DNS水責め攻撃(ランダムサブドメイン攻撃)とは?対策方法についてまとめました。
DNS水責め攻撃(ランダムサブドメイン攻撃)
キャッシュサーバ(オープンリゾルバ)、ホームルータに対して、存在しない幾つものサブドメインに対するDNSクエリを発行し、権威DNSサーバへの問合せを意図的に大量発生させて過負荷状態にしてサービス停止を狙う攻撃です(ランダムサブドメイン攻撃)。
【攻撃者の行動例】
| 手順 | 概要 |
|---|---|
| ① | A社ドメイン配下のサブドメイン名を,ランダムに多数生成する。 |
| ② | 生成したサブドメイン名に関する大量の問合せ(送信元IPアドレスは問合せごとにランダムに設定して詐称)し、多数の第三者のDNSキャッシュサーバに分散して送信する。 |
| ③ | 多数の第三者のDNSキャッシュサーバが、A社の権威DNSサーバへ問合せを行う |
| ④ | A社の権威DNSサーバが過負荷状態になり、サービス停止 |
参考:JPRS トピックス&コラム■Bot経由でDNSサーバーを広く薄く攻撃 ~DNS水責め攻撃の概要と対策~
攻撃対策
| 項目 | 概要 |
|---|---|
| IP53Bの利用(IPS側の対策) | 顧客側の53/UDP(DNS)へのアクセスをISP側でブロックし、ホームルーターの欠陥を外部から利用できなくするもの。DNSリフレクター攻撃の対策としても有効。 |
https://algorithm.joho.info/network/jouhoushori-yougo-genri-shikaku/
algorithm.joho.info
コメント