ネットワークスペシャリスト 2017年 午前2 問21
問題文
DNSの再帰的な問合せを使ったサービス不能攻撃(DNS amp攻撃)の踏み台にされることを防止する対策はどれか。
選択肢
ア:DNSサーバをキャッシュサーバとコンテンツサーバに分離し、インターネット側からキャッシュサーバに問合せできないようにする。(正解)
イ:問合せがあったドメインに関する情報をWhoisデータベースで確認してからキャッシュサーバに登録する。
ウ:一つのDNSレコードに複数のサーバのIPアドレスを割り当て、サーバへのアクセスを振り分けて分散させるように設定する。
エ:他のDNSサーバから送られてくるIPアドレスとホスト名の対応情報の信頼性を、ディジタル署名で確認するように設定する。
DNSの再帰的な問合せを使ったサービス不能攻撃(DNS amp攻撃)の踏み台にされることを防止する対策はどれか。【午前2 解説】
正解の理由
選択肢アは、キャッシュサーバ(再帰的な問合せを処理する役割)とコンテンツ(権威)サーバを分離し、インターネット側からキャッシュサーバに再帰問合せできないようにする点を挙げています。DNSアンプ攻撃(DNS amplification)は、攻撃者が偽装した送信元アドレス(標的)でオープンリゾルバに大量の再帰問合せを行い、レスポンスを標的に集中させることで成立します。外部からの再帰を遮断すれば、そのキャッシュサーバを踏み台にされるリスクが大幅に低減します。したがってアが正解です。
解法ステップ
- 問題のキーワードを確認:「再帰的な問合せ」「サービス不能攻撃」「踏み台」「DNS amp(増幅)」。
- DNSアンプ攻撃のメカニズムを思い出す:攻撃者がオープンリゾルバに偽装送信元で大量の再帰問合せを行い、大きなレスポンスを標的へ送らせる。
- 対策として「オープンリゾルバ化を防ぐ」ことが適切かを考える。外部からの再帰問合せを制限する設定が正解になる。
- 各選択肢を当てはめ、攻撃メカニズムに直接対処するもの(ア)を選ぶ。
選択肢別の誤答解説
- ア: DNSサーバをキャッシュサーバとコンテンツサーバに分離し、インターネット側からキャッシュサーバに問合せできないようにする。
正解。オープンリゾルバ化を防ぎ、再帰問合せを悪用した増幅を阻止する実践的対策です。 - イ: 問合せがあったドメインに関する情報をWhoisデータベースで確認してからキャッシュサーバに登録する。
誤り。Whois確認はポリシーやフィルタの補助に使えるが、再帰的な問合せの悪用や応答増幅の防止には直接関係しません。遅延も生じ実用的でない。 - ウ: 一つのDNSレコードに複数のサーバのIPアドレスを割り当て、サーバへのアクセスを振り分けて分散させるように設定する。
誤り。負荷分散や冗長化には寄与するが、攻撃トラフィックそのものを踏み台にされる問題は解決しません。増幅元を封じる必要があります。 - エ: 他のDNSサーバから送られてくるIPアドレスとホスト名の対応情報の信頼性を、ディジタル署名で確認するように設定する。
誤り。DNSSECなどはデータの真正性を検証しますが、再帰問合せを悪用した増幅攻撃の防止には無関係です。署名検証は処理負荷を増やすだけで攻撃抑止になりません。
よくある誤解
- 「DNSサーバにディジタル署名を設定すれば攻撃を防げる」――DNSSECは応答の改ざん防止や信頼性向上には有効ですが、再帰問合せの悪用(増幅)そのものを防ぐものではありません。
- 「複数IPを割り当てれば増幅攻撃が分散され無害化される」――負荷分散は可用性には有効ですが、攻撃による大量トラフィックが分散されるだけで、踏み台として使われる問題の根本対策にはなりません。
補足コラム
- 実務での具体的設定例:BINDやUnboundなどでは "allow-recursion" や "recursion no"、アクセスコントロールリスト(ACL)で再帰問合せを内部ネットワークのIP範囲に限定する設定を行います。クラウドプロバイダやOSのファイアウォールでUDP/53への外部アクセスを遮断することも有効です。
- モニタリング:DNSトラフィック量や再帰問合せ元の分布を監視し、外部から急増があれば速やかに遮断ルールを追加する運用が重要です。
FAQ
Q: DNSSECを導入すればDNSアンプ攻撃は防げますか?
A: いいえ。DNSSECは応答データの改ざん検出と信頼性向上が目的であり、再帰問合せを悪用した増幅(踏み台化)の防止にはならないため別途再帰制御が必要です。
A: いいえ。DNSSECは応答データの改ざん検出と信頼性向上が目的であり、再帰問合せを悪用した増幅(踏み台化)の防止にはならないため別途再帰制御が必要です。
Q: オープンリゾルバかどうかはどう確認しますか?
A: 外部から自サーバへ再帰問合せを行い、権威外の名前解決が可能か(再帰が応答されるか)をテストします。公開ツールやオンラインのチェックサービスもあります。
A: 外部から自サーバへ再帰問合せを行い、権威外の名前解決が可能か(再帰が応答されるか)をテストします。公開ツールやオンラインのチェックサービスもあります。
Q: UDPベースの応答をTCPに切り替えれば増幅は防げますか?
A: 一部抑止効果はありますが、UDPの方が効率的に増幅されるため優先対策は再帰問合せの制限です。TCPに限定することは運用上の互換性やパフォーマンスに影響する点に注意してください。
A: 一部抑止効果はありますが、UDPの方が効率的に増幅されるため優先対策は再帰問合せの制限です。TCPに限定することは運用上の互換性やパフォーマンスに影響する点に注意してください。
関連キーワード: DNSアンプ攻撃、オープンリゾルバ、再帰問合せ、キャッシュサーバ分離、BIND設定、Unbound、アクセス制御、DDoS対策

\ せっかくなら /
ネットワークスペシャリストを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

