシャリスト試験 平成29年度 秋期 午前2 問21】
ア DNSサーバをキャッシュサーバとコンテンツサーバに分離し、インターネット側からキャッシュサーバに問合せできないようにする。
イ 問合せがあったドメインに関する情報をWhoisデータベースで確認してからキャッシュサーバに登録する。
ウ 一つのDNSレコードに複数のサーバのIPアドレスを割り当て、サーバへのアクセスを振り分けて分散させるように設定する。
エ 他のDNSサーバから送られてくるIPアドレスとホスト名の対応情報の信頼性を、ディジタル署名で確認するように設定する。
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2017h29_2/2017h29a_nw_am2_qs.pdf
ア DNSサーバをキャッシュサーバとコンテンツサーバに分離し、インターネット側からキャッシュサーバに問合せできないようにする。
正解です。
イ 問合せがあったドメインに関する情報をWhoisデータベースで確認してからキャッシュサーバに登録する。
WhoisデータベースではIPアドレスやドメイン名の利用者を管理していて検索などが行えますが、DNSでの問合せでは利用しません。
ウ 一つのDNSレコードに複数のサーバのIPアドレスを割り当て、サーバへのアクセスを振り分けて分散させるように設定する。
これは、DNSラウンドロビンの説明です。
エ 他のDNSサーバから送られてくるIPアドレスとホスト名の対応情報の信頼性を、ディジタル署名で確認するように設定する。
これは、DNSSEC(DNS Security Extensions)の説明です。