HOME»ネットワークスペシャリスト掲示板»令和元年 午後2 問2
投稿する
合っております。
今回のように対処した理由は、フルリゾルバの方が狙われやすいという事情があったからだと思います。
フルリゾルバ(オープンリゾルバ)は、攻撃者の意図でレスポンスの増幅率の高い情報をコピーできるため、DNSリフレクタ攻撃の対象にされやすいという背景がありました。
コンテンツサーバは、送信元制御が難しいものの、レスポンスの増幅率は、管理者の裁量に依存するためフルリゾルバ(オープンリゾルバ)に比べ狙われるケースは少数です。
ただし、DNSSECやSPFの普及により、レスポンスの増幅率が増大するのでコンテンツサーバが狙われるケースは今後増加する思います。
なぜでしょうか。
オープンリゾルバは、端末からの再帰問い合わせで権威サーバから得られたレコードをキャッシュにコピーします。攻撃者が、大きいサイズのレスポンスを返す権威サーバを指定すれば、手軽にサイズの大きいレスポンスを返すDNSサーバ(キャッシュサーバ)が出来上がるからです。
権威サーバの場合、DNSクエリの応答は、レコードの種類ごとに決まっているため、権威サーバに対し攻撃者の意図で増幅させることはできません。例えば、dig(OPT)でtxtレコードを要求した場合、100バイト以内に収まるサーバもあれば、512バイトを超えるレスポンスを返すサーバもあります。前者は、レコードの記述が少ないため攻撃者の意図で大きいサイズのレスポンスを得ることはできません。
予め調べて対象の権威DNSサーバとレコード情報を得ているか、攻撃者がDNSサーバを用意していると思います。比較的記述の多いレコード(文字数が長い、複数行記述など)を指定すればレスポンスサイズは大きくなります。
»[0305] 令和元年度秋期 午後Ⅰ 問1 広告パケット 投稿数:4
»[0304] 平成21年秋期午前Ⅱ 問18 出題歴の追加依頼 投稿数:3
令和元年 午後2 問2 [0307]
ゆかさん(No.1)
文中に、「外部DNSサーバを、コンテンツサーバとして機能するDNSサーバ1と、フルリゾルバサーバとして機能するDNSサーバ2に分離すれば、踏み台にされる可能性は低くなる」
とあります。
構成の分離と、FWの設定変更によって、フルリゾルバサーバが踏み台にされる可能性はなくなると思います。
しかし、コンテンツサーバが踏み台にされる可能性はあると思うのですが、合っていますか?
踏み台にされる状況としては、
インターネットから送信元を偽造したクエリをコンテンツサーバに投げ、
FPサーバやメール転送サーバを攻撃する、
ということを考えています。
とあります。
構成の分離と、FWの設定変更によって、フルリゾルバサーバが踏み台にされる可能性はなくなると思います。
しかし、コンテンツサーバが踏み台にされる可能性はあると思うのですが、合っていますか?
踏み台にされる状況としては、
インターネットから送信元を偽造したクエリをコンテンツサーバに投げ、
FPサーバやメール転送サーバを攻撃する、
ということを考えています。
2023.02.15 18:28
hisashiさん(No.2)
★NW ゴールドマイスター
>構成の分離と、FWの設定変更によって、フルリゾルバサーバが踏み台にされる可能性はなくなると思います。
>しかし、コンテンツサーバが踏み台にされる可能性はあると思うのですが、合っていますか?
合っております。
今回のように対処した理由は、フルリゾルバの方が狙われやすいという事情があったからだと思います。
フルリゾルバ(オープンリゾルバ)は、攻撃者の意図でレスポンスの増幅率の高い情報をコピーできるため、DNSリフレクタ攻撃の対象にされやすいという背景がありました。
コンテンツサーバは、送信元制御が難しいものの、レスポンスの増幅率は、管理者の裁量に依存するためフルリゾルバ(オープンリゾルバ)に比べ狙われるケースは少数です。
ただし、DNSSECやSPFの普及により、レスポンスの増幅率が増大するのでコンテンツサーバが狙われるケースは今後増加する思います。
2023.02.19 09:23
ゆかさん(No.3)
ご回答ありがとうございます。
やはりそうなのですね。
一つ追加で質問させてください。
フルリゾルバ(オープンリゾルバ)は、攻撃者の意図でレスポンスの増幅率の高い情報をコピーできるとありますが、
なぜでしょうか。
問い合わせよりも応答のほうが大きくなるのは理解できるのですが、
どのようにして増幅率の高い情報を選択するのでしょうか。
>合っております。
>今回のように対処した理由は、フルリゾルバの方が狙われやすいという事情があったからだと思います。
やはりそうなのですね。
一つ追加で質問させてください。
フルリゾルバ(オープンリゾルバ)は、攻撃者の意図でレスポンスの増幅率の高い情報をコピーできるとありますが、
なぜでしょうか。
問い合わせよりも応答のほうが大きくなるのは理解できるのですが、
どのようにして増幅率の高い情報を選択するのでしょうか。
2023.02.22 08:06
hisashiさん(No.4)
★NW ゴールドマイスター
>フルリゾルバ(オープンリゾルバ)は、攻撃者の意図でレスポンスの増幅率の高い情報をコピーできるとありますが、
なぜでしょうか。
オープンリゾルバは、端末からの再帰問い合わせで権威サーバから得られたレコードをキャッシュにコピーします。攻撃者が、大きいサイズのレスポンスを返す権威サーバを指定すれば、手軽にサイズの大きいレスポンスを返すDNSサーバ(キャッシュサーバ)が出来上がるからです。
権威サーバの場合、DNSクエリの応答は、レコードの種類ごとに決まっているため、権威サーバに対し攻撃者の意図で増幅させることはできません。例えば、dig(OPT)でtxtレコードを要求した場合、100バイト以内に収まるサーバもあれば、512バイトを超えるレスポンスを返すサーバもあります。前者は、レコードの記述が少ないため攻撃者の意図で大きいサイズのレスポンスを得ることはできません。
>どのようにして増幅率の高い情報を選択するのでしょうか。
予め調べて対象の権威DNSサーバとレコード情報を得ているか、攻撃者がDNSサーバを用意していると思います。比較的記述の多いレコード(文字数が長い、複数行記述など)を指定すればレスポンスサイズは大きくなります。
2023.02.23 23:43
ゆかさん(No.5)
hisashiさん
お返事遅くなりました。
ご回答ありがとうございます。
これを知りませんでした。
納得いたしました。
ありがとうございます!
お返事遅くなりました。
ご回答ありがとうございます。
>権威サーバの場合、DNSクエリの応答は、レコードの種類ごとに決まっている
これを知りませんでした。
納得いたしました。
ありがとうございます!
2023.03.14 07:40
その他のスレッド
»[0306] 令和4年 午後1 問2 投稿数:5»[0305] 令和元年度秋期 午後Ⅰ 問1 広告パケット 投稿数:4
»[0304] 平成21年秋期午前Ⅱ 問18 出題歴の追加依頼 投稿数:3