戦国IT - 情報処理技術者試験の過去問対策サイト
ブログお知らせお問い合わせ料金プラン

ネットワークスペシャリスト 2017年 午前221

問題文

DNSの再帰的な問合せを使ったサービス不能攻撃(DNS amp攻撃)の踏み台にされることを防止する対策はどれか。

選択肢

DNSサーバをキャッシュサーバとコンテンツサーバに分離し、インターネット側からキャッシュサーバに問合せできないようにする。
問合せがあったドメインに関する情報をWhoisデータベースで確認してからキャッシュサーバに登録する。
一つのDNSレコードに複数のサーバのIPアドレスを割り当て、サーバへのアクセスを振り分けて分散させるように設定する。
他のDNSサーバから送られてくるIPアドレスとホスト名の対応情報の信頼性を、ディジタル署名で確認するように設定する。

DNSの再帰的な問合せを使ったサービス不能攻撃(DNS amp攻撃)の踏み台にされることを防止する対策【午前2 解説】

要点まとめ

  • 結論:DNSサーバの再帰的問い合わせを外部から制限し、踏み台にされるリスクを防ぐことが重要です。
  • 根拠:DNSアンプ攻撃は再帰的問い合わせを悪用し、攻撃トラフィックを増幅させるため、外部からの再帰的問い合わせを制限する設定が有効です。
  • 差がつくポイント:DNSサーバの役割分離や問い合わせ制限の理解、再帰的問い合わせの仕組みを正確に把握しているかが問われます。

正解の理由

の「DNSサーバをキャッシュサーバとコンテンツサーバに分離し、インターネット側からキャッシュサーバに問合せできないようにする」は、再帰的問い合わせを外部から受け付けない設定であり、DNSアンプ攻撃の踏み台利用を防止する代表的な対策です。キャッシュサーバが外部からの再帰的問い合わせを受け付けると、攻撃者に悪用されやすくなるため、これを制限することが効果的です。

よくある誤解

  • Whois情報の確認(イ)はDNSアンプ攻撃の防止には直接関係ありません。
  • 複数IPアドレスの割り当て(ウ)は負荷分散の話であり、攻撃防止策ではありません。
  • ディジタル署名(エ)はDNSSECの話であり、信頼性向上はできてもアンプ攻撃防止には直結しません。

解法ステップ

  1. DNSアンプ攻撃の仕組みを理解する(再帰的問い合わせを悪用)。
  2. 再帰的問い合わせを外部から受け付けることのリスクを把握する。
  3. 選択肢の中で再帰的問い合わせを制限する対策を探す。
  4. 「キャッシュサーバに外部から問い合わせできないようにする」設定が該当することを確認。
  5. 他の選択肢が攻撃防止に直接関係しないことを見極める。

選択肢別の誤答解説

  • ア:正解。再帰的問い合わせを外部から制限し、踏み台利用を防止。
  • イ:Whoisデータベースの確認はドメイン管理情報の確認であり、攻撃防止策ではない。
  • ウ:複数IPアドレス割り当ては負荷分散の手法であり、攻撃の踏み台防止には無関係。
  • エ:ディジタル署名はDNSSECの機能であり、データの改ざん防止には有効だが、アンプ攻撃防止には直接関係しない。

補足コラム

DNSアンプ攻撃は、攻撃者が小さな問い合わせをDNSサーバに送り、サーバが大きな応答を被害者に送ることでトラフィックを増幅させる攻撃です。再帰的問い合わせを外部に開放すると、攻撃者に悪用されやすくなります。したがって、DNSサーバは外部からの再帰的問い合わせを受け付けない設定(例:キャッシュサーバのアクセス制限)が推奨されます。

FAQ

Q: 再帰的問い合わせとは何ですか?
A: DNSサーバが問い合わせを受けた際、自身で解決できない場合に他のDNSサーバに問い合わせて結果を返す動作を指します。
Q: DNSSECはDNSアンプ攻撃の防止に役立ちますか?
A: DNSSECはDNS応答の改ざん防止に有効ですが、アンプ攻撃の増幅自体を防ぐ機能はありません。
関連キーワード: DNSアンプ攻撃、再帰的問い合わせ、DNSキャッシュサーバ、DNSセキュリティ、サービス不能攻撃
← 前の問題へ次の問題へ →
戦国ITクイズ機能

\ せっかくなら /

ネットワークスペシャリスト
クイズ形式で学習しませんか?

クイズ画面へ遷移する

すぐに利用可能!

©︎2026 情報処理技術者試験対策アプリ

このサイトについてブログプライバシーポリシー利用規約特商法表記開発者について