DNS関連攻撃
攻撃の分類(攻撃例)
| 対象 | 帯域や容量 | プロトコルの脆弱性 | 運用側の問題 |
|---|---|---|---|
| DNSそのもの | ランダムサブドメイン攻撃 | ランダムサブドメイン攻撃 | BINDの脆弱性をついたDoS攻撃 |
| DNS利用者 | DNSリフレクター攻撃 | キャッシュポイズニング | ドメイン名ハイジャック |
DNSリフレクター攻撃
DoS攻撃の一つ。
送信元IPアドレスを偽って問い合わせをフルリゾルバーや権威サーバーに送ることで、DNSが偽装された送信元IPに応答を返して対象のサービス不能に陥らせる。
DNSの特性を使った攻撃
- 通信にUDPをサポートしており、送信元IPを偽装した攻撃が成立しやすい
- 問い合わせ内容が応答にコピーされ応答サイズが大きくなるため、攻撃に使われやすい
対策
- フルリゾルバーへのアクセスコントロールの実施
- 権威サーバーにRPL(Response Rate Limiting)を導入
ランダムサブドメイン攻撃
権威サーバーやフルリゾルバーに対するDDoS攻撃のひとつ。
問い合わせのドメイン名にランダムなサブドメインを付与するkとdフルリゾルバーのキャッシュ機能を有効にさせずに、攻撃対象の権威サーバーに問い合わせを集中させ、サービス不能に陥らせる。
対策
- 通常の利用と区別がつかないため、根本対策が難しい
- 適切なアクセス制限がされていないオープンリゾルバをなくす
- 利用者側が悪用されないようにIP53Bを実施する
- 利用者側で動作しているオープンリゾルバーを踏み台にした攻撃を防ぐ
- UDPの53番ポートをブロックすることでオープンリゾルバーへのアクセスをISP側で防ぐ
キャッシュポイズニング
偽のDNS応答をフルリゾルバーにキャッシュさせることで、攻撃者の用意したサーバーに誘導する攻撃手法。
- カミンスキー型攻撃手法
対策
- ソースポートランダマイゼーション
- スタブリゾルバーやフルリゾルバーに実装
- UDPの通信における問い合わせパケットのソースポート番号をランダムに変化させる
- 攻撃者が偽の応答を注入しづらくなる
- [DNSクッキー]