送信元のIPアドレスを偽装して大量の問い合わせをDNSサーバーに送り、応答を偽装したIPへ送り付け、サービス不能に陥らせる攻撃
DNSリフレクター攻撃(英:DNS Reflector Attacks)は、インターネットで名前解決に用いられる「DNSサーバー」を悪用するサイバー攻撃の一種。
DNSサーバーは、クライアントの問い合わせに対してドメイン名の解決を行って応答するが、応答する内容が、問い合わせ時よりデータのサイズが大きくなり、さらにリクエスト元のIPアドレスが偽装できる特性を悪用し、攻撃対象に大量のデータを送り付ける。「DNSリフレクション攻撃」「DNSアンプ攻撃」とも呼ばれている。
こうした攻撃は、アクセス制限を行わず、インターネット経由でどこからの問い合わせに対しても応答してしまう「オープンリゾルバ」として運用されているキャッシュDNSサーバーが悪用されるケースが多い。
一方権威DNSサーバーは、キャッシュDNSサーバーのようにリクエストを受け付ける範囲を限定できないため、対策が難しいという問題がある。
影響
ボットネットを利用し、大量の通信データを送り付けるDDoS攻撃が行われる恐れがある。攻撃はDNSサーバーを中継して間接的に行われるため、攻撃の真の実行者を特定するのが難しい。
攻撃対象になるだけでなく、管理しているDNSサーバーやネットワーク機器に対して設定を正しくしておらず、オープンリゾルバの状態にある場合、攻撃の踏み台に悪用され、攻撃に加担してしまう可能性もある。
主な感染/被害の流れ
- ボットからオープンリゾルバとして動作するDNSサーバーに不正なリクエストを一斉送信→大量のトラフィックが集中しサービス停止
- 利用しているDNSサーバーがオープンリゾルバの状態→攻撃の踏み台に悪用され加害者に
- オープンリゾルバとなっているDNSサーバーが踏み台に悪用される→処理増加により運用障害
主な対策と注意点
被害を低減するための対策
- 被害を受けた場合の対応手順をあらかじめ策定しておく
加害者にならないための対策
- DNSサーバーやネットワーク機器、サーバーなどがオープンリゾルバになっていないかを確認する
- 送信元IPアドレスを偽装したデータを送信できないようネットワークで送信元検証を適用する
- 権威DNSサーバーにおける対策技術「DNS RRL」の導入を検討する
攻撃を受けた場合、自組織だけの対応では難しく、インターネット利用者が、加害者にならないための対策を進めていくことが重要。オープンリゾルバは、DNSキャッシュポイズニング攻撃など、他のサイバー攻撃に悪用される恐れもある。
