1.概要
DNSサーバを悪用したサイバー攻撃、DDoS攻撃の一種
攻撃者は送信元のIPアドレスを偽装し、
DNSリクエストをDNSサーバへ送信し、
対象に大量のデータを送りサーバーをダウンさせる
DNSリフレクタ攻撃(DNSアンプ攻撃)とは
DNS reflector Attacks/DNS Amplification Attacks
「DNSリフレクション攻撃」や「DNSアンプ攻撃」とも呼ばれる
2.攻撃手法
・オープンリゾルバを利用した手法
インターネット上に解放されているDNS機器を介した方法
代表的なオープンリゾルバにDNSキャッシュサーバーがある
攻撃方法はIPアドレスを偽装して大量のリクエストを送信し、
応答結果を攻撃対象にレスポンスとして送信する手法
アクセス制御がなされていないオープンリゾルバは格好のターゲット
DNSリフレクション攻撃に使用するにはうってつけの存在
データ量が大きな照会を必要とする応答結果のリクエストを行えば、
一気にシステムダウンできるという仕組み
・権威DNSサーバーを利用した手法
権威DNSサーバーとは、
各ゾーンの情報を保有しているドメイン管理しているサーバー
他のサーバーに問い合わせずにレスポンスできるサーバーのこと
DNS照会をすることで最終的に行きつく先ではありますが、
この権威DNSサーバーを介した攻撃も増えている
オープンリゾルバを介する方法よりも攻撃力は弱いが、
サーバーダウンさせるだけの威力を持っている
3.攻撃を受けないための対策
・未使用のポートは無効にする
無効にすると、攻撃の入り口を減らすことができる
攻撃を防ぐにはポートを、必要なものを残して閉鎖する
未使用のポートは攻撃者に入り口として使用されるため
サーバーの設定で未使用のポートを無効にする
インターネット上に存在する以上、
誰かが悪用する可能性は十分に考えられる
「TCP/UDP53」ポートなどは無効にしてはいけない
サービスを提供するために必要なポートの場合がある
慎重に無効設定するポートを選ぶ必要がある
・レートリミットを適用する
レートリミットとは、
送信されてくるIPアドレスからのリクエストをブロックするとともに、
特定の送信元や送信先トラフィックの制限をかけられる仕組
設定するためにはレートベースルールと呼ばれるコマンドが必要
知識を持った人間がいなければならない
レートベースルールは特定の送信者だけではなく、無差別に適用
正規のリクエストをしている送信者を制限してしまう可能性もある
あくまでもシステムダウンを阻止するための最終手段として利用する
・IPレピュテーションを利用する
IPレピュテーションとは、
IPアドレスの評価を出して通信制限する仕組
IPアドレスがブラックリストにないか、
迷惑メールを送信した形跡はないかなどが評価基準
IPレピュテーションを利用して
DNSリフレクション攻撃を受けにくくすることもできるし
脆弱なサーバーをブロックすることもできる
4.攻撃の踏み台にさせないための対策
・オープンリゾルバを停止する
停止することでIPアドレス宛ての返答もしなくなるため、
DNSリフレクション攻撃を防ぐことができる
・送信元のIPアドレスを検証する
送信元IPアドレスが正しいかどうかを検証し、偽装データの送信を防ぐ
・キャッシュサーバーを別にする
コンテンツサーバ
クライアントに提供する情報の保有と管理を行う
キャッシュサーバ
クライアントから要求があった際に
コンテンツサーバの代わりにコンテンツを配信する