DNSアンプ攻撃は、DNSサーバの大きな応答を攻撃対象へ集める反射型DDoS攻撃です。SG試験で問われるオープンリゾルバとの関係と対策を整理します。

sg sg-security-overview threat_vulnerability sg-security-measures network

まず結論

  • DNSアンプ攻撃とは、送信元IPアドレスを攻撃対象に偽装し、DNSサーバの大きな応答を攻撃対象へ送らせるDDoS攻撃です。
  • SG試験では、DNSの細かい仕組みよりも、オープンリゾルバが踏み台にされる理由と、踏み台化を防ぐ対策を判断できるかが重要です。

DNSアンプ攻撃は、反射型DDoS攻撃の代表例です。

攻撃者が直接大量の通信を送るだけでなく、DNSサーバに応答を返させることで、攻撃対象への通信量を増やします。

試験では、DNSを止める話ではなく、外部から悪用されるDNSの設定を防ぐ話として理解すると選択肢を切りやすくなります。

直感的な説明

DNSアンプ攻撃は、たとえるなら「差出人を他人の住所にした問い合わせはがき」を大量に送るような攻撃です。

攻撃者は、差出人を攻撃対象に偽って、DNSサーバへ問い合わせを送ります。

DNSサーバは、その問い合わせに対して返事をします。

しかし、返事の宛先は攻撃者ではなく、偽装された攻撃対象です。

攻撃対象から見ると、自分が問い合わせていないのに、いろいろなDNSサーバから大量の応答が届く状態になります。

さらに、DNSでは小さな問い合わせに対して、大きな応答が返る場合があります。

この「小さい要求が大きい応答になる」性質を悪用するため、通信量が増幅されます。

つまり、DNSアンプ攻撃は、DNSサーバを踏み台にして、攻撃対象へ大量通信を集める攻撃です。

定義・仕組み

DNSアンプ攻撃は、DNSの応答を悪用した反射型DDoS攻撃です。

名前の中にある「アンプ」は、増幅を意味します。

小さな問い合わせに対して大きな応答が返ることで、攻撃対象に届く通信量が増えます。

基本的な流れは次のとおりです。

  1. 攻撃者が送信元IPアドレスを攻撃対象に偽装する
  2. DNSサーバへ問い合わせを送る
  3. DNSサーバが、偽装された攻撃対象へ応答を返す
  4. 多数のDNSサーバから応答が集まる
  5. 攻撃対象の回線やサーバが圧迫される

特に問題になるのが、オープンリゾルバです。

オープンリゾルバとは、外部からの再帰的な問い合わせを誰からでも受け付けてしまうDNSキャッシュサーバのことです。

本来、再帰的な問い合わせは、組織内や契約利用者など、限られた範囲に提供するのが基本です。

しかし、インターネット上の誰からでも再帰的な問い合わせを受け付ける状態になっていると、攻撃者に悪用される可能性があります。

JPCERT/CCは、外部からの再帰的な問い合わせを許可しているDNSキャッシュサーバ、つまりオープンリゾルバを使用したDNSアンプ攻撃について注意喚起しています。詳しくはJPCERT/CCの注意喚起を確認できます。

また、JPRSも、オープンリゾルバがDNS Reflector Attacks、つまりDNSリフレクター攻撃に悪用される恐れがあるとして、DNSサーバ管理者へ確認を呼びかけています。

SG試験では、送信元偽装、オープンリゾルバ、大きな応答、DDoSのつながりを押さえることが大切です。

どんな場面で使う?

DNSアンプ攻撃は、DDoS攻撃やDNSサーバの設定不備を理解する場面で出てきます。

特に、次のような場面で問われやすいです。

  • DNSサーバがオープンリゾルバになっていないか確認する
  • 再帰的な問い合わせを許可する範囲を制限する
  • 外部からの不要なDNS問い合わせを制限する
  • DNSサーバやネットワーク機器の設定を見直す
  • 攻撃の踏み台にされないように運用する

実務では、DNSは名前解決に必要な重要な仕組みです。

そのため、DNSを単純に止めればよいわけではありません。

重要なのは、必要なDNSサービスは維持しながら、外部から誰でも使える状態を避けることです。

対策としては、次のようなものがあります。

  • DNSキャッシュサーバの再帰的問い合わせを許可する範囲を制限する
  • インターネット上の誰からでも再帰問い合わせを受け付けない
  • 外部公開するDNSサーバと内部向けDNSサーバの役割を分ける
  • ルータやファイアウォールで不要なDNS通信を制限する
  • 送信元IPアドレスを偽装した通信が外へ出ないようにする

SG試験では、選択肢に「DNSサービスを停止する」と書かれていたら注意です。

DNSは業務に必要な場合が多いため、基本的には停止ではなく、再帰問い合わせの制限オープンリゾルバ状態の解消を選びます。

よくある誤解・混同

DNSアンプ攻撃では、次の混同に注意します。

DNSサーバが攻撃対象だと考える

DNSサーバも悪用される側ではありますが、攻撃の流れでは踏み台として使われます。

攻撃対象は、偽装された送信元IPアドレスの持ち主です。

DNSサーバは、攻撃者に利用されて攻撃対象へ応答を送らされます。

DNSを使うこと自体が危険だと考える

DNSは、Webサイトやメールなどを利用するために必要な仕組みです。

危険なのはDNSそのものではなく、誰からでも再帰問い合わせを受け付けるオープンリゾルバ状態です。

権威DNSサーバとキャッシュDNSサーバを混同する

DNSアンプ攻撃では、特にキャッシュDNSサーバの再帰問い合わせの設定が問題になります。

権威DNSサーバは、自分が管理するドメインの情報を答える役割です。

キャッシュDNSサーバは、利用者の代わりに名前解決を行う役割です。

試験では、再帰問い合わせを誰に許可するかが対策のポイントになります。

NTPリフレクション攻撃と別物として丸暗記する

DNSアンプ攻撃とNTPリフレクション攻撃は、どちらも反射・増幅を使ったDDoS攻撃です。

違いは、悪用されるサービスがDNSかNTPかです。

  • DNSアンプ攻撃:DNSサーバやオープンリゾルバを悪用する
  • NTPリフレクション攻撃:NTPサーバやmonlist機能などを悪用する

共通点は、送信元IPアドレスを偽装し、第三者サーバの応答を攻撃対象へ集めることです。

UDPを全部止めればよいと考える

DNSは主にUDPを使いますが、UDPをすべて止めると必要な通信にも影響します。

SG試験では、全部止めるよりも、悪用される設定や公開範囲を制限する対策を選ぶことが多いです。

まとめ(試験直前用)

  • DNSアンプ攻撃は、DNSサーバの応答を攻撃対象へ集める反射型DDoS攻撃。
  • 攻撃者は送信元IPアドレスを攻撃対象に偽装する。
  • オープンリゾルバは、外部からの再帰問い合わせを誰からでも受け付けるため踏み台にされやすい。
  • 対策は、再帰問い合わせの許可範囲を制限し、オープンリゾルバ状態を解消すること。
  • SG試験では「DNSを止める」ではなく、再帰問い合わせの制限と踏み台化防止かどうかで判断する。

🔗 関連記事

🏠 情報セキュリティマネジメントトップに戻る