目次
問題文
DNSの再帰的な問合せを使ったサービス妨害攻撃(DNSリフレクタ攻撃)の踏み台にされないための対策はどれか。
ア DNSサーバをDNSキャッシュサーバと権威DNSサーバに分離し,インターネット側からDNSキャッシュサーバに問合せできないようにする。
イ 問合せがあったドメインに関する情報をWhoisデータベースで確認してからDNSキャッシュサーバに登録する。
ウ 一つのDNSレコードに複数のサーバのIPアドレスを割り当て,サーバへのアクセスを振り分けて分散させるように設定する。
エ ほかの権威DNSサーバから送られてくるIPアドレスとホスト名の対応情報の信頼性を,デジタル署名で確認するように設定する。
解説
解答
ア
この問題は DNSリフレクタ攻撃(DNSアンプ攻撃) の踏み台にされないための適切な対策を問う内容です。
ア:DNSサーバをDNSキャッシュサーバと権威DNSサーバに分離し,インターネット側からDNSキャッシュサーバに問合せできないようにする
これが正解です。
DNSリフレクタ攻撃では、オープンリゾルバ(誰でも利用可能なキャッシュDNSサーバ)が踏み台にされ、大量の応答を攻撃対象に送りつける仕組みが悪用されます。
対策としては、キャッシュサーバは内部利用者のみに限定し、外部からの再帰問い合わせを受け付けないように設定することが重要です。
そのため、キャッシュDNSと権威DNSを分離し、インターネットに公開するのは権威DNSのみにします。
イ:Whoisデータベースで確認してから登録する
これは現実的でない上に、DNSキャッシュの仕組みと無関係です。
Whoisはドメイン登録情報を確認するためのサービスであり、キャッシュ登録とは関係ありません。
ウ:複数のIPアドレスを割り当てて分散させる
これは ラウンドロビンDNS の説明です。
負荷分散の仕組みであり、攻撃の踏み台対策にはなりません。
エ:デジタル署名で信頼性を確認する
これは DNSSEC の説明です。
DNSSECは応答の改ざん防止に有効ですが、リフレクタ攻撃における踏み台化(不正な再帰問い合わせ)を防ぐわけではありません。
