DNS 増幅攻撃
DNS 増幅攻撃 とは何ですか?
DNS 増幅攻撃オープンな DNS リゾルバを悪用するリフレクション DDoS。被害者の IP を詐称した小さなクエリで、リゾルバから大きな応答を被害者へ送り付ける。
DNS 増幅攻撃では、攻撃者は送信元 IP を被害者に詐称した UDP DNS クエリ(通常 ANY、TXT、DNSSEC レコードなど大きな応答を生む種類)を、多数のオープンまたは設定不備の再帰リゾルバへ送信します。リゾルバはクエリより遥かに大きな応答を被害者へ返し、攻撃帯域は 50 倍以上に膨らむことも珍しくありません。集約された応答は被害者の回線や上流回線を簡単に飽和させます。緩和策には、オープンリゾルバの閉鎖、Response Rate Limiting(RRL)、ネットワーク端での送信元アドレス検証(BCP 38)、Anycast DNS と DDoS スクラビングの利用、そして可能な範囲で過度に大きな EDNS/DNSSEC 応答を避ける運用などがあります。
● 例
- 01
攻撃者が数千のオープンリゾルバへ ANY クエリを送り、各クエリが数 KB の応答を生成して被害者へ集中させる。
- 02
Mirai 系ボットネットがオープン再帰リゾルバとして動作する家庭用 CPE を悪用し、数百 Gbps の DNS 増幅攻撃を発動する。
● よくある質問
DNS 増幅攻撃 とは何ですか?
オープンな DNS リゾルバを悪用するリフレクション DDoS。被害者の IP を詐称した小さなクエリで、リゾルバから大きな応答を被害者へ送り付ける。 サイバーセキュリティの 攻撃と脅威 カテゴリに属します。
DNS 増幅攻撃 とはどういう意味ですか?
オープンな DNS リゾルバを悪用するリフレクション DDoS。被害者の IP を詐称した小さなクエリで、リゾルバから大きな応答を被害者へ送り付ける。
DNS 増幅攻撃 からどのように防御しますか?
DNS 増幅攻撃 に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。