「DNSリフレクター攻撃」の版間の差分

提供: セキュリティ
移動: 案内検索
行1: 行1:
<!--
 
vim: filetype=mediawiki
 
-->
 
  
読み方
+
'''読み方'''
 
;[[DNSリフレクター攻撃]]: でぃーえぬえす りふれくたー こうげき
 
;[[DNSリフレクター攻撃]]: でぃーえぬえす りふれくたー こうげき
 
;DNS Reflector Attack: でぃーえぬえす りふれくたー あたっく
 
;DNS Reflector Attack: でぃーえぬえす りふれくたー あたっく
行9: 行6:
  
 
== 概要 ==
 
== 概要 ==
 
 
リフレクター(Reflector)とは、反射器、反射板などの意味で、光や音を反射させる機器のことをいいます。
 
リフレクター(Reflector)とは、反射器、反射板などの意味で、光や音を反射させる機器のことをいいます。
 
コンピュータネットワークでは、送信元からの問い合わせに、反射的に対応するシステムをリフレクターと呼びます。たとえば、[[Webサーバ]]や[[Domain Name System|DNS]]サーバがリフレクターとして動作します。
 
コンピュータネットワークでは、送信元からの問い合わせに、反射的に対応するシステムをリフレクターと呼びます。たとえば、[[Webサーバ]]や[[Domain Name System|DNS]]サーバがリフレクターとして動作します。
行16: 行12:
  
 
リフレクターがデータの増幅器(アンプ)として動作する場合は、アンプ攻撃(Amplification Attacks) とも呼ばれます。
 
リフレクターがデータの増幅器(アンプ)として動作する場合は、アンプ攻撃(Amplification Attacks) とも呼ばれます。
 
 
== リフレクター攻撃の成立の条件 ==
 
== リフレクター攻撃の成立の条件 ==
 
 
* 送信元IPアドレスの詐称による攻撃が可能であること
 
* 送信元IPアドレスの詐称による攻撃が可能であること
 
* リフレクターとなり得るサーバーがたくさん存在すること
 
* リフレクターとなり得るサーバーがたくさん存在すること
 
* リフレクターによる増幅幅が大きいこと
 
* リフレクターによる増幅幅が大きいこと
 
 
== DNSリフレクター攻撃の流れ ==
 
== DNSリフレクター攻撃の流れ ==
 
 
攻撃手法として、2種類の攻撃があります。
 
攻撃手法として、2種類の攻撃があります。
 
# オープンリゾルバーを利用したDNSリフレクター攻撃
 
# オープンリゾルバーを利用したDNSリフレクター攻撃
 
# 権威DNSサーバーを利用したDNSリフレクター攻撃
 
# 権威DNSサーバーを利用したDNSリフレクター攻撃
 
 
=== オープンリゾルバーを利用したDNSリフレクター攻撃 ===
 
=== オープンリゾルバーを利用したDNSリフレクター攻撃 ===
 
 
# 送信元IPアドレス(攻撃対象のアドレス)を偽装して、[[Domain Name System|DNS]]サーバに問い合わせを行う
 
# 送信元IPアドレス(攻撃対象のアドレス)を偽装して、[[Domain Name System|DNS]]サーバに問い合わせを行う
 
: 応答サイズをできるだけ大きくなる問い合わせパターン(ANY, TXTなど)を利用します。
 
: 応答サイズをできるだけ大きくなる問い合わせパターン(ANY, TXTなど)を利用します。
行36: 行26:
 
# データのサイズが大きい回答が送信される
 
# データのサイズが大きい回答が送信される
 
# 偽装されたIPアドレス(攻撃対象のアドレス)に回答を送信する
 
# 偽装されたIPアドレス(攻撃対象のアドレス)に回答を送信する
# 応答をキャッシュ済みの[[オープンリゾルバー]]に対して、同じ内容で名前解決要求を送信し続けます。
+
# 応答をキャッシュ済みの'''オープンリゾルバ'''に対して、同じ内容で名前解決要求を送信し続けます。
 
