DNS水責め攻撃(ランダムサブドメイン攻撃)とは?対策方法

DNS水責め攻撃(ランダムサブドメイン攻撃)とは?対策方法についてまとめました。

DNS水責め攻撃(ランダムサブドメイン攻撃)

キャッシュサーバ(オープンリゾルバ)、ホームルータに対して、存在しない幾つものサブドメインに対するDNSクエリを発行し、権威DNSサーバへの問合せを意図的に大量発生させて過負荷状態にしてサービス停止を狙う攻撃です(ランダムサブドメイン攻撃)。

【攻撃者の行動例】

手順 概要
A社ドメイン配下のサブドメイン名を,ランダムに多数生成する。
生成したサブドメイン名に関する大量の問合せ(送信元IPアドレスは問合せごとにランダムに設定して詐称)し、多数の第三者のDNSキャッシュサーバに分散して送信する。
多数の第三者のDNSキャッシュサーバが、A社の権威DNSサーバへ問合せを行う
A社の権威DNSサーバが過負荷状態になり、サービス停止

参考:JPRS トピックス&コラム■Bot経由でDNSサーバーを広く薄く攻撃 ~DNS水責め攻撃の概要と対策~

攻撃対策

項目 概要
IP53Bの利用(IPS側の対策) 顧客側の53/UDP(DNS)へのアクセスをISP側でブロックし、ホームルーターの欠陥を外部から利用できなくするもの。DNSリフレクター攻撃の対策としても有効。
【情報処理入門】テクノロジ系、マネジメント系、ストラテジ系、資格試験
情報処理の基礎知識(テクノロジ系、マネジメント系、ストラテジ系)や資格試験についてまとめました。なお、情報処理技術者試験の出題分野別(テクノロジ系、マネージメント系、ストラテジ系)に各項目を整理しています。そのため、ITパスポート、基本情...

コメント

タイトルとURLをコピーしました