平成24年 春期 情報セキュリティスペシャリスト 午前II 問14

DNSの再帰的な問合せを使ったサービス不能攻撃(DNS amp)の踏み台にされることを防止する対策はどれか。

 ア  キャッシュサーバとコンテンツサーバに分離し、インターネット側からキャッシュサーバに問合せできないようにする。
 イ  問合せされたドメインに関する情報をWhoisデータベースで確認する。
 ウ  一つのDNSレコードに複数のサーバのIPアドレスを割り当て、サーバへのアクセスを振り分けて分散させるように設定する。
 エ  他のDNSサーバから送られてくるIPアドレスとホスト名の対応情報の信頼性をデジタル署名で確認するように設定する。


答え ア


解説
DNS ampの対策方法としては、公開DNSサーバのキャッシュ機能を無効にして、自身に登録されているレコード情報だけを応答するように設定することです。
ただし、そうすると内部ユーザーがこのDNSサーバを使って名前解決ができなくなってしまうため、内部ユーザーが使うDNSサーバを別途用意し、そのDNSサーバは内部ネットワークからの要求だけに応えるようにアクセス制限を施すようにします。


キーワード
・DNS amp

キーワードの解説
  • DNS amp
    複数のコンピュータから大量にデータを送り付けて回線をパンクさせるDDoS(Distributed Denial of Service、分散サービス妨害)攻撃の一種です。
    DNSサーバにサイズの大きいTXTレコードをキャッシュさせてから、攻撃対象のサーバのIPアドレスを詐称したDNS問合せを一斉送信し、キャッシュサーバの応答を詐称された攻撃対象のサーバに一斉に送信させることで、攻撃を仕掛けます。

もっと、「DNS amp」について調べてみよう。

戻る 一覧へ 次へ