応用情報技術者 2024年 秋期 午前2 問42
問題文
DNSキャッシュポイズニング攻撃に対して有効な対策はどれか。
選択肢
ア:DNSサーバにおいて、 侵入したマルウェアをリアルタイムに隔離する。
イ:DNS問合せに使用する DNSヘッダー内の IDを固定せずにランダムに変更する。(正解)
ウ:DNS問合せに使用する送信元ポート番号を53番に固定する。
エ:外部からの DNS問合せに対しては、 宛先ポート番号53のものだけに応答する。
DNSキャッシュポイズニング攻撃に対して有効な対策【午前2 解説】
要点まとめ
- 結論:DNS問合せのヘッダー内IDを固定せずランダムに変更することが有効です。
- 根拠:攻撃者は固定IDを狙い撃ちし偽の応答を送るため、IDをランダム化すると成功率が大幅に下がります。
- 差がつくポイント:送信元ポート番号や応答ポートの固定は攻撃防止に不十分で、IDのランダム化が最も効果的です。
正解の理由
イ: DNS問合せに使用するDNSヘッダー内のIDを固定せずにランダムに変更するは、DNSキャッシュポイズニング攻撃の基本的な防御策です。
攻撃者はDNS問合せのIDを予測し、偽の応答を送信してキャッシュを汚染します。IDをランダム化することで予測が困難になり、攻撃成功率が著しく低下します。
攻撃者はDNS問合せのIDを予測し、偽の応答を送信してキャッシュを汚染します。IDをランダム化することで予測が困難になり、攻撃成功率が著しく低下します。
よくある誤解
送信元ポート番号を固定する(ウ)や応答ポート番号を制限する(エ)は、攻撃の難易度を下げる場合があり逆効果です。
また、マルウェアの隔離(ア)は攻撃の根本的な防止策ではありません。
また、マルウェアの隔離(ア)は攻撃の根本的な防止策ではありません。
解法ステップ
- DNSキャッシュポイズニング攻撃の仕組みを理解する。
- 攻撃者が狙うDNS問合せのIDやポート番号の役割を確認する。
- IDを固定することのリスクとランダム化の効果を比較する。
- 選択肢の中でIDのランダム化を示すものを選ぶ。
選択肢別の誤答解説
- ア: マルウェア隔離は重要だが、DNSキャッシュポイズニングの直接的な対策ではない。
- イ: 正解。IDをランダム化することで攻撃成功率を下げる。
- ウ: 送信元ポート番号を53に固定すると攻撃者が予測しやすくなるため逆効果。
- エ: 宛先ポート番号53の応答制限は基本的な設定だが、攻撃防止には不十分。
補足コラム
DNSキャッシュポイズニングは、DNSの信頼性を悪用した攻撃であり、IDのランダム化に加え、DNSSEC(DNS Security Extensions)による署名検証も有効な対策です。
また、送信元ポート番号もランダム化することでさらに安全性が高まります。
また、送信元ポート番号もランダム化することでさらに安全性が高まります。
FAQ
Q: なぜIDを固定すると攻撃されやすいのですか?
A: 攻撃者は固定IDを予測しやすく、偽の応答を正規の応答と見せかけて送信できるためです。
A: 攻撃者は固定IDを予測しやすく、偽の応答を正規の応答と見せかけて送信できるためです。
Q: 送信元ポート番号のランダム化は必要ですか?
A: はい。IDと送信元ポート番号の両方をランダム化することで攻撃の難易度が上がります。
A: はい。IDと送信元ポート番号の両方をランダム化することで攻撃の難易度が上がります。
関連キーワード: DNSキャッシュポイズニング、DNSヘッダーID, ランダム化、セキュリティ対策、DNS攻撃防止
\ せっかくなら /
応用情報技術者を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!