DNSの再帰的な問合せを使ったサービス妨害攻撃(DNSリフレクタ攻撃)の踏み台にされないための対策はどれか。
| ア | DNSサーバをキャッシュサーバと権威DNSサーバに分離し、インターネット側からキャッシュサーバに問合せできないようにする。 |
| イ | 問合せがあったドメインに関する情報をWhoisデータベースで確認してからDNSキャッシュサーバに登録する。 |
| ウ | 一つのDNSレコードに複数のサーバのIPアドレスを割り当て、サーバへのアクセスを振り分けて分散させるように設定する。 |
| エ | ほかの権威DNSサーバから送られてくるIPアドレスとホスト名の対応情報の信頼性を、デジタル署名で確認するように設定する。 |
答え ア
【解説】
DNSリフレクタ攻撃の対策方法としては、公開DNSサーバのキャッシュ機能を無効にして、自身に登録されているレコード情報だけを応答するように設定することです。
ただし、そうすると内部ユーザーがこのDNSサーバを使って名前解決ができなくなってしまうため、内部ユーザーが使うDNSサーバを別途用意し、そのDNSサーバは内部ネットワークからの要求だけに応えるようにアクセス制限を施すようにします。
【キーワード】
・DNSリフレクタ攻撃
- DNSリフレクタ攻撃(DNS amp)
複数のコンピュータから大量にデータを送り付けて回線をパンクさせるDDoS(Distributed Denial of Service、分散サービス妨害)攻撃の一種です。
DNSサーバにサイズの大きいTXTレコードをキャッシュさせてから、攻撃対象のサーバのIPアドレスを詐称したDNS問合せを一斉送信し、キャッシュサーバの応答を詐称された攻撃対象のサーバに一斉に送信させることで、攻撃を仕掛けます。
もっと、「DNSリフレクタ攻撃」について調べてみよう。
戻る
一覧へ
次へ