+
 
=== 権威DNSサーバーを利用したDNSリフレクター攻撃 ===
 
=== 権威DNSサーバーを利用したDNSリフレクター攻撃 ===
 
 
* 多数の権威DNSサーバーに対して、攻撃対象のIPアドレスを詐称した問い合わせを高い頻度で送信しつづける。応答サイズが大きくなる問い合わせをする。
 
* 多数の権威DNSサーバーに対して、攻撃対象のIPアドレスを詐称した問い合わせを高い頻度で送信しつづける。応答サイズが大きくなる問い合わせをする。
 
# 多数の権威DNSサーバーは、攻撃対象に対して、大きいサイズの応答を高い頻度で送信し続けます。
 
# 多数の権威DNSサーバーは、攻撃対象に対して、大きいサイズの応答を高い頻度で送信し続けます。
 
 
== 対策 ==
 
== 対策 ==
 +
'''オープンリゾルバ''' を用いた [[DNSリフレクター攻撃]] は、ネットワークとDNSサーバーの両方の対策が必要です。
  
[[オープンリゾルバー]] を用いた [[DNSリフレクター攻撃]] は、ネットワークとDNSサーバーの両方の対策が必要です。
+
権威DNSサーバーを用いた[[DNSリフレクター攻撃]]に対して、 '''DNS Response Rate Limiting''' (DNS RRL) は有力な対策の1つと言われています。
 
+
権威DNSサーバーを用いた[[DNSリフレクター攻撃]]は、 [[DNS Response Rate Limiting]] (DNS RRL) を有力な対策の1つと言われています。
+
 
+
 
=== ネットワークにおける対策 Source Address Validation ( 送信元検証 ) ===
 
=== ネットワークにおける対策 Source Address Validation ( 送信元検証 ) ===
 
 
[[DNSリフレクター攻撃]] を成立させる条件の1つは、送信元IPアドレスが詐称できることです。
 
[[DNSリフレクター攻撃]] を成立させる条件の1つは、送信元IPアドレスが詐称できることです。
  
 
そのため、送信元IPアドレスを詐称したデータを送信できないように、ネットワーク機器などで設定することにより、自身のネットワークが[[DNSリフレクター攻撃]]の攻撃元となることを根本的に防止できます。
 
そのため、送信元IPアドレスを詐称したデータを送信できないように、ネットワーク機器などで設定することにより、自身のネットワークが[[DNSリフレクター攻撃]]の攻撃元となることを根本的に防止できます。
この方法は、 [[Source Address Validation]] (送信元検証) と呼ばれ、 RFC 2827 , RFC 3704 にまとめられています。
+
この方法は、 '''Source Address Validation''' (送信元検証) と呼ばれ、 RFC 2827 , RFC 3704 にまとめられています。
 
+
この対策は、他のプロトコルを利用した、リフレクター攻撃に対しても、効果があります。[[キャッシュポイズニング]] の加害者となることも併せて防止できます。
+
  
 +
この対策は、他のプロトコルを利用した、リフレクター攻撃に対しても、効果があります。'''キャッシュポイズニング''' の加害者となることも併せて防止できます。
 
=== オープンリゾルバーの対策: オープンリゾルバーをなくす ===
 
=== オープンリゾルバーの対策: オープンリゾルバーをなくす ===
 
+
'''オープンリゾルバ''' を用いた[[DNSリフレクター攻撃]]の対策は、'''オープンリゾルバ'''をなくすことです。
[[オープンリゾルバー]] を用いた[[DNSリフレクター攻撃]]の対策は、[[オープンリゾルバー]]をなくすことです。
+
  
 
# キャッシュDNSサーバーと権威DNSサーバーの分離
 
# キャッシュDNSサーバーと権威DNSサーバーの分離
 
# キャッシュDNSサーバーの適切なアクセスコントロールの実施
 
# キャッシュDNSサーバーの適切なアクセスコントロールの実施
 
# 不必要な催奇検索要求受付を無効化する
 
# 不必要な催奇検索要求受付を無効化する
 
 
=== 権威DNSサーバーの対策 ===
 
=== 権威DNSサーバーの対策 ===
 
+
'''DNS Response Rate Limiting'''(DNS RRL)が有力な対策の1つです。
[[DNS Response Rate Limiting]](DNS RRL)が有力な対策の1つです。
+
  
 
BIND 9 や NSD などで導入が進められています。
 
BIND 9 や NSD などで導入が進められています。
 
 
== 関連項目 ==
 
== 関連項目 ==
 
 
* [[脆弱性]]
 
