DNS増幅攻撃:その脅威と対策
セキュリティを高めたい
先生、「DNS増幅攻撃」って、どんな攻撃なんですか?
情報セキュリティ専門家
「DNS増幅攻撃」は、インターネットの住所を調べる仕組みであるDNSを使って、ねらったサーバーに大量のデータを送りつける攻撃です。
例えば、たくさんの人に手紙を送るように見せかけて、実際には、特定の家に全部届くようにしてしまうようなイメージですね。
セキュリティを高めたい
なるほど。でも、なんでそんなことができるんですか?
情報セキュリティ専門家
DNSの仕組み上、小さな質問に対して、大きな答えが返ってくることがあるんだ。
悪意のある人は、これを利用して、小さな質問を大量に送りつけることで、大きな答えをねらったサーバーに集中させて攻撃するんだよ。
DNS増幅攻撃とは。
「DNS増幅攻撃」という言葉を説明します。これは、「DNSリフレクター攻撃」や「DNSアンプ攻撃」とも呼ばれ、DDoS攻撃の代表的な方法の一つです。
誰でも使えるDNSサーバーに、送信元を偽った名前解決の要求を大量に送りつけることで、攻撃します。偽られた送信先のアドレスには、大量の応答が送りつけられます。
攻撃対象は大量のデータを受け取ることで負荷がかかり、システムが停止してしまうなどの問題が起こります。
この攻撃を防ぐには、名前解決の要求を受け付ける範囲を制限することが有効です。誰でもアクセスできる状態の「オープン・リゾルバー」は、DNS増幅攻撃に悪用される危険性があります。
DNS増幅攻撃とは
– DNS増幅攻撃とは
インターネット上で情報をやり取りする際、住所の役割を果たすのがIPアドレスです。このIPアドレスと、人間にとって分かりやすいドメイン名を紐づけるシステムをDNS(Domain Name System)と呼びます。
DNS増幅攻撃とは、このDNSシステムの脆弱性を突いた攻撃手法です。攻撃者は、標的のサーバーやネットワークに大量のデータを送りつけ、その処理能力を超えさせることでサービスを妨害します。
具体的には、攻撃者は大量のDNSクエリ(問い合わせ)をDNSサーバーに送信します。この時、攻撃者は送信元のIPアドレスを標的のサーバーのものに偽装します。DNSサーバーは、クエリを受信すると、その問い合わせに対する応答を、偽装されたIPアドレス、つまり標的のサーバーに送り返します。
攻撃者は、応答データ量が大きくなるようなクエリを意図的に選択します。そのため、標的のサーバーは、実際には送信していないにも関わらず、大量のDNS応答データを受信することになります。
この結果、標的のサーバーやネットワークの帯域幅が圧迫され、本来のサービスが提供できなくなってしまう可能性があります。これが、DNS増幅攻撃によるサービス妨害です。
攻撃手法 | 概要 | 攻撃の流れ | 結果 |
---|---|---|---|
DNS増幅攻撃 | DNSシステムの脆弱性を突いた攻撃 標的に大量のデータを送りつけ、サービスを妨害する |
1. 攻撃者がDNSサーバーへ大量のクエリを送信 2. 送信元のIPアドレスを標的のものに偽装 3. DNSサーバーは、偽装されたIPアドレス(標的)へ応答データを送信 |
標的のサーバーやネットワークの帯域幅が圧迫 サービスが提供できなくなる可能性あり |
攻撃の仕組み
– 攻撃の仕組み
DNS増幅攻撃は、インターネットの住所録のような役割を持つDNSという仕組みの弱点を利用した攻撃です。この攻撃では、誰でもDNSへの問い合わせ(クエリ)を送信できる「オープンリゾルバ」と呼ばれるDNSサーバーが悪用されます。
攻撃者はまず、送信元のインターネットアドレスを、攻撃対象のサーバーのアドレスに偽装します。そして、この偽装したアドレスを使って、オープンリゾルバに大量のDNSクエリを送信します。
オープンリゾルバは、受け取ったクエリに対して、あらかじめ記憶している情報や他のサーバーから取得した情報をもとに回答を返します。
この時、攻撃者は、オープンリゾルバからの回答のデータ量が大きくなるような、特別なクエリを送りつけます。
その結果、オープンリゾルバは、攻撃者からの小さなクエリに対して、何倍もの大きさのDNS回答を、攻撃対象のサーバーに送り返してしまいます。これは、まるで、小さな手紙を送ったら、送り主を偽装した巨大な荷物が送りつけられるようなものです。
攻撃対象のサーバーには、大量のデータが押し寄せることになり、サーバーやネットワークに大きな負担がかかり、最悪の場合、サービスが停止してしまうこともあります。
攻撃フェーズ | 説明 |
---|---|
攻撃準備 | 攻撃者は送信元IPアドレスを攻撃対象のサーバのアドレスに偽装します。 |
クエリ送信 | 偽装したアドレスを使って、オープンリゾルバに大量のDNSクエリを送信します。このクエリは、オープンリゾルバからの回答データ量が大きくなるように細工されています。 |
増幅 | オープンリゾルバは、受信したクエリに対して、攻撃者の意図通り、大量のDNS応答を攻撃対象のサーバに返します。 |
