ホーム > 情報処理安全確保支援士試験 > 2015年 春期
情報処理安全確保支援士試験 2015年 春期 午前2 問15
DNSの再帰的な問合せを使ったサービス不能攻撃(DNSamp攻撃)の踏み台にされることを防止する対策はどれか。
ア:DNSキャッシュサーバとコンテンツサーバに分離し,インターネット側からDNSキャッシュサーバに問合せできないようにする。(正解)
イ:問合せがあったドメインに関する情報をWhoisデータベースで確認する。
ウ:一つのDNSレコードに複数のサーバのIPアドレスを割り当て、サーバへのアクセスを振り分けて分散させるように設定する。
エ:他のDNSサーバから送られてくるIPアドレスとホスト名の対応情報の信頼性を,ディジタル署名で確認するように設定する。
解説
DNSの再帰的な問合せを使ったサービス不能攻撃(DNSamp攻撃)の踏み台にされることを防止する対策【午前2 解説】
要点まとめ
- 結論:DNSキャッシュサーバとコンテンツサーバを分離し、インターネット側からDNSキャッシュサーバへの問合せを遮断することが有効です。
- 根拠:DNSamp攻撃は再帰的な問合せを悪用し、踏み台となるDNSサーバから大量の応答を被害者に送らせる攻撃であり、再帰的問合せを制限することで防止できます。
- 差がつくポイント:DNSの再帰的問合せの仕組みと攻撃の特徴を理解し、どの設定が攻撃の踏み台を防ぐかを正確に判断することが重要です。
正解の理由
ア: DNSキャッシュサーバとコンテンツサーバに分離し,インターネット側からDNSキャッシュサーバに問合せできないようにする。
DNSamp攻撃は、再帰的問合せを許可したDNSサーバを踏み台にして大量の応答を被害者に送る攻撃です。再帰的問合せを外部から受け付けないように設定することで、攻撃に利用されるリスクを大幅に減らせます。DNSキャッシュサーバを内部向けに限定し、外部からの再帰的問合せを遮断することが最も効果的な対策です。
DNSamp攻撃は、再帰的問合せを許可したDNSサーバを踏み台にして大量の応答を被害者に送る攻撃です。再帰的問合せを外部から受け付けないように設定することで、攻撃に利用されるリスクを大幅に減らせます。DNSキャッシュサーバを内部向けに限定し、外部からの再帰的問合せを遮断することが最も効果的な対策です。
よくある誤解
DNSamp攻撃の防止策として、Whois情報の確認やDNSレコードの分散設定は効果がありません。ディジタル署名はDNSSECの話であり、攻撃の踏み台防止とは直接関係しません。
解法ステップ
- DNSamp攻撃の仕組みを理解する(再帰的問合せを悪用する攻撃)。
- 再帰的問合せを許可するDNSサーバが攻撃の踏み台になることを認識する。
- 再帰的問合せを外部から受け付けない設定が有効であることを確認する。
- 選択肢の中で再帰的問合せを制限する設定を選ぶ。
- アの「DNSキャッシュサーバとコンテンツサーバの分離と外部からの問合せ遮断」が該当する。
選択肢別の誤答解説
- イ: Whoisデータベースはドメイン登録情報の確認に使うもので、DNSamp攻撃の踏み台防止には無関係です。
- ウ: DNSレコードに複数IPを割り当てるのは負荷分散の手法であり、攻撃踏み台の防止には効果がありません。
- エ: ディジタル署名はDNSSECの機能であり、DNS応答の改ざん防止には有効ですが、再帰的問合せを悪用した攻撃の踏み台防止とは異なります。
補足コラム
DNSamp攻撃はDDoS攻撃の一種で、攻撃者は小さな問合せを踏み台DNSサーバに送ることで、大量の応答を被害者に送りつけます。再帰的問合せを外部に開放しないことが最も基本的な防御策です。DNSサーバの設定で「再帰的問合せを内部ネットワークのみに限定する」ことが推奨されています。
FAQ
Q: DNSの再帰的問合せとは何ですか?
A: DNSサーバが問い合わせを受けた際、自身で解決できない場合に他のDNSサーバに問い合わせて結果を返す機能です。
A: DNSサーバが問い合わせを受けた際、自身で解決できない場合に他のDNSサーバに問い合わせて結果を返す機能です。
Q: DNSamp攻撃はどのように防げますか?
A: 再帰的問合せを外部から受け付けない設定にし、踏み台にされるDNSサーバを減らすことが効果的です。
A: 再帰的問合せを外部から受け付けない設定にし、踏み台にされるDNSサーバを減らすことが効果的です。
関連キーワード: DNSamp攻撃, 再帰的問合せ, DNSキャッシュサーバ, DDoS攻撃, DNSセキュリティ