DNSキャッシュポイズニング攻撃とは?原理と仕組み、対策方法についてまとめました。
【はじめに】DNSキャッシュポイズニング攻撃とは
DNSキャッシュポイズニング攻撃は、攻撃対象のDNSキャッシュサーバに対し、キャッシュに存在しないドメイン名の名前解決要求を行い、正規の応答が返ってくる前に偽の名前解決情報を送り付けることで、DNSキャッシュサーバのキャッシュに偽の情報を登録させる攻撃手法です。
DNSキャッシュポイズニング攻撃により汚染されたDNSサーバをユーザが利用すると、偽のキャッシュ情報をもとに悪意のあるサイトに誘導され、機密情報を盗まれるなどの被害が発生する可能性があります。
【アルゴリズム】DNSキャッシュポイズニング攻撃の流れ
| – | 概要 |
|---|---|
| 1 | 攻撃者は、攻撃対象のDNSキャッシュサーバに対し、キャッシュに存在しないドメイン名の名前解決要求を行う。 |
| 2 | 要求をうけたキャッシュサーバは、外部の権威サーバに問い合わせる |
| 3 | 攻撃者は、権威サーバから正しい応答が返ってくる前に、偽の応答パケットをキャッシュサーバに送り込む |
| 4 | キャッシュサーバが 2.で送信した問い合わせメッセージのIDと、攻撃者が3.で送信偽のメッセージのIDが一致した場合に攻撃成功 |
【対策】
| – | 概要 |
|---|---|
| ①DNSヘッダ内のIDを固定しない | DNSクエリ毎に異なるIDを設定。DNSでは、DNSメッセージ中にID916ビットの識別子)が用意され、応答メッセージを受信したときに、それがどの問合せメッセージに対するものかを判断するために使用される。IDは16ビット(=65,536通り)しかないため、固定化されている場合には総当りや推測で一致してしまう危険性があるため、DNSクエリ毎に異なるIDを設定することで攻撃が成立する可能性を下げることができる。 |
| ②DNSSEC導入 | ー |
| ③ポート番号を固定しない | ランダムに選択したポート番号を通信に使用する(ソースポートランダマイゼーション:応答パケットの偽装を難しくなる)。 |
| ④再帰的な問合せの拒否 | 再帰的なDNSクエリはイントラネットからのアクセスのみを許可し、インターネットからの再帰的な問合せは拒否する。 |
| 参考 | DNSキャッシュポイズニング(JPNIC) |
【情報セキュリティ】不正のメカニズム、攻撃者の種類・動機、サイバー攻撃、暗号技術、認証技術、利用者認証、生体認証技術、公開鍵基盤、政府認証基盤など
情報セキュリティとは?情報の機密性・完全性・可用性、脅威,マルウェア・不正プログラム、脆弱性、不正のメカニズム、攻撃者の種類・動機、サイバー攻撃、暗号技術、認証技術、利用者認証、生体認証技術、公開鍵基盤、政府認証基盤などについてまとめました...
algorithm.joho.info
2019.01.25
【情報処理入門】用語解説・資格試験対策まとめ
情報処理分野の用語・原理・資格試験対策について解説します。
algorithm.joho.info
2023.08.08
コメント