「DNSリフレクター攻撃」の版間の差分
提供: セキュリティ
(ページの作成:「<!-- vim: filetype=mediawiki --> 読み方 ;DNSリフレクター攻撃: でぃーえぬえす りふれくたー こうげき ;DNS Reflector Attack: でぃーえ...」) |
(→関連項目) |
||
| (同じ利用者による、間の2版が非表示) | |||
| 行1: | 行1: | ||
| − | |||
| − | |||
| − | |||
| − | 読み方 | + | '''読み方''' |
;[[DNSリフレクター攻撃]]: でぃーえぬえす りふれくたー こうげき | ;[[DNSリフレクター攻撃]]: でぃーえぬえす りふれくたー こうげき | ||
;DNS Reflector Attack: でぃーえぬえす りふれくたー あたっく | ;DNS Reflector Attack: でぃーえぬえす りふれくたー あたっく | ||
| 行9: | 行6: | ||
== 概要 == | == 概要 == | ||
| − | |||
リフレクター(Reflector)とは、反射器、反射板などの意味で、光や音を反射させる機器のことをいいます。 | リフレクター(Reflector)とは、反射器、反射板などの意味で、光や音を反射させる機器のことをいいます。 | ||
コンピュータネットワークでは、送信元からの問い合わせに、反射的に対応するシステムをリフレクターと呼びます。たとえば、[[Webサーバ]]や[[Domain Name System|DNS]]サーバがリフレクターとして動作します。 | コンピュータネットワークでは、送信元からの問い合わせに、反射的に対応するシステムをリフレクターと呼びます。たとえば、[[Webサーバ]]や[[Domain Name System|DNS]]サーバがリフレクターとして動作します。 | ||
| − | [[DNSリフレクター攻撃]] は、[[Domain Name System|DNS]] リフレクターの特性を利用して、[[ | + | [[DNSリフレクター攻撃]] は、[[Domain Name System|DNS]] リフレクターの特性を利用して、[[DoS攻撃]]をしかけます。 |
リフレクターがデータの増幅器(アンプ)として動作する場合は、アンプ攻撃(Amplification Attacks) とも呼ばれます。 | リフレクターがデータの増幅器(アンプ)として動作する場合は、アンプ攻撃(Amplification Attacks) とも呼ばれます。 | ||
| − | |||
== リフレクター攻撃の成立の条件 == | == リフレクター攻撃の成立の条件 == | ||
| − | |||
* 送信元IPアドレスの詐称による攻撃が可能であること | * 送信元IPアドレスの詐称による攻撃が可能であること | ||
* リフレクターとなり得るサーバーがたくさん存在すること | * リフレクターとなり得るサーバーがたくさん存在すること | ||
* リフレクターによる増幅幅が大きいこと | * リフレクターによる増幅幅が大きいこと | ||
| − | |||
== DNSリフレクター攻撃の流れ == | == DNSリフレクター攻撃の流れ == | ||
| − | |||
攻撃手法として、2種類の攻撃があります。 | 攻撃手法として、2種類の攻撃があります。 | ||
# オープンリゾルバーを利用したDNSリフレクター攻撃 | # オープンリゾルバーを利用したDNSリフレクター攻撃 | ||
# 権威DNSサーバーを利用したDNSリフレクター攻撃 | # 権威DNSサーバーを利用したDNSリフレクター攻撃 | ||
| − | |||
=== オープンリゾルバーを利用したDNSリフレクター攻撃 === | === オープンリゾルバーを利用したDNSリフレクター攻撃 === | ||
| − | |||
# 送信元IPアドレス(攻撃対象のアドレス)を偽装して、[[Domain Name System|DNS]]サーバに問い合わせを行う | # 送信元IPアドレス(攻撃対象のアドレス)を偽装して、[[Domain Name System|DNS]]サーバに問い合わせを行う | ||
: 応答サイズをできるだけ大きくなる問い合わせパターン(ANY, TXTなど)を利用します。 | : 応答サイズをできるだけ大きくなる問い合わせパターン(ANY, TXTなど)を利用します。 | ||
| 行36: | 行26: | ||
