NSリフレクションとは?アンプ攻撃・対策についてまとめました。
【DNSリフレクションとは】仕組み
DNSリフレクションとは、DNSサーバにわざとアクセスを反射(リフレクション)させて攻撃する手法です。
送信元のIPアドレスを攻撃対象にすることで、DDoS攻撃をしかける。
送信元IPアドレスを攻撃対象の物に偽装し、DNSサーバに対してアクセスします。
このとき、DNSサーバは問い合わせる時よりも、大きなパケットを攻撃対象宛(偽装したIPアドレスの本来の所有者)に返します。
このように、DNSの問い合わせにより、送信元のIPアドレスを攻撃対象にすることで、DDoS攻撃をしかける手法です。
パケットが増幅されて返ってくることからDNSアンプ攻撃とも呼ばれます。
【対策】オープンリソルバを使わない、送信元の検証、サーバの分離
| 対策 | 概要 |
|---|---|
| オープンリソルバ機能を使用しない | どのクライアントからも再帰的なDNS問合わせを受け付ける設定です。便利ですが、DNSリフレクションを防ぐには使用しない設定にする方が良いです。 |
| 送信元検証 | 送信元IPアドレスを偽装したデータを送信できないようにネットワーク機器を設定し、自身のネットワークがDNSリフレクター攻撃の攻撃元となることを防止する方法です。 |
| サーバの分離 | インターネット側からキャッシュサーバに問合せできないよう、「キャッシュサーバ」「コンテンツサーバ」を別のサーバーに分離します。 |
| 種別 | 概要 |
|---|---|
| コンテンツサーバ | クライアントに提供するコンテンツ(データ)を保有・管理しているサーバです。 |
| キャッシュサーバ | インターネット上のWebサイト等で提供されているコンテンツの複製を保存している。クライアントからの要求があった場合に、コンテンツ サーバに代わってコンテンツを配信します。 |
【情報処理入門】用語解説・資格試験対策まとめ
情報処理分野の用語・原理・資格試験対策について解説します。
joho.info
2023.08.08
コメント