DNS/攻撃/amp攻撃 - moin.qmail.jp

DNS/amp攻撃について、ここに記述してください。

以下のような条件が書いてあります。

 （1）送信元IPアドレスの詐称による攻撃が可能である

 （2）リフレクターとなり得るサーバーが数多く存在する

 （3）リフレクターによる増幅率が高い

1. DNSを利用した場合

オープンリゾルバーがリフレクターとして条件をみたします。

（1）オープンリゾルバーを用いたDNSリフレクター攻撃

    オープンリゾルバーは不適切な設定内容やデフォルト設定の不備などの理
    由により本来必要となるアクセスコントロールが実施されておらず、イン
    ターネット上のどこからの名前解決要求であっても実行してしまう状態に
    なってしまっているキャッシュDNSサーバーのことをいいます。

不適切な設定と決めつけるのは間違いです。

以下の部分がオープンリゾルバーが非難される理由のひとつでしょう。

オープンリゾルバーに名前解決要求を送信し、応答をキャッシュしておきます。
  この際、応答のサイズができるだけ大きくなる問い合わせパターン（*3）を使用し、攻撃の効率を高めることが一般的です。

だが大きな返事をするゾーンサーバも問題だ。

オープンリゾルバーほど数がないのか。調べるのも手間だから問題にされていないのだろう。対策としては DNS Response Rate Limiting（DNS RRL）が提案されている。

もし、オープンリゾルバーが「根絶」されるようなことが起きるなら、そのときにはゾーンサーバがamp攻撃に使われるであろう。

-- ToshinoriMaeno 2013-10-22 16:41:08