戦国IT - 情報処理技術者試験の過去問対策サイト
ブログお知らせお問い合わせ料金プラン

ネットワークスペシャリスト 2013年 午前221

問題文

DNSの再帰的な問合せを使ったサービス不能攻撃(DNS amp)の踏み台にされることを防止する対策はどれか。

選択肢

キャッシュサーバとコンテンツサーバに分離し、インターネット側からキャッシュサーバに問合せできないようにする。(正解)
問合せがあったドメインに関する情報をWhoisデータベースで確認する。
一つのDNSレコードに複数のサーバのIPアドレスを割り当て、サーバへのアクセスを振り分けて分散させるように設定する。
他のDNSサーバから送られてくるIPアドレスとホスト名の対応情報の信頼性をディジタル署名で確認するように設定する。

DNSの再帰的な問合せを使ったサービス不能攻撃(DNS amp)の踏み台にされることを防止する対策【午前2 解説】

要点まとめ

  • 結論:DNSの再帰的問い合わせを外部から制限し、キャッシュサーバとコンテンツサーバを分離してインターネット側からの直接問い合わせを防ぐことが有効です。
  • 根拠:DNSアンプ攻撃は再帰的問い合わせを悪用し、攻撃トラフィックを増幅させるため、再帰問い合わせを許可しない設定が防御の基本となります。
  • 差がつくポイント:再帰問い合わせの制限を理解し、Whois確認やDNSレコード分散、DNSSECの役割と違いを正確に区別できることが重要です。

正解の理由

ア: キャッシュサーバとコンテンツサーバに分離し、インターネット側からキャッシュサーバに問合せできないようにする。
DNSアンプ攻撃は再帰的問い合わせを悪用して攻撃トラフィックを増幅させるため、外部からの再帰問い合わせを制限し、キャッシュサーバを内部ネットワークに閉じることで踏み台にされるリスクを減らせます。

よくある誤解

Whois情報の確認はドメイン所有者の特定に役立ちますが、攻撃防止には直接関係ありません。DNSレコードの分散やDNSSECは別の目的であり、DNSアンプ攻撃の防御策とは異なります。

解法ステップ

  1. DNSアンプ攻撃の仕組みを理解する(再帰的問い合わせの悪用)。
  2. 再帰的問い合わせを外部に開放すると攻撃の踏み台になることを認識する。
  3. 再帰問い合わせを制限する設定が防御策であると判断する。
  4. 選択肢の中で再帰問い合わせを制限する内容を探す。
  5. キャッシュサーバとコンテンツサーバの分離と外部からの問い合わせ制限が該当するアを選ぶ。

選択肢別の誤答解説

  • イ: Whoisデータベースはドメイン登録情報の確認に使うもので、攻撃防止策ではありません。
  • ウ: DNSレコードに複数IPを割り当てるのは負荷分散の手法であり、DNSアンプ攻撃の防御には直接関係しません。
  • エ: ディジタル署名(DNSSEC)はDNSの応答の改ざん防止に有効ですが、再帰問い合わせの悪用防止には効果がありません。

補足コラム

DNSアンプ攻撃は、攻撃者が小さな問い合わせを大量に送信し、DNSサーバが大きな応答を被害者に送ることでトラフィックを増幅させるDDoS攻撃の一種です。再帰的問い合わせを外部に開放しないことが基本的な防御策であり、DNSサーバの設定で再帰問い合わせを内部ネットワークのみに限定することが推奨されます。

FAQ

Q: DNSの再帰的問い合わせとは何ですか?
A: DNSサーバが問い合わせを受けた際、自身で回答できない場合に他のDNSサーバに問い合わせて回答を得る機能です。
Q: DNSSECはDNSアンプ攻撃の防止に役立ちますか?
A: DNSSECはDNS応答の改ざん防止に有効ですが、再帰問い合わせの悪用を防ぐものではありません。
関連キーワード: DNSアンプ攻撃、再帰的問い合わせ、キャッシュサーバ、DDoS防御、DNSSEC
← 前の問題へ次の問題へ →
戦国ITクイズ機能

\ せっかくなら /

ネットワークスペシャリスト
クイズ形式で学習しませんか?

クイズ画面へ遷移する

すぐに利用可能!

©︎2026 情報処理技術者試験対策アプリ

このサイトについてブログプライバシーポリシー利用規約特商法表記開発者について