第9章 DNSに対するサイバー攻撃とその対策
攻撃対象と攻撃手法による分類
攻撃対象による分類
1. 攻撃対象がDNSそのもの
2. 攻撃対象は他者で、その攻撃にDNSを利用している
攻撃手法による分類
a. 攻撃対象のネットワークやサーバーの処理容量を溢れさせる
b. 仕様(プロトコル)の弱点をつく
c. 実装(プログラム)のバグや設定・運用上の問題点を利用する
攻撃の例
1-a DDos(Distributed Deinial of Service attack)攻撃、ランダムサブドメイン攻撃
1-b TCP SYN Flood攻撃、ランダムサブドメイン攻撃
1-c BINDの脆弱性を突いたDos(Denial of Service attack)攻撃
2-a DNSリフレクター攻撃
2-b キャッシュポイズニングによる偽サイトへの誘導
2-c 登録情報の不正書き換えによるドメイン名ハイジャック
スタブリゾルバーの影響範囲(例:ホームルーター)
https://gyazo.com/d3ba69b3d157075a68a32d4751ae709d
フルリゾルバーの影響範囲
https://gyazo.com/7bc855a1eb5058d79c7509c8ba17b2f0
権威サーバーの影響範囲
管理するドメインの全てに影響が出る
もしルートサーバーやあるTLDの全ての権威サーバーがサービス不能に陥ったら大変なことになる
可用性の向上のためにIP Anycastなどの仕組みが導入されている
IP Anycast
共通のサービス用IPアドレスを複数のホストに同時に割り当てることができる
利用者は複数のホストのうち、ネットワーク的に一番近いホストと通信する
これによりリクエストは複数のホストに分散されることになり以下の効果が期待できる
負荷分散・冗長化
応答時間の短縮
攻撃の局所化
攻撃の効果抑制
通信プロトコルに由来する影響
TCPとUDPでは、UDPの方が送信元IPアドレスを偽装した攻撃がしやすい
通信の特製に由来する影響
問い合わせと応答が1対で、しかも応答の方がサイズが大きくなる
DNSリフレクター攻撃
送信元IPアドレスを攻撃対象に偽った問い合わせをフルリゾルバーや権威サーバーに送る
問い合わせを受け取ったそれらのサーバーが攻撃対象に応答を送る
攻撃対象にされたサーバーで処理が溢れて動作不能に陥る
反射しているように見えることからリフレクター攻撃という
問い合わせパケットに対して応答(攻撃パケット)が大きいのでDNSアンプ攻撃とも
ランダムサブドメイン攻撃
権威サーバーやフルリゾルバーに対するDDos攻撃手法の一つ
問い合わせのドメイン名にランダムなサブドメインを付加する
これによりフルリゾルバーのキャッシュ機能を無効化して大量の問い合わせを送る
キャッシュが効かないので攻撃対象となる権威サーバーに問い合わせを集中する
DNS水責め攻撃ともいう
BINDの脆弱性をついたDos攻撃
BINDはDNSソフトウェア
このソフトの脆弱性を攻撃されることがある
キャッシュポイズニング
偽のDNS応答をフルリゾルバーにキャッシュさせて利用者のアクセスを攻撃者が用意したサーバーに向ける
フィッシング、電子メールの窃盗などを図る
https://gyazo.com/57ca751fad82dcb2bd930e68d0569a1a
ドメイン名ハイジャック
レジストリに登録されている情報を不正に書き換える
権威サーバーに不正なデータを登録する
フルリゾルバーに不正なデータをキャッシュさせる
ゼロデイ攻撃
セキュリティパッチの公開前、あるいは公開された直後の対応が十分でない間に攻撃を仕掛けること