【DNSリフレクションとは】DNSアンプ攻撃・対策・オープンリゾルバー

NSリフレクションとは?アンプ攻撃・対策についてまとめました。

【DNSリフレクションとは】仕組み

DNSリフレクションとは、DNSサーバにわざとアクセスを反射(リフレクション)させて攻撃する手法です。
送信元のIPアドレスを攻撃対象にすることで、DDoS攻撃をしかける。
送信元IPアドレスを攻撃対象の物に偽装し、DNSサーバに対してアクセスします。
このとき、DNSサーバは問い合わせる時よりも、大きなパケットを攻撃対象宛(偽装したIPアドレスの本来の所有者)に返します。
このように、DNSの問い合わせにより、送信元のIPアドレスを攻撃対象にすることで、DDoS攻撃をしかける手法です。
パケットが増幅されて返ってくることからDNSアンプ攻撃とも呼ばれます。

【対策】オープンリソルバを使わない、送信元の検証、サーバの分離

対策 概要
オープンリソルバ どのクラインとからも再帰的なDNS問合わせを受け付ける設定です。この設定は便利ですが、DNSリフレクションを防ぐには設定を避けるのが良いです。
送信元検証 送信元IPアドレスを偽装したデータを送信できないようにネットワーク機器を設定し、自身のネットワークがDNSリフレクター攻撃の攻撃元となることを防止する方法です。
サーバの分離 インターネット側からキャッシュサーバに問合せできないよう、「キャッシュサーバ」「コンテンツサーバ」を別のサーバーに分離します。
種別 概要
コンテンツサーバ クライアントに提供するコンテンツ(データ)を保有・管理しているサーバです。
キャッシュサーバ インターネット上のWebサイト等で提供されているコンテンツの複製を保存している。クライアントからの要求があった場合に、コンテンツ サーバに代わってコンテンツを配信します。
関連記事
1 【セキュリティ対策】原理・仕組み
2 【情報処理入門】基礎用語・原理・資格まとめ
ネットワーク
技術雑記

コメント

タイトルとURLをコピーしました