攻撃と脅威
DNS 増幅攻撃
定義
オープンな DNS リゾルバを悪用するリフレクション DDoS。被害者の IP を詐称した小さなクエリで、リゾルバから大きな応答を被害者へ送り付ける。
DNS 増幅攻撃では、攻撃者は送信元 IP を被害者に詐称した UDP DNS クエリ(通常 ANY、TXT、DNSSEC レコードなど大きな応答を生む種類)を、多数のオープンまたは設定不備の再帰リゾルバへ送信します。リゾルバはクエリより遥かに大きな応答を被害者へ返し、攻撃帯域は 50 倍以上に膨らむことも珍しくありません。集約された応答は被害者の回線や上流回線を簡単に飽和させます。緩和策には、オープンリゾルバの閉鎖、Response Rate Limiting(RRL)、ネットワーク端での送信元アドレス検証(BCP 38)、Anycast DNS と DDoS スクラビングの利用、そして可能な範囲で過度に大きな EDNS/DNSSEC 応答を避ける運用などがあります。
例
- 攻撃者が数千のオープンリゾルバへ ANY クエリを送り、各クエリが数 KB の応答を生成して被害者へ集中させる。
- Mirai 系ボットネットがオープン再帰リゾルバとして動作する家庭用 CPE を悪用し、数百 Gbps の DNS 増幅攻撃を発動する。
関連用語
DDoS 増幅攻撃
UDP ベースのサービスを悪用し、偽装したリクエストに対して桁違いに大きな応答を反射させ、小規模な攻撃者でも大量のトラフィックを生成可能にする DDoS 技法。
分散型サービス妨害攻撃 (DDoS)
多数の分散した送信元から同時に行うサービス妨害攻撃。通常はボットネットを用い、標的の帯域・インフラ・アプリを圧倒する。
NTP 増幅攻撃
NTP の MONLIST などのコマンドを悪用したリフレクション DDoS。NTP サーバーから詐称された被害者宛に極めて大きなパケットを返させる。
DNS スプーフィング
偽造した DNS 応答を注入し、正規ドメインへの問い合わせを攻撃者管理の IP アドレスへ誘導する攻撃。
IP スプーフィング
ネットワークパケットの送信元 IP を偽装し、他ホストへのなりすまし、フィルタ回避、DoS 増幅に利用する攻撃。
DNSSEC
DNS のゾーンデータを暗号署名する拡張仕様で、リゾルバが応答の真正性と完全性を検証できるようにする。