情報処理技術者試験ナビ

当サイトは準備中です。

こちらへ移動しました

SC 28春 午前Ⅱ 問2

問題

次の攻撃において,攻撃者がサービス不能にしようとしている標的はどれか。

〔攻撃〕
(1) A社ドメイン配下のサブドメイン名を,ランダムに多数生成する。
(2) (1)で生成したサブドメイン名に関する大量の問合せを,多数の第三者のDNSキャッシュサーバに分散して送信する。
(3) (2)で送信する問合せの送信元IPアドレスは,問合せごとにランダムに設定して詐称する。
A社ドメインの権威DNSサーバ
A社内の利用者PC
攻撃者が詐称した送信元IPアドレスに該当する利用者PC
第三者のDNSキャッシュサーバ

 

答え

      ア

解説

この攻撃は「DNS水責め攻撃」「ランダムサブドメイン攻撃」と呼ばれるDDoS攻撃の一種です。多数の脆弱性のある公開キャッシュサーバ(オープンリゾルバ)や欠陥を持つホームルータを経由し、権威DNSサーバやISPのDNSキャッシュサーバを攻撃対象することが特徴です。

DNS水責め攻撃の概要

DNS水責め攻撃は以下の手順で行われます。

  1. 攻撃者はBotnet(攻撃の踏み台)に対し、リストに掲載されているオープンリゾルバーに、攻撃対象ドメイン名のランダムなサブドメインを DNS 問い合わせするように指令します。
  2. 各BotからのDNS問い合わせは、規制を回避する低い頻度で送られますが、台数が大量であると、各オープンリゾルバーには 大量の問い合わせが到達します。
  3. 問い合わされた名前はキャッシュに存在しないので、毎回権威DNSサーバーへの問い合わせが発生します。ホームルーターの場合は、ISPのキャッシュDNSサーバーに問い合わせが転送されます。
  4. 攻撃対象の権威DNSサーバー、またはISPのキャッシュDNSサーバーに問い合わせが集中します。その結果、これらのサーバーが過負荷となり、サービス不能の状態に陥ります。
攻撃対策

DNS水責め攻撃への対策には、以下のものがあります。

  1. ISPにおけるポート53遮断(IP53B)
    顧客側の53/udp(DNS)へのアクセスをISP側でブロックすることで、ホームルーターの欠陥を外部から利用できなくするもの(DNSリフレクター攻撃の対策としても有効)
  2. キャッシュDNSサーバーでの対応
    攻撃対象ドメイン名の問い合わせに対する特別なルールを設定するなど(ただし、事後対策となる)

 

関連情報

オンラインテキスト

 

キーワード

 

過去の出題