ネットワークスペシャリスト 2019年 午前2 問21
問題文
DNSの再帰的な問合せを使ったサービス妨害攻撃(DNSリフレクタ攻撃)の踏台にされることを防止する対策はどれか。
選択肢
ア:DNSサーバをキャッシュサーバとコンテンツサーバに分離し、インターネット側からキャッシュサーバに問合せできないようにする。(正解)
イ:問合せがあったドメインに関する情報をWhoisデータベースで確認してからキャッシュサーバに登録する。
ウ:一つのDNSレコードに複数のサーバのIPアドレスを割り当て、サーバへのアクセスを振り分けて分散させるように設定する。
エ:ほかのDNSサーバから送られてくるIPアドレスとホスト名の対応情報の信頼性を、ディジタル署名で確認するように設定する。
DNSの再帰的な問合せを使ったサービス妨害攻撃(DNSリフレクタ攻撃)の踏台にされることを防止する対策【午前2 解説】
要点まとめ
- 結論:DNSリフレクタ攻撃の踏台を防ぐには、再帰的問い合わせをインターネット側から受け付けない設定が有効です。
- 根拠:再帰的問い合わせを許すと、攻撃者が第三者のDNSサーバを利用して大量の応答を被害者に送らせるリフレクタ攻撃が成立します。
- 差がつくポイント:DNSサーバの役割分離とアクセス制御を理解し、再帰的問い合わせの範囲を限定することが重要です。
正解の理由
ア: DNSサーバをキャッシュサーバとコンテンツサーバに分離し、インターネット側からキャッシュサーバに問合せできないようにする。
これは、外部からの再帰的問い合わせを遮断し、DNSリフレクタ攻撃の踏台にされるリスクを減らす対策です。キャッシュサーバは再帰的問い合わせを処理するため、外部からのアクセスを制限することで攻撃の踏台利用を防止できます。
これは、外部からの再帰的問い合わせを遮断し、DNSリフレクタ攻撃の踏台にされるリスクを減らす対策です。キャッシュサーバは再帰的問い合わせを処理するため、外部からのアクセスを制限することで攻撃の踏台利用を防止できます。
よくある誤解
- Whois情報の確認はDNSリフレクタ攻撃の防止には直接関係ありません。
- 複数IPアドレスの割り当ては負荷分散であり、攻撃防止策ではありません。
- デジタル署名はDNSSECの話であり、リフレクタ攻撃の踏台防止とは異なります。
解法ステップ
- DNSリフレクタ攻撃の仕組みを理解する(再帰的問い合わせを悪用)。
- 再帰的問い合わせを許すDNSサーバの役割を確認する(キャッシュサーバ)。
- 外部からの再帰的問い合わせを制限する方法を考える。
- 選択肢の中で再帰的問い合わせを制限する設定を選ぶ。
選択肢別の誤答解説
- イ: Whoisデータベースはドメイン登録情報の管理であり、DNS問い合わせの制御には無関係です。
- ウ: 複数IPアドレスの割り当ては負荷分散の手法であり、攻撃の踏台防止にはならない。
- エ: デジタル署名はDNSSECの機能で、DNS応答の改ざん防止に有効ですが、リフレクタ攻撃の踏台防止とは異なります。
補足コラム
DNSリフレクタ攻撃は、攻撃者が偽装した送信元IPアドレス(被害者のIP)を使い、再帰的問い合わせを大量に送信して被害者に過剰な応答を返させる攻撃です。これを防ぐには、DNSサーバの再帰的問い合わせを内部ネットワークに限定し、外部からの再帰的問い合わせを拒否する設定が基本です。DNSサーバの役割分離(キャッシュサーバと権威サーバの分離)も重要な対策です。
FAQ
Q: なぜ再帰的問い合わせを制限することが重要なのですか?
A: 再帰的問い合わせを許すと、攻撃者がDNSサーバを踏台にして大量の応答を被害者に送るリフレクタ攻撃が成立するためです。
A: 再帰的問い合わせを許すと、攻撃者がDNSサーバを踏台にして大量の応答を被害者に送るリフレクタ攻撃が成立するためです。
Q: DNSSECはリフレクタ攻撃の防止に役立ちますか?
A: DNSSECは応答の改ざん防止に有効ですが、リフレクタ攻撃の踏台防止には直接関係しません。
A: DNSSECは応答の改ざん防止に有効ですが、リフレクタ攻撃の踏台防止には直接関係しません。
関連キーワード: DNSリフレクタ攻撃、再帰的問い合わせ、DNSサーバ分離、サービス妨害攻撃、DNSセキュリティ
\ せっかくなら /
ネットワークスペシャリストを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!