DNS リフレクション (DNS amp) 攻撃

サイズの大きな DNS 情報をキャッシュさせた踏み台 DNS サーバに、送信元を偽装した DNS 情報要求パケットを送信することで、踏み台 DNS サーバから攻撃対象へサイズの大きな DNS 情報応答パケットを送信させる DDoS の一種

攻撃者は発信元アドレスを最終的なターゲットとなるホストの IP アドレスに詐称した上で、攻撃に加担させる DNS サーバあてにクエリを送る

応答メッセージのサイズができるだけ大きくなるようにする

クエリを受けとった DNS サーバは、偽装された発信元アドレス(最終的なターゲットホスト) に対して応答を返す

DMZ 等に設置された DNS キャッシュサーバが、インターネット上の任意のホストからのクエリを無条件に受け付けるオープンリゾルバになっていると、悪用される危険性が高まる

対策

DNS キャッシュサーバとコンテンツサーバに分離し、再帰的な問い合わせを行わせないように DNS キャッシュサーバをインターネット側からアクセスさせないようにする