【ネットワークスペシャリスト試験 令和元年度 秋期 午後2 問2 No.4】

ネットワークスペシャリスト試験 令和元年度 秋期 午後2 問2

【出典:ネットワークスペシャリスト試験 令和元年度 秋期 午後2 問2(一部、加工あり)】

[DNSサーバへの攻撃と対策]
 Jさんは、DNSサーバへの攻撃の中でリスクの大きい、DNSキャッシュポイズニング攻撃の手法について調査した。Jさんが理解した内容を次に示す。
 DNSキャッシュポイズニング攻撃は、次の手順で行われる。
(ⅰ)攻撃者は、偽の情報を送り込みたいドメイン名について、標的のフルリゾルバサーバに問い合わせる。
(ⅱ)フルリゾルバサーバは、指定されたドメインのゾーン情報を管理するコンテンツサーバに問い合わせる。
(ⅲ)⑥攻撃者は、コンテンツサーバから正しい応答が返ってくる前に、大量の偽の応答パケットを標的のフルリゾルバサーバ宛てに送信する
(ⅳ)フルリゾルバサーバは、受信した偽の応答パケットをチェックし、偽の応答パケットが正当なものであると判断してしまった場合、キャッシュの内容を偽の応答パケットを基に書き換える。

 (ⅱ)の問合せパケット、(ⅲ)の応答パケットの情報を表3に示す。
 表3に示すように、(ⅱ)の問合せパケットの送信元ポート番号には特定の範囲の値が使用されるケースが多いので、攻撃者は、(ⅲ)の偽の応答パケットを正当なパケットに偽装しやすくなるという問題がある。調査の結果、この問題の対応策には、送信元ポート番号のランダム化があることが分かった。

 Jさんは、⑦外部DNSサーバの構成変更によって、インターネットからのDNSサーバ2へのキャッシュポイズニング攻撃は防げると判断した。さらに、万が一の場合に備え、DNSサーバ2には、送信元ポート番号のランダム化に対応した製品の導入を提案することにした。
 Jさんは、調査結果と対応策をN主任に説明し、DNSサーバ2には送信元ポート番号のランダム化対応の製品の導入が了承された。

表3中の問合せパケットに対して、フルリゾルバサーバが正当な応答パケットと判断するパケットの内容について、表3中の(キ)〜(サ)に入れる適切な字句又は数値を答えよ。:(キ)コンテンツサーバのIPアドレス、(ク)フルリゾルバサーバのIPアドレス、(ケ)53、(コ)n、(サ)m

 (ⅲ)の応答パケットは、(ⅱ)の問合せパケットに対する正しい応答であるように攻撃者が偽装して生成したパケットになるので、それを意識して考えます。
 IPヘッダである送信元IPアドレス、宛先IPアドレスは、問合せパケットと応答パケットが入れ替わるので(キ)は「コンテンツサーバのIPアドレス」、(ク)は「フルリゾルバサーバのIPアドレス」になります。
 UDPヘッダの送信元ポート番号、宛先ポート番号も同様で、(ケ)は「53」、(コ)は「n」となります。
 DNSヘッダの識別子はDNSの問合せを管理するためのIDであり、ある問合せパケットに対する応答パケットであることを認識します。
 したがって、(サ)は問合せパケットと同じ値の「m」になります。

下線⑥では、大量の偽の応答パケットが送信される。当該パケット中で、パケットごとに異なる内容が設定される表3中の項目名を、全て答えよ。:宛先ポート番号、識別子

 「⑥攻撃者は、コンテンツサーバから正しい応答が返ってくる前に、大量の偽の応答パケットを標的のフルリゾルバサーバ宛てに送信する
 攻撃者が大量の偽の応答パケットを送信する理由は、パケット中で分からない項目があり、それらの値を変化させたパケットを大量に試して送信するためです。
 表3のそれぞれの項目を見ていきます。

  • 送信元IPアドレス:攻撃者が偽の情報を送り込みたいドメイン名を管理するコンテンツサーバのIPアドレスになります。これはnslookupコマンドで知ることができます。
  • 宛先IPアドレス:標的とするフルリゾルバサーバのIPアドレスは、攻撃者が何らかの方法で認識しているものです。そうでないとそもそも大量に送信することができません。
  • プロトコル:これは「UDP」で決まっているものです。
  • 送信元ポート番号:問合せパケットの宛先ポート番号であり、「53」に決まっています。
  • 宛先ポート番号:問合せパケットの送信元ポート番号であり、「特定の範囲の値が設定される場合が多い」とあるように、攻撃者が知ることができない情報です。
  • 識別子:問合せパケットの値と同一にする必要がありますが、「任意の値が設定される」とあるように、攻撃者が知ることができない情報です。

 以上から、パケットごとに異なる内容が設定される項目は、「宛先ポート番号」と「識別子」になります。

下線⑦について、防げると判断した根拠を、60字以内で述べよ。:攻撃者が送信する、キャッシュポイズニングのための名前解決要求パケットは、FWで廃棄されるから。

 「Jさんは、⑦外部DNSサーバの構成変更によって、インターネットからのDNSサーバ2へのキャッシュポイズニング攻撃は防げると判断した
 外部DNSサーバの構成変更では、「コンテンツサーバとして機能するDNSサーバ1と、フルリゾルバサーバとして機能するDNSサーバ2に分離」しており、それぞれに必要な通信のみがFWで許可されています。
 インターネットからDMZへの通信が許可されているのはコンテンツサーバのDNSサーバ1を宛先とする通信であり、フルリゾルバサーバのDNSサーバ2を宛先とするキャッシュポイズニング攻撃はFWで廃棄されるため、成立しないことになります。