ホーム > 情報処理安全確保支援士試験 > 2013年 秋期
情報処理安全確保支援士試験 2013年 秋期 午前2 問14
DNSの再帰的な問合せを使ったサービス不能攻撃(DNS amp)の踏み台にされることを防止する対策はどれか。
ア:キャッシュサーバとコンテンツサーバに分離し,インターネット側からキャッシュサーバに問合せできないようにする。(正解)
イ:問合せがあったドメインに関する情報をWhoisデータベースで確認する。
ウ:一つのDNSレコードに複数のサーバのIPアドレスを割り当て,サーバへのアクセスを振り分けて分散させるように設定する。
エ:他のDNSサーバから送られてくるIPアドレスとホスト名の対応情報の信頼性をディジタル署名で確認するように設定する。
解説
DNSの再帰的な問合せを使ったサービス不能攻撃(DNS amp)の踏み台にされることを防止する対策【午前2 解説】
要点まとめ
- 結論:DNSの再帰的問合せを外部から受け付けない設定により、踏み台攻撃を防止できます。
- 根拠:再帰的問合せを許すと、攻撃者が大量の応答を第三者に送らせる増幅攻撃に悪用されるためです。
- 差がつくポイント:DNSサーバの役割分離とアクセス制御の理解が重要で、単なる情報確認や署名設定では防げません。
正解の理由
正解はアです。DNSアンプ攻撃は、再帰的な問合せを悪用して大量の応答を第三者に送りつけるDDoS攻撃の一種です。キャッシュサーバとコンテンツサーバを分離し、インターネット側からキャッシュサーバへの再帰的問合せを遮断することで、攻撃者が踏み台として利用できなくなります。これにより、DNSサーバが攻撃の加害者になるリスクを低減できます。
よくある誤解
DNSアンプ攻撃の防止は単にWhois情報の確認やDNSレコードの分散設定ではできません。ディジタル署名は信頼性向上に役立ちますが、攻撃防止には直接関係しません。
解法ステップ
- DNSアンプ攻撃の仕組みを理解する(再帰的問合せの悪用)。
- 再帰的問合せを外部から受け付けると攻撃の踏み台になることを認識する。
- キャッシュサーバとコンテンツサーバの役割を区別し、アクセス制御を設定する。
- 選択肢の中で再帰的問合せの制限に関する対策を選ぶ。
- Whois確認やレコード分散、署名設定は攻撃防止策として不適切と判断する。
選択肢別の誤答解説
- ア: 正解。キャッシュサーバへの外部再帰的問合せを遮断し踏み台利用を防止。
- イ: Whoisデータベースの確認はドメイン情報の把握に役立つが、攻撃防止には無関係。
- ウ: 複数IPアドレス割当ては負荷分散策であり、DNSアンプ攻撃の踏み台防止にはならない。
- エ: ディジタル署名はDNSSECの信頼性向上策であり、再帰的問合せの悪用防止とは異なる。
補足コラム
DNSアンプ攻撃は、DNSサーバの再帰的問合せ機能を悪用し、攻撃対象に大量のDNS応答を送りつけるDDoS攻撃の一種です。対策としては、再帰的問合せを内部ネットワークのみに限定し、外部からの再帰的問合せを拒否する設定が基本です。また、DNSSECはDNSの改ざん防止に有効ですが、アンプ攻撃の防止には直接関係しません。
FAQ
Q: DNSの再帰的問合せとは何ですか?
A: DNSサーバが問い合わせを受けた際、自身で解決できない場合に他のDNSサーバに問い合わせて結果を返す機能です。
A: DNSサーバが問い合わせを受けた際、自身で解決できない場合に他のDNSサーバに問い合わせて結果を返す機能です。
Q: なぜ再帰的問合せが攻撃に使われるのですか?
A: 攻撃者が偽装したIPアドレスで再帰的問合せを送り、大量の応答を攻撃対象に送らせることでサービスを妨害します。
A: 攻撃者が偽装したIPアドレスで再帰的問合せを送り、大量の応答を攻撃対象に送らせることでサービスを妨害します。
Q: DNSSECはDNSアンプ攻撃の防止に役立ちますか?
A: DNSSECはDNS応答の改ざん防止に有効ですが、アンプ攻撃の踏み台利用防止には直接効果がありません。
A: DNSSECはDNS応答の改ざん防止に有効ですが、アンプ攻撃の踏み台利用防止には直接効果がありません。
関連キーワード: DNSアンプ攻撃, 再帰的問合せ, DDoS対策, DNSキャッシュサーバ, DNSSEC, サービス不能攻撃防止