目次
問題文
DNSの再帰的な問合せを使ったサービス妨害攻撃(DNSリフレクタ攻撃)の踏み台にされることを防止する対策はどれか。
ア DNSサーバをキャッシュサーバとコンテンツサーバに分離し,インターネット側からキャッシュサーバに問合せできないようにする。
イ 問合せがあったドメインに関する情報をWhoisデータベースで確認してからキャッシュサーバに登録する。
ウ 一つのDNSレコードに複数のサーバのIPアドレスを割り当て,サーバへのアクセスを振り分けて分散させるように設定する。
エ ほかのDNSサーバから送られてくるIPアドレスとホスト名の対応情報の信頼性を,デジタル署名で確認するように設定する。
解説
解答
ア
この問題は DNSリフレクタ攻撃(DNSアンプ攻撃とも呼ばれる) を防ぐための適切な対策を理解しているかを問うものです。
ア:DNSサーバをキャッシュサーバとコンテンツサーバに分離し,インターネット側からキャッシュサーバに問合せできないようにする
これが正解です。
DNSリフレクタ攻撃では、攻撃者が踏み台に使えるオープンリゾルバ(誰でも再帰的な問い合わせを受け付けてしまうキャッシュDNSサーバ)を悪用します。
対策としては、
- キャッシュサーバ(再帰的問い合わせを処理する)と
- コンテンツサーバ(権威DNSとしてドメイン情報を返す)
を分離し、キャッシュサーバは内部ネットワークからのみ利用可能に制御することが重要です。
これにより、インターネット側からの再帰的問い合わせを防ぎ、踏み台にされるのを防止できます。
イ:問合せがあったドメイン情報をWhoisで確認してからキャッシュサーバに登録する
Whoisはドメインの登録者情報や管理情報を調べる仕組みであり、DNSの再帰的問い合わせや攻撃対策とは関係がありません。
Whoisを経由してキャッシュ登録するような仕様は存在しませんので不適切です。
ウ:DNSレコードに複数のサーバIPを割り当て,アクセスを分散させる
これは ラウンドロビンDNS の説明です。
負荷分散のための設定であり、リフレクタ攻撃の踏み台対策にはなりません。
攻撃の原因である「不特定多数からの再帰的問い合わせを受け付ける」点を解消しないため、的外れです。
エ:DNSの応答に含まれるIPとホスト名の対応をデジタル署名で確認する
これは DNSSEC(DNS Security Extensions) の説明です。
DNS応答が改ざんされていないかを検証できる仕組みですが、攻撃者が再帰的問い合わせを悪用して反射・増幅攻撃を仕掛けることを防ぐわけではありません。
リフレクタ攻撃防止策としては不十分です。
