ホーム > 情報処理安全確保支援士試験 > 2012年 春期
情報処理安全確保支援士試験 2012年 春期 午前2 問14
DNS の再帰的な問合せを使ったサービス不能攻撃(DNS amp)の踏み台にされることを防止する対策はどれか。
ア:キャッシュサーバとコンテンツサーバに分離し, インターネット側からキャッシュサーバに問合せできないようにする。(正解)
イ:問合せされたドメインに関する情報を Whois データベースで確認する。
ウ:一つの DNSレコードに複数のサーバの IP アドレスを割り当て、サーバへのアクセスを振り分けて分散させるように設定する。
エ:他の DNS サーバから送られてくる IP アドレスとホスト名の対応情報の信頼性をディジタル署名で確認するように設定する。
解説
DNS の再帰的な問合せを使ったサービス不能攻撃(DNS amp)の踏み台にされることを防止する対策【午前2 解説】
要点まとめ
- 結論:DNSの再帰的問い合わせを外部から受け付けないようにし、キャッシュサーバとコンテンツサーバを分離することが有効です。
- 根拠:再帰的問い合わせを悪用したDNSアンプ攻撃は、踏み台となるDNSサーバが外部からの再帰的問い合わせに応答することで成立します。
- 差がつくポイント:再帰的問い合わせの制限設定を理解し、攻撃の踏み台にされないためのネットワーク設計が重要です。
正解の理由
選択肢アは、キャッシュサーバとコンテンツサーバを分離し、インターネット側からキャッシュサーバへの再帰的問い合わせを遮断する対策を示しています。これにより、外部からの再帰的問い合わせを受け付けず、DNSアンプ攻撃の踏み台にされるリスクを低減できます。DNSアンプ攻撃は、再帰的問い合わせを悪用して大量の応答を第三者に送らせる攻撃であり、再帰的問い合わせを制限することが根本的な防御策です。
よくある誤解
DNSアンプ攻撃の防止は単にDNSレコードの分散や署名の設定ではなく、再帰的問い合わせの制御が最も効果的です。Whois情報の確認は攻撃防止には直接関係しません。
解法ステップ
- DNSアンプ攻撃の仕組みを理解する(再帰的問い合わせの悪用)。
- 再帰的問い合わせが攻撃の踏み台になることを認識する。
- 再帰的問い合わせを外部から受け付けない設定が有効と判断する。
- 選択肢の中で再帰的問い合わせの制御を示すものを選ぶ。
選択肢別の誤答解説
- ア: 正解。キャッシュサーバとコンテンツサーバを分離し、外部からの再帰的問い合わせを遮断する対策。
- イ: Whoisデータベースの確認はドメイン情報の管理に関するものであり、DNSアンプ攻撃の防止には無関係。
- ウ: DNSレコードに複数IPを割り当てるのは負荷分散の手法であり、攻撃踏み台の防止にはならない。
- エ: DNSSECのような署名はDNSの信頼性向上に役立つが、再帰的問い合わせの悪用防止には直接関係しない。
補足コラム
DNSアンプ攻撃は、攻撃者が小さな問い合わせを大量に送信し、DNSサーバが大きな応答を第三者に送ることでネットワークを圧迫するDDoS攻撃の一種です。再帰的問い合わせを制限する設定(例:
allow-recursionの制御)は、DNSサーバのセキュリティ運用で必須の対策です。FAQ
Q: 再帰的問い合わせとは何ですか?
A: DNSサーバが問い合わせを受けた際、自身で解決できない場合に他のDNSサーバに問い合わせて結果を返す機能です。
A: DNSサーバが問い合わせを受けた際、自身で解決できない場合に他のDNSサーバに問い合わせて結果を返す機能です。
Q: DNSアンプ攻撃はなぜ再帰的問い合わせを悪用するのですか?
A: 再帰的問い合わせは応答が大きくなることが多く、攻撃者は小さな問い合わせで大きな応答を第三者に送らせることで攻撃効果を増幅します。
A: 再帰的問い合わせは応答が大きくなることが多く、攻撃者は小さな問い合わせで大きな応答を第三者に送らせることで攻撃効果を増幅します。
関連キーワード: DNSアンプ攻撃, 再帰的問い合わせ, DNSキャッシュサーバ, DDoS対策, DNSセキュリティ