# データのサイズが大きい回答が送信される | # データのサイズが大きい回答が送信される | ||
# 偽装されたIPアドレス(攻撃対象のアドレス)に回答を送信する | # 偽装されたIPアドレス(攻撃対象のアドレス)に回答を送信する | ||
| − | # 応答をキャッシュ済みの | + | # 応答をキャッシュ済みの'''オープンリゾルバ'''に対して、同じ内容で名前解決要求を送信し続けます。 |
| − | + | ||
=== 権威DNSサーバーを利用したDNSリフレクター攻撃 === | === 権威DNSサーバーを利用したDNSリフレクター攻撃 === | ||
| − | |||
* 多数の権威DNSサーバーに対して、攻撃対象のIPアドレスを詐称した問い合わせを高い頻度で送信しつづける。応答サイズが大きくなる問い合わせをする。 | * 多数の権威DNSサーバーに対して、攻撃対象のIPアドレスを詐称した問い合わせを高い頻度で送信しつづける。応答サイズが大きくなる問い合わせをする。 | ||
# 多数の権威DNSサーバーは、攻撃対象に対して、大きいサイズの応答を高い頻度で送信し続けます。 | # 多数の権威DNSサーバーは、攻撃対象に対して、大きいサイズの応答を高い頻度で送信し続けます。 | ||
| − | |||
== 対策 == | == 対策 == | ||
| + | '''オープンリゾルバ''' を用いた [[DNSリフレクター攻撃]] は、ネットワークとDNSサーバーの両方の対策が必要です。 | ||
| − | + | 権威DNSサーバーを用いた[[DNSリフレクター攻撃]]に対して、 '''DNS Response Rate Limiting''' (DNS RRL) は有力な対策の1つと言われています。 | |
| − | + | ||
| − | 権威DNSサーバーを用いた[[DNSリフレクター攻撃]] | + | |
| − | + | ||
=== ネットワークにおける対策 Source Address Validation ( 送信元検証 ) === | === ネットワークにおける対策 Source Address Validation ( 送信元検証 ) === | ||
| − | |||
[[DNSリフレクター攻撃]] を成立させる条件の1つは、送信元IPアドレスが詐称できることです。 | [[DNSリフレクター攻撃]] を成立させる条件の1つは、送信元IPアドレスが詐称できることです。 | ||
そのため、送信元IPアドレスを詐称したデータを送信できないように、ネットワーク機器などで設定することにより、自身のネットワークが[[DNSリフレクター攻撃]]の攻撃元となることを根本的に防止できます。 | そのため、送信元IPアドレスを詐称したデータを送信できないように、ネットワーク機器などで設定することにより、自身のネットワークが[[DNSリフレクター攻撃]]の攻撃元となることを根本的に防止できます。 | ||
| − | この方法は、 | + | この方法は、 '''Source Address Validation''' (送信元検証) と呼ばれ、 RFC 2827 , RFC 3704 にまとめられています。 |
| − | + | ||
| − | + | ||
| + | この対策は、他のプロトコルを利用した、リフレクター攻撃に対しても、効果があります。'''キャッシュポイズニング''' の加害者となることも併せて防止できます。 | ||
=== オープンリゾルバーの対策: オープンリゾルバーをなくす === | === オープンリゾルバーの対策: オープンリゾルバーをなくす === | ||
| − | + | '''オープンリゾルバ''' を用いた[[DNSリフレクター攻撃]]の対策は、'''オープンリゾルバ'''をなくすことです。 | |
| − | + | ||
# キャッシュDNSサーバーと権威DNSサーバーの分離 | # キャッシュDNSサーバーと権威DNSサーバーの分離 | ||
# キャッシュDNSサーバーの適切なアクセスコントロールの実施 | # キャッシュDNSサーバーの適切なアクセスコントロールの実施 | ||
# 不必要な催奇検索要求受付を無効化する | # 不必要な催奇検索要求受付を無効化する | ||
| − | |||
=== 権威DNSサーバーの対策 === | === 権威DNSサーバーの対策 === | ||
| − | + | '''DNS Response Rate Limiting'''(DNS RRL)が有力な対策の1つです。 | |
| − | + | ||
BIND 9 や NSD などで導入が進められています。 | BIND 9 や NSD などで導入が進められています。 | ||
| − | |||
== 関連項目 == | == 関連項目 == | ||