攻撃結果 | 攻撃対象のサーバには大量のデータが押し寄せ、サーバやネットワークに大きな負担がかかり、サービス停止などの被害が発生します。 |
攻撃の影響
– 攻撃の影響
DNS増幅攻撃は、標的となったサーバーやネットワークに、通常の何倍、何十倍もの膨大な量のデータを送りつける攻撃です。これは、標的に大量の荷物を送りつけてパンクさせてしまうようなもので、通常のユーザーからのアクセスは、この大量のデータの波に飲み込まれてしまい、サーバーにたどり着くことができなくなります。
その結果、企業が運営するウェブサイトは閲覧不能に陥り、オンラインサービスは停止、業務アプリケーションへのアクセスも遮断されます。
攻撃の影響は、標的としたサーバーやネットワークだけに留まりません。攻撃によって大量のデータがネットワーク上を流れることになるため、回線が逼迫し、他の重要なサービスにも影響が及ぶ可能性があります。
さらに、攻撃の規模が大きくなると、インターネットサービスプロバイダ(ISP)の設備すらもパンクさせてしまう可能性も孕んでいます。そうなれば、特定の地域だけでなく、広範囲にわたるインターネット接続障害が発生し、社会全体に大きな混乱が生じることも考えられます。
攻撃の種類 | 影響を受ける対象 | 具体的な影響 |
---|---|---|
DNS増幅攻撃 | 標的のサーバー 標的のネットワーク インターネット全体 |
サービス停止 ウェブサイト閲覧不可 アプリケーションアクセス遮断 ネットワーク回線の逼迫 広範囲なインターネット接続障害 |
対策
– 対策
インターネット上の悪意のある攻撃から大切な情報を守るためには、幾重にも張り巡らされた防御が必要です。
まず、組織内で情報を変換するDNSサーバーが、誰でも使える設定になっていないかを確認する必要があります。これは、外部からの不正なアクセスを制限するためです。
加えて、DNSSECというセキュリティ強化技術を使うことで、情報の正当性を確かめ、偽の情報を排除することができます。これは、情報の信頼性を確保するために重要です。
さらに、組織内のネットワークと外部の境界に、ファイアウォールや侵入検知システム(IDS)といった、門番のような役割を果たす仕組みを設けることが有効です。 これらの仕組みは、怪しい通信を遮断し、組織内の安全を守ります。
このように、様々な対策を組み合わせることによって、DNS増幅攻撃による被害を防ぎ、安心してシステムを利用できる環境を作ることができます。
対策 | 説明 |
---|---|
DNSサーバーの設定確認 | 外部からの不正アクセス制限のため、誰でも使える設定になっていないか確認 |
DNSSECの利用 | 情報の正当性を確かめ、偽の情報を排除 |
ファイアウォールや侵入検知システム(IDS)の設置 | 怪しい通信を遮断 |
まとめ
近年、インターネットを介した様々な攻撃が増加していますが、その中でも「DNS増幅攻撃」は企業にとって特に深刻な脅威となっています。この攻撃は、標的のシステムをダウンさせるだけでなく、企業の重要な情報を盗み出すために利用される可能性もあるため、その仕組みを理解し、適切な対策を講じることが重要です。
DNS増幅攻撃は、その名の通り、DNS(ドメインネームシステム)の仕組みを悪用して攻撃の規模を拡大させる手法です。
攻撃者はまず、標的のサーバーになりすまして、大量のDNSクエリをオープンリゾルバと呼ばれる、誰でも利用可能なDNSサーバーに送信します。
これらのクエリは、送信元を標的のサーバーになりすまして送信されるため、オープンリゾルバは、応答を標的のサーバーに送信します。
問題は、攻撃者が送信するDNSクエリが、非常に小さなサイズのクエリに対して、非常に大きなサイズの応答を返すように細工されていることです。
この結果、攻撃者は、小さなクエリを送信するだけで、標的のサーバーに大量のトラフィックを送信し、サーバーの処理能力を超えさせてダウンさせることができます。
DNS増幅攻撃からシステムを守るためには、組織はいくつかの対策を講じることができます。
まず、自社のDNSサーバーがオープンリゾルバになっていないかを確認し、もしなっていた場合は、設定を変更して、許可されたユーザーからのみクエリを受け付けるようにする必要があります。
また、ファイアウォールなどのセキュリティ対策を導入し、DNSトラフィックを監視して、不審なトラフィックを遮断することも重要です。
さらに、DDoS攻撃対策サービスなどを利用することも有効な手段となります。
DNS増幅攻撃は、巧妙化しており、完全に防ぐことは難しいですが、適切な対策を講じることで、被害を最小限に抑えることができます。
攻撃手法 | 概要 | 対策 |
---|---|---|
DNS増幅攻撃 | DNSの仕組みを悪用し、オープンリゾルバに大量のDNSクエリを送信 送信元を標的サーバーになりすますことで、オープンリゾルバからの応答を標的サーバーに集中させ、過負荷によるダウンを狙う |
|