DNSリフレクター攻撃
読み方
- DNSリフレクター攻撃
- でぃーえぬえす りふれくたー こうげき
- DNS Reflector Attack
- でぃーえぬえす りふれくたー あたっく
目次
概要
リフレクター(Reflector)とは、反射器、反射板などの意味で、光や音を反射させる機器のことをいいます。 コンピュータネットワークでは、送信元からの問い合わせに、反射的に対応するシステムをリフレクターと呼びます。たとえば、WebサーバやDNSサーバがリフレクターとして動作します。
DNSリフレクター攻撃 は、DNS リフレクターの特性を利用して、DoS攻撃をしかけます。
リフレクターがデータの増幅器(アンプ)として動作する場合は、アンプ攻撃(Amplification Attacks) とも呼ばれます。
リフレクター攻撃の成立の条件
- 送信元IPアドレスの詐称による攻撃が可能であること
- リフレクターとなり得るサーバーがたくさん存在すること
- リフレクターによる増幅幅が大きいこと
DNSリフレクター攻撃の流れ
攻撃手法として、2種類の攻撃があります。
- オープンリゾルバーを利用したDNSリフレクター攻撃
- 権威DNSサーバーを利用したDNSリフレクター攻撃
オープンリゾルバーを利用したDNSリフレクター攻撃
- 送信元IPアドレス(攻撃対象のアドレス)を偽装して、DNSサーバに問い合わせを行う
- 応答サイズをできるだけ大きくなる問い合わせパターン(ANY, TXTなど)を利用します。
- DNS サーバは、DNSサーバに問い合わせをする
- データのサイズが大きい回答が送信される
- 偽装されたIPアドレス(攻撃対象のアドレス)に回答を送信する
- 応答をキャッシュ済みのオープンリゾルバに対して、同じ内容で名前解決要求を送信し続けます。
権威DNSサーバーを利用したDNSリフレクター攻撃
- 多数の権威DNSサーバーに対して、攻撃対象のIPアドレスを詐称した問い合わせを高い頻度で送信しつづける。応答サイズが大きくなる問い合わせをする。
- 多数の権威DNSサーバーは、攻撃対象に対して、大きいサイズの応答を高い頻度で送信し続けます。
対策
オープンリゾルバ を用いた DNSリフレクター攻撃 は、ネットワークとDNSサーバーの両方の対策が必要です。
権威DNSサーバーを用いたDNSリフレクター攻撃に対して、 DNS Response Rate Limiting (DNS RRL) は有力な対策の1つと言われています。
ネットワークにおける対策 Source Address Validation ( 送信元検証 )
DNSリフレクター攻撃 を成立させる条件の1つは、送信元IPアドレスが詐称できることです。
そのため、送信元IPアドレスを詐称したデータを送信できないように、ネットワーク機器などで設定することにより、自身のネットワークがDNSリフレクター攻撃の攻撃元となることを根本的に防止できます。 この方法は、 Source Address Validation (送信元検証) と呼ばれ、 RFC 2827 , RFC 3704 にまとめられています。
この対策は、他のプロトコルを利用した、リフレクター攻撃に対しても、効果があります。キャッシュポイズニング の加害者となることも併せて防止できます。
オープンリゾルバーの対策: オープンリゾルバーをなくす
オープンリゾルバ を用いたDNSリフレクター攻撃の対策は、オープンリゾルバをなくすことです。
- キャッシュDNSサーバーと権威DNSサーバーの分離
- キャッシュDNSサーバーの適切なアクセスコントロールの実施
- 不必要な催奇検索要求受付を無効化する
権威DNSサーバーの対策
DNS Response Rate Limiting(DNS RRL)が有力な対策の1つです。
BIND 9 や NSD などで導入が進められています。
関連項目
- 脆弱性
- オープンリゾルバ
- DNS Response Rate Limiting
- DoS攻撃
- Domain Name System
- DNSキャッシュポイズニング
ツイート