ネットワークスペシャリスト 2022年午前2 問21

問題文

DNSの再帰的な問合せを使ったサービス妨害攻撃(DNSリフレクタ攻撃)の踏み台にされないための対策はどれか。

選択肢

ア：DNSサーバをDNSキャッシュサーバと権威DNSサーバに分離し、インターネット側からDNSキャッシュサーバに問合せできないようにする。（正解）

イ：問合せがあったドメインに関する情報をWhoisデータベースで確認してからDNSキャッシュサーバに登録する。

ウ：一つのDNSレコードに複数のサーバのIPアドレスを割り当て、サーバへのアクセスを振り分けて分散させるように設定する。

エ：ほかの権威DNSサーバから送られてくるIPアドレスとホスト名の対応情報の信頼性を、デジタル署名で確認するように設定する。

DNSの再帰的な問合せを使ったサービス妨害攻撃(DNSリフレクタ攻撃)の踏み台にされないための対策【午前2 解説】

要点まとめ

結論：DNSリフレクタ攻撃の踏み台にされないためには、DNSキャッシュサーバを外部からの再帰的問合せに応答させない設定が重要です。
根拠：再帰的問合せを許すと、攻撃者が偽装したIPアドレスに大量の応答を送らせるリフレクタ攻撃の踏み台にされやすくなります。
差がつくポイント：DNSサーバの役割分離とアクセス制御を理解し、再帰的問合せの制限設定を正しく行うことが鍵です。

正解の理由

ア: DNSサーバをDNSキャッシュサーバと権威DNSサーバに分離し、インターネット側からDNSキャッシュサーバに問合せできないようにする。
DNSリフレクタ攻撃は、再帰的問合せを許可したDNSキャッシュサーバを悪用して大量の応答を第三者に送りつける攻撃です。キャッシュサーバを外部からの再帰的問合せに応答させないことで、踏み台にされるリスクを大幅に減らせます。権威DNSサーバは再帰的問合せを行わず、正しい権威情報を提供する役割なので、分離することで安全性が向上します。

よくある誤解

Whoisデータベースの確認はDNSリフレクタ攻撃の防止には直接関係ありません。
複数IPアドレスの割り当ては負荷分散には有効ですが、リフレクタ攻撃対策にはなりません。
デジタル署名はDNSSECの話であり、リフレクタ攻撃の踏み台防止とは別の問題です。

解法ステップ

DNSリフレクタ攻撃の仕組みを理解する（再帰的問合せを悪用）。
再帰的問合せを許すDNSサーバが攻撃の踏み台になることを認識する。
DNSサーバの役割（キャッシュサーバと権威DNSサーバ）を区別する。
外部からの再帰的問合せを制限する設定が有効であると判断する。
選択肢の中で再帰的問合せの制限に関する記述を選ぶ。

選択肢別の誤答解説

イ: Whoisデータベースはドメイン登録情報の確認に使うもので、DNS問合せの制御や攻撃防止には無関係です。
ウ: 複数IPアドレスの割り当ては負荷分散や冗長化の手法であり、リフレクタ攻撃の踏み台防止には効果がありません。
エ: デジタル署名はDNSSECの機能で、DNS応答の改ざん防止に役立ちますが、リフレクタ攻撃の踏み台対策とは異なります。

補足コラム

DNSリフレクタ攻撃は、攻撃者が送信元IPアドレスを被害者のIPに偽装し、再帰的問合せを許可したDNSキャッシュサーバに大量の問合せを送ることで、被害者に大量のDNS応答を送りつけるDDoS攻撃の一種です。これを防ぐには、DNSキャッシュサーバを外部からの再帰的問合せに応答しないよう設定し、アクセス制御リスト（ACL）で信頼できるネットワークのみ問合せを許可することが推奨されます。

FAQ

Q: 再帰的問合せとは何ですか？
A: DNSサーバが問い合わせを受けた際に、自身で他のDNSサーバに問い合わせて最終的な応答を返す機能です。

Q: なぜ権威DNSサーバは再帰的問合せをしないのですか？
A: 権威DNSサーバは自分が管理するドメインの情報を直接提供するため、他のDNSサーバに問い合わせる必要がありません。

Q: DNSSECはリフレクタ攻撃の防止に役立ちますか？
A: DNSSECは応答の改ざん防止に有効ですが、リフレクタ攻撃の踏み台対策には直接関係しません。

関連キーワード: DNSリフレクタ攻撃、再帰的問合せ、DNSキャッシュサーバ、権威DNSサーバ、DDoS対策、DNSセキュリティ

← 前の問題へ次の問題へ →

\ せっかくなら /

ネットワークスペシャリストを
クイズ形式で学習しませんか？

クイズ画面へ遷移する→

すぐに利用可能！