DNSリフレクター攻撃

提供: セキュリティ
2015年9月22日 (火) 18:59時点におけるDaemon (トーク | 投稿記録)による版 (関連項目)

(差分) ←前の版 | 最新版 (差分) | 次の版→ (差分)
移動: 案内検索
スポンサーリンク

読み方

DNSリフレクター攻撃
でぃーえぬえす りふれくたー こうげき
DNS Reflector Attack
でぃーえぬえす りふれくたー あたっく

概要

リフレクター(Reflector)とは、反射器、反射板などの意味で、光や音を反射させる機器のことをいいます。 コンピュータネットワークでは、送信元からの問い合わせに、反射的に対応するシステムをリフレクターと呼びます。たとえば、WebサーバDNSサーバがリフレクターとして動作します。

DNSリフレクター攻撃 は、DNS リフレクターの特性を利用して、DoS攻撃をしかけます。

リフレクターがデータの増幅器(アンプ)として動作する場合は、アンプ攻撃(Amplification Attacks) とも呼ばれます。

リフレクター攻撃の成立の条件

  • 送信元IPアドレスの詐称による攻撃が可能であること
  • リフレクターとなり得るサーバーがたくさん存在すること
  • リフレクターによる増幅幅が大きいこと

DNSリフレクター攻撃の流れ

攻撃手法として、2種類の攻撃があります。

  1. オープンリゾルバーを利用したDNSリフレクター攻撃
  2. 権威DNSサーバーを利用したDNSリフレクター攻撃

オープンリゾルバーを利用したDNSリフレクター攻撃

  1. 送信元IPアドレス(攻撃対象のアドレス)を偽装して、DNSサーバに問い合わせを行う
応答サイズをできるだけ大きくなる問い合わせパターン(ANY, TXTなど)を利用します。
  1. DNS サーバは、DNSサーバに問い合わせをする
  2. データのサイズが大きい回答が送信される
  3. 偽装されたIPアドレス(攻撃対象のアドレス)に回答を送信する
  4. 応答をキャッシュ済みのオープンリゾルバに対して、同じ内容で名前解決要求を送信し続けます。

権威DNSサーバーを利用したDNSリフレクター攻撃

  • 多数の権威DNSサーバーに対して、攻撃対象のIPアドレスを詐称した問い合わせを高い頻度で送信しつづける。応答サイズが大きくなる問い合わせをする。
  1. 多数の権威DNSサーバーは、攻撃対象に対して、大きいサイズの応答を高い頻度で送信し続けます。

対策

オープンリゾルバ を用いた DNSリフレクター攻撃 は、ネットワークとDNSサーバーの両方の対策が必要です。

権威DNSサーバーを用いたDNSリフレクター攻撃に対して、 DNS Response Rate Limiting (DNS RRL) は有力な対策の1つと言われています。

ネットワークにおける対策 Source Address Validation ( 送信元検証 )

DNSリフレクター攻撃 を成立させる条件の1つは、送信元IPアドレスが詐称できることです。

そのため、送信元IPアドレスを詐称したデータを送信できないように、ネットワーク機器などで設定することにより、自身のネットワークがDNSリフレクター攻撃の攻撃元となることを根本的に防止できます。 この方法は、 Source Address Validation (送信元検証) と呼ばれ、 RFC 2827 , RFC 3704 にまとめられています。

この対策は、他のプロトコルを利用した、リフレクター攻撃に対しても、効果があります。キャッシュポイズニング の加害者となることも併せて防止できます。

オープンリゾルバーの対策: オープンリゾルバーをなくす

オープンリゾルバ を用いたDNSリフレクター攻撃の対策は、オープンリゾルバをなくすことです。

  1. キャッシュDNSサーバーと権威DNSサーバーの分離
  2. キャッシュDNSサーバーの適切なアクセスコントロールの実施
  3. 不必要な催奇検索要求受付を無効化する

権威DNSサーバーの対策

DNS Response Rate Limiting(DNS RRL)が有力な対策の1つです。

BIND 9 や NSD などで導入が進められています。

関連項目




スポンサーリンク