DNSSECで実現できることはどれか。
ア | DNSキャッシュサーバが得た応答中のリソースレコードが、権威DNSサーバで管理されているものであり、改ざんされていないことの検証 |
イ | 権威DNSサーバとDNSキャッシュサーバとの通信を暗号化することによる、ゾーン情報の漏えいの防止 |
ウ | 長音“ー”と漢数字“一”などの似た文字をドメイン名に用いて、正規サイトのように見せかける攻撃の防止 |
エ | 利用者のURLの入力誤りを悪用して、偽サイトに誘導する攻撃の検知 |
答え ア
【解説】
DNSのプロトコルが持つ弱点を突いた攻撃の代表として“DNSキャッシュポイズニング”があり、その中でもカミンスキー型攻撃は成功率も高く、DNSサーバの管理者にとって大きな脅威であった。
DNSにおける応答の正当性を保証するための拡張仕様であるDNSSECは、ドメイン登録情報にデジタル署名を付加することで、DNSキャッシュサーバが得た応答中のリソースレコードが、権威DNSサーバで管理されていて、改ざんされていないことの検証(ア)を可能にします。
【キーワード】
・DNSSEC