* [[脆弱性]]
* [[オープンリゾルバー]]
+
* '''オープンリゾルバ'''
* [[DNS Response Rate Limiting]]
+
* DNS Response Rate Limiting
 
* [[DoS攻撃]]
 
* [[DoS攻撃]]
 
* [[Domain Name System]]
 
* [[Domain Name System]]
 +
<!--
 +
vim: filetype=mediawiki
 +
-->

2015年9月22日 (火) 18:56時点における版

読み方

DNSリフレクター攻撃
でぃーえぬえす りふれくたー こうげき
DNS Reflector Attack
でぃーえぬえす りふれくたー あたっく

概要

リフレクター(Reflector)とは、反射器、反射板などの意味で、光や音を反射させる機器のことをいいます。 コンピュータネットワークでは、送信元からの問い合わせに、反射的に対応するシステムをリフレクターと呼びます。たとえば、WebサーバDNSサーバがリフレクターとして動作します。

DNSリフレクター攻撃 は、DNS リフレクターの特性を利用して、DoS攻撃をしかけます。

リフレクターがデータの増幅器(アンプ)として動作する場合は、アンプ攻撃(Amplification Attacks) とも呼ばれます。

リフレクター攻撃の成立の条件

  • 送信元IPアドレスの詐称による攻撃が可能であること
  • リフレクターとなり得るサーバーがたくさん存在すること
  • リフレクターによる増幅幅が大きいこと

DNSリフレクター攻撃の流れ

攻撃手法として、2種類の攻撃があります。

  1. オープンリゾルバーを利用したDNSリフレクター攻撃
  2. 権威DNSサーバーを利用したDNSリフレクター攻撃

オープンリゾルバーを利用したDNSリフレクター攻撃

  1. 送信元IPアドレス(攻撃対象のアドレス)を偽装して、DNSサーバに問い合わせを行う
応答サイズをできるだけ大きくなる問い合わせパターン(ANY, TXTなど)を利用します。
  1. DNS サーバは、DNSサーバに問い合わせをする
  2. データのサイズが大きい回答が送信される
  3. 偽装されたIPアドレス(攻撃対象のアドレス)に回答を送信する
  4. 応答をキャッシュ済みのオープンリゾルバに対して、同じ内容で名前解決要求を送信し続けます。

権威DNSサーバーを利用したDNSリフレクター攻撃

  • 多数の権威DNSサーバーに対して、攻撃対象のIPアドレスを詐称した問い合わせを高い頻度で送信しつづける。応答サイズが大きくなる問い合わせをする。
  1. 多数の権威DNSサーバーは、攻撃対象に対して、大きいサイズの応答を高い頻度で送信し続けます。

対策

オープンリゾルバ を用いた DNSリフレクター攻撃 は、ネットワークとDNSサーバーの両方の対策が必要です。

権威DNSサーバーを用いたDNSリフレクター攻撃に対して、 DNS Response Rate Limiting (DNS RRL) は有力な対策の1つと言われています。

ネットワークにおける対策 Source Address Validation ( 送信元検証 )

DNSリフレクター攻撃 を成立させる条件の1つは、送信元IPアドレスが詐称できることです。

そのため、送信元IPアドレスを詐称したデータを送信できないように、ネットワーク機器などで設定することにより、自身のネットワークがDNSリフレクター攻撃の攻撃元となることを根本的に防止できます。 この方法は、 Source Address Validation (送信元検証) と呼ばれ、 RFC 2827 , RFC 3704 にまとめられています。

この対策は、他のプロトコルを利用した、リフレクター攻撃に対しても、効果があります。キャッシュポイズニング の加害者となることも併せて防止できます。

オープンリゾルバーの対策: オープンリゾルバーをなくす

オープンリゾルバ を用いたDNSリフレクター攻撃の対策は、オープンリゾルバをなくすことです。

  1. キャッシュDNSサーバーと権威DNSサーバーの分離
  2. キャッシュDNSサーバーの適切なアクセスコントロールの実施
  3. 不必要な催奇検索要求受付を無効化する

権威DNSサーバーの対策

DNS Response Rate Limiting(DNS RRL)が有力な対策の1つです。

BIND 9 や NSD などで導入が進められています。

関連項目