予想問題vol.9 問44

問44

次の攻撃において,攻撃者がサービス不能にしようとしている標的はどれか。

〔攻撃〕
  • A社ドメイン配下のサブドメイン名を,ランダムに多数生成する。
  • (1)で生成したサブドメイン名に関する大量の問合せを,多数の第三者のDNSキャッシュサーバに分散して送信する。
  • (2)で送信する問合せの送信元IPアドレスは,問合せごとにランダムに設定して詐称する。
  • A社ドメインの権威DNSサーバ
  • A社内の利用者PC
  • 攻撃者が詐称した送信元IPアドレスに該当する利用者PC
  • 第三者のDNSキャッシュサーバ
  • [出典]
  • 情報セキュリティ H28春期 問2

分類

テクノロジ系 » セキュリティ » 情報セキュリティ

正解

解説

クライアントからのDNSクエリを受け取ったDNSキャッシュサーバ(フルサービスリゾルバ)は、有効期限内のキャッシュが存在すればそれを返し、そうでなければそのドメインを管理する権威DNSサーバ(DNSコンテンツサーバ)に問合せを行った結果をクライアントに返します。
44_1.gif/image-size:453×326
このような仕組みにより、攻撃者が生成したサブドメインに対するDNSクエリを受け取ったDNSキャッシュサーバは、(キャッシュが存在しないため)サブドメインごとに権威DNSサーバへの問合せを行うことになります。その結果、「サブドメイン数×キャッシュサーバ数」の大量のDNSクエリが権威DNSサーバに集中し、サービス不能やサーバダウン状態に陥ってしまう可能性があります。
44_2.gif/image-size:493×333
このDDoS攻撃は「DNS水責め攻撃」「ランダムサブドメイン攻撃」と呼ばれ、多数の脆弱性のある公開キャッシュサーバ(オープンリゾルバ)や欠陥を持つホームルータを経由し、権威DNSサーバやISPのDNSキャッシュサーバを攻撃対象することが特徴です。したがって設問の攻撃の標的は「A社ドメインの権威DNSサーバ」が正解です。
  • 正しい。
  • A社利用者PCは、DNS問合せの送信元IPアドレスに設定されておらず、名前解決処理とも無関係です。
  • 送信元IPアドレスはランダムに設定されているため、DNS amp攻撃のように送信元に設定されたノードに向かって応答パケットが集中することはありません。
  • キャッシュサーバにも相応の負荷が掛かるため被害が発生する可能性がありますが、攻撃者の最終的な目的は権威DNSサーバをサービス停止に追い込むことです。
参考URL: 株式会社日本レジストリサービス:DNS水責め攻撃の概要と対策(PDF)
 https://jprs.jp/related-info/guide/021.pdf
© 2015-2024 情報セキュリティマネジメント試験ドットコム All Rights Reserved.

Pagetop