1. 攻撃/DDoS/水責め
権威DNSサーバーを狙った攻撃(だと考えられている)
DNS水責め(Water Torture)攻撃対策と動向について 2016
https://jprs.jp/related-info/guide/021.pdf
ランダムなサブドメイン(名)を問い合わせる。(キャッシュが効果を発揮できない)
- 特定のドメインの権威DNSサーバに対する攻撃だと考えられている。
- オープンリゾルバー状態のサーバー(ホームルータ)などを攻撃の道具に使う。
キャッシュDNSサーバにも影響がでた。(副作用)
- この場合、外部からは毒盛と区別するのは難しいか。攻撃を受けたサーバで調べるのが簡単だ。 キャッシュにないレコードの処理はリゾルバーにとっては重いらしい。
リフレクション攻撃は返答を多数受け取ることで、リゾルバーがDDoS状態になるのか。
違いが区別できていない。https://jprs.jp/tech/notice/2013-04-18-reflector-attacks.html リゾルバーキャッシュに巨大な返答を保持させ、攻撃対象からの問い合わせを騙って、攻撃する。
つまり、攻撃対象になんらかの「返答」を送らせること。
JPRSはDNS Reflector Attacks(DNSリフレクター攻撃)と呼んでいる。
Water Torture = 水責
おかしな説明だ。
水責め攻撃ではランダムなサブドメインを付加することでキャッシュ機能を無効化し
キャッシュにないサブドメイン名を次々と問い合わせることで、 (リゾルバーに)権威サーバへの問い合わせを発生させる。
http://it.hpeo.jp/entry/sc/28h/a202
DNS水責め攻撃の概要
DNS水責め攻撃は以下の手順で行われます。
- 攻撃者はBotnet(攻撃の踏み台)に対し、リストに掲載されているオープンリゾルバーに、攻撃対象ドメイン名のランダムなサブドメインを DNS 問い合わせするように指令します。
- 各BotからのDNS問い合わせは、規制を回避する低い頻度で送られますが、台数が大量であると、各オープンリゾルバーには 大量の問い合わせが到達します。
- 問い合わされた名前はキャッシュに存在しないので、毎回権威DNSサーバーへの問い合わせが発生します。ホームルーターの場合は、ISPのキャッシュDNSサーバーに問い合わせが転送されます。
- 攻撃対象の権威DNSサーバー、またはISPのキャッシュDNSサーバーに問い合わせが集中します。その結果、これらのサーバーが過負荷となり、サービス不能の状態に陥ります。
2. 対策
あるISPはIP53Bを実施した。
- 配下の意図しないオープンリゾルバーがISP外部から利用されることを防げる。
- 配下に発生源があると、防げない。w
リゾルバーでRRLを採用するという防衛も考えられる。
-- ToshinoriMaeno 2016-09-15 07:13:28
権威サーバーに対する攻撃緩和の効果は限定的。(攻撃に加担しないで済む)
応答のないNSへの通信を抑制, ThreatAvert (Nominum Vantio)
BIND 9.9.9
- 権威DNSへの通信を制御することで、キャッシュDNSのリソース枯渇を軽減することが可能
3. 外部で観察していて、判別できるのか
攻撃を受けているゾーンサーバは問い合わせ元を分析すればいいが、
第三者が「水責め」だと判断できるとしたら、どういう根拠だろう。
-- ToshinoriMaeno 2016-11-19 02:50:32