DNSリフレクション攻撃

DNSリフレクション攻撃 †

名称 †

• DNS AMP攻撃
• DNSリフレクター攻撃

概要 †

• 攻撃の標的サイトにDNS応答メッセージを増幅させて、標的サイトのアクセスを不能な状態にする攻撃
• DNSサーバ(フルサービスリゾルバまたは権威サーバ)を、攻撃の標的サイトへの攻撃の踏み台として悪用する
  • オープンリゾルバが悪用される危険性が高い。
• DNSサーバに送信元IPアドレスを標的サイトに偽装したDNS問い合わせパケットを送る
• 複数のDNSサーバに対して行えば、反射・増幅型DDoS攻撃となる。
• 応答メッセージのサイズが大きい方が負荷が高くなる
• 踏み台に利用されたDNSサーバ自体も負荷が高くなる

対策 †

自身のDNSサーバが踏み台として悪用されないようにするための対策 †

フルサービスリゾルバ †

• 名前解決要求を受け付けるクライアントをIPアドレスで制限する
  • ローカルIPアドレスからの要求のみ許可する
  • グローバルIPアドレスからの要求は拒否する

権威サーバ †

• RRL (Response Rate Limiting) を導入する
  • 応答先が同じ問い合わせが一定数を超えた場合に応答の送信を制限する
  • 通常、フルサービスリゾルバには権威サーバからの応答内容はキャッシュされて同じ問い合わせが短時間に発生することはないので、そのあり得ない問い合わせは不正なものとして扱う

攻撃の標的になった際の対策 †

関連用語 †

• DDoS攻撃
• DNS
• DNS水責め攻撃