DNS増幅攻撃|サイバーセキュリティ.com

DNS増幅攻撃

DNS増幅攻撃(DNS Amplification Attack)は、攻撃者がDNSサーバーを悪用してターゲットに対して大量のトラフィックを送り込む、分散型サービス拒否(DDoS)攻撃の一種です。この攻撃の目的は、ターゲットサーバーやネットワークを過剰なトラフィックで圧倒し、サービスを停止または遅延させることです。DNS増幅攻撃は、特にオープンリゾルバ(アクセス制限がなく、外部からのリクエストに応答するDNSサーバー)が悪用されるケースが多く、そのため被害が大規模化しやすいのが特徴です。

この攻撃の「増幅」という名称は、攻撃者が小さなリクエストを送信して、ターゲットに対しては何倍にも膨れ上がった応答を返す仕組みに由来しています。通常、攻撃者はターゲットのIPアドレスを偽装して、DNSサーバーに問い合わせを行い、その結果として大きなデータの応答をターゲットに送りつける形で攻撃を実行します。

DNS増幅攻撃の仕組み

DNS増幅攻撃がどのように行われるのか、その基本的な流れを説明します。

攻撃者が小さなリクエストを送信:

攻撃者は、通常数バイト程度の小さなDNSクエリをオープンリゾルバに送信します。このリクエストでは、ターゲットのIPアドレスが送信元として偽装されています。
この偽装により、DNSサーバーは応答をターゲットのIPアドレスに返すことになります。
大きな応答の送信:

DNSサーバーはリクエストに対して大きなサイズの応答を返します。DNSの応答は、場合によってはリクエストの数十倍から数百倍の大きさになることがあります。
この大きな応答がターゲットに送信され、結果としてターゲットに過剰なトラフィックが集中することになります。
ターゲットへの過負荷:

複数のオープンリゾルバを利用して大量のリクエストを送信することで、ターゲットサーバーやネットワークに大量の応答が押し寄せ、サービスが停止または性能が著しく低下します。

DNS増幅攻撃の特徴とリスク

DNS増幅攻撃にはいくつかの特徴やリスクが存在します。

増幅効果による大規模な被害

小さなリクエストに対して非常に大きな応答を生成する増幅効果により、攻撃者は少ない労力で大規模な攻撃を実行できます。この特性が、ネットワークに深刻な負荷を与えることにつながります。

オープンリゾルバの悪用

DNS増幅攻撃は、特にアクセス制限が設けられていないオープンリゾルバが悪用されることで効果を発揮します。これらのリゾルバは、誰でもアクセスできるため、攻撃者にとって利用しやすい環境を提供してしまいます。

送信元の偽装による追跡困難性

攻撃者は送信元IPアドレスを偽装して攻撃を行うため、攻撃の追跡や特定が困難です。このため、実際に攻撃を受けているターゲット以外にも、無関係な第三者が攻撃の影響を受ける可能性があります。

DNS増幅攻撃の対策

DNS増幅攻撃を防ぐためには、ネットワーク管理者やISP、DNSサーバーの管理者が以下の対策を講じることが重要です。

オープンリゾルバの制限

オープンリゾルバを閉じるか、アクセスを特定のIPアドレスや信頼されたネットワークに限定することで、不特定多数からのリクエストを受け付けないようにします。これにより、攻撃者がリゾルバを悪用するのを防ぎます。

DNSリクエストのレートリミッティング

DNSサーバーが一定の時間内に受け取るリクエストの数を制限することで、過剰なリクエストに対する応答を抑制し、攻撃の影響を軽減することができます。

DNSSECの導入

DNSSEC(DNS Security Extensions)は、DNS応答にデジタル署名を付与することで、DNS情報の改ざんを防ぐ技術です。これにより、DNS応答の信頼性を高めることができますが、DNS増幅攻撃そのものを完全に防ぐわけではありません。

送信元IPアドレスの検証

ISPやネットワーク管理者は、送信元IPアドレスの検証(送信元アドレス検証)を行うことで、送信元IPの偽装を防ぐことができます。これにより、攻撃者が偽装したIPアドレスを使用して攻撃を行うのを抑制することが可能です。

ファイアウォールや侵入防止システム(IPS)の活用

ファイアウォールやIPSを活用して、特定の種類のトラフィックをブロックすることで、DNS増幅攻撃の影響を軽減できます。また、異常なトラフィックを検知してアラートを出すことも効果的です。

まとめ

DNS増幅攻撃は、オープンリゾルバを悪用してターゲットに対して大規模なDDoS攻撃を行う手法であり、小さなリクエストを大量の応答に変換する増幅効果を活用することが特徴です。この攻撃は、ネットワークに深刻な負荷をかけ、サービスの停止や遅延を引き起こす可能性があります。対策としては、オープンリゾルバの制限、レートリミッティング、DNSSECの導入、送信元IPアドレスの検証などが有効です。これらの対策を講じることで、DNS増幅攻撃のリスクを低減し、ネットワークのセキュリティを強化することが可能です。


SNSでもご購読できます。