DNS水責め攻撃

DNS水責め攻撃 †

名称 †

• ランダムサブドメイン攻撃
• サブドメインテイクオーバー

概要 †

• DNSサーバのサービス不能を狙った攻撃
• ボットネットを使い、複数のオープンリゾルバ状態のフルリゾルバに対して、攻撃対象のドメインのランダムなサブドメインを指定した名前解決要求を送りつけることで、権威サーバへの問い合わせを大量に発生させて権威サーバを過負荷にさせてサービス不能な状態にする攻撃。

対策 †

自身のフルリゾルバが踏み台として悪用されないようにするための対策 †

フルリゾルバができる対策 †

• 名前解決要求を受け付けるクライアントをIPアドレスで制限する
  • ローカルIPアドレスからの要求のみ許可する
  • グローバルIPアドレスからの要求は拒否する

ISP ができる対策 †

• IP53B
  • Inbound Port 53 Blocking
  • ISP が顧客のルータのポート53番に対する通信をブロックする
  • 動的IPアドレスを割り当てる顧客を対象に行う

関連用語 †

• DNS
• DNSリフレクション攻撃
• DoS攻撃
• DDoS攻撃
• ボットネット
• サブドメインテイクオーバー