| − | |||
* [[脆弱性]] | * [[脆弱性]] | ||
| − | * [[ | + | * '''オープンリゾルバ''' |
| − | * [[ | + | * DNS Response Rate Limiting |
| + | * [[DoS攻撃]] | ||
| + | * [[Domain Name System]] | ||
| + | * [[DNSキャッシュポイズニング]] | ||
| + | <!-- vim: filetype=mediawiki | ||
| + | --> | ||
2015年9月22日 (火) 18:59時点における最新版
読み方
- DNSリフレクター攻撃
- でぃーえぬえす りふれくたー こうげき
- DNS Reflector Attack
- でぃーえぬえす りふれくたー あたっく
目次
概要
リフレクター(Reflector)とは、反射器、反射板などの意味で、光や音を反射させる機器のことをいいます。 コンピュータネットワークでは、送信元からの問い合わせに、反射的に対応するシステムをリフレクターと呼びます。たとえば、WebサーバやDNSサーバがリフレクターとして動作します。
DNSリフレクター攻撃 は、DNS リフレクターの特性を利用して、DoS攻撃をしかけます。
リフレクターがデータの増幅器(アンプ)として動作する場合は、アンプ攻撃(Amplification Attacks) とも呼ばれます。
リフレクター攻撃の成立の条件
- 送信元IPアドレスの詐称による攻撃が可能であること
- リフレクターとなり得るサーバーがたくさん存在すること
- リフレクターによる増幅幅が大きいこと
DNSリフレクター攻撃の流れ
攻撃手法として、2種類の攻撃があります。
- オープンリゾルバーを利用したDNSリフレクター攻撃
- 権威DNSサーバーを利用したDNSリフレクター攻撃
オープンリゾルバーを利用したDNSリフレクター攻撃
- 送信元IPアドレス(攻撃対象のアドレス)を偽装して、DNSサーバに問い合わせを行う
- 応答サイズをできるだけ大きくなる問い合わせパターン(ANY, TXTなど)を利用します。
- DNS サーバは、DNSサーバに問い合わせをする
- データのサイズが大きい回答が送信される
- 偽装されたIPアドレス(攻撃対象のアドレス)に回答を送信する
- 応答をキャッシュ済みのオープンリゾルバに対して、同じ内容で名前解決要求を送信し続けます。
権威DNSサーバーを利用したDNSリフレクター攻撃
- 多数の権威DNSサーバーに対して、攻撃対象のIPアドレスを詐称した問い合わせを高い頻度で送信しつづける。応答サイズが大きくなる問い合わせをする。
- 多数の権威DNSサーバーは、攻撃対象に対して、大きいサイズの応答を高い頻度で送信し続けます。
対策
オープンリゾルバ を用いた DNSリフレクター攻撃 は、ネットワークとDNSサーバーの両方の対策が必要です。
権威DNSサーバーを用いたDNSリフレクター攻撃に対して、 DNS Response Rate Limiting (DNS RRL) は有力な対策の1つと言われています。
ネットワークにおける対策 Source Address Validation ( 送信元検証 )
DNSリフレクター攻撃 を成立させる条件の1つは、送信元IPアドレスが詐称できることです。
そのため、送信元IPアドレスを詐称したデータを送信できないように、ネットワーク機器などで設定することにより、自身のネットワークがDNSリフレクター攻撃の攻撃元となることを根本的に防止できます。 この方法は、 Source Address Validation (送信元検証) と呼ばれ、 RFC 2827 , RFC 3704 にまとめられています。
この対策は、他のプロトコルを利用した、リフレクター攻撃に対しても、効果があります。キャッシュポイズニング の加害者となることも併せて防止できます。
オープンリゾルバーの対策: オープンリゾルバーをなくす
オープンリゾルバ を用いたDNSリフレクター攻撃の対策は、オープンリゾルバをなくすことです。
- キャッシュDNSサーバーと権威DNSサーバーの分離
- キャッシュDNSサーバーの適切なアクセスコントロールの実施
- 不必要な催奇検索要求受付を無効化する
権威DNSサーバーの対策
DNS Response Rate Limiting(DNS RRL)が有力な対策の1つです。
BIND 9 や NSD などで導入が進められています。
関連項目
- 脆弱性
- オープンリゾルバ
- DNS Response Rate Limiting
- DoS攻撃
- Domain Name System
- DNSキャッシュポイズニング