情報処理安全確保支援士_DNS
- DNS
ルートゾーンを起点としたツリー構造を持つ、世界中に存在する多数のサーバが強調しあって動作する分散データベースである。
このサーバ群にアクセスすることで、ホスト名からIPアドレスを検索したりすることができる。
- 権威DNSサーバ
自身が管理している情報を教える役割をもつDNSサーバであり、DNSの分散データベースを構成するサーバである。
- DNSリフレクション攻撃
攻撃対象者をサービス不能にするDoS (Denial of Service)攻撃手法のうち、 DNSを用いて行われるものである。
攻撃者は、DNSへの問い合わせメッセージ中にある送信元IPアドレスを、 本来の送信元ではなく攻撃対象ホストのIPアドレスに偽装し、 踏み台となる(攻撃対象とは異なる)DNSサーバに問い合わせを送る。受け取った踏み台サーバは、回答先として攻撃者ではなく、DNSメッセージ中のIPアドレス、 つまり攻撃対象のホストに対して回答を送信する。こうすることで、攻撃者は自分のホストからではなく、 踏み台を経由して攻撃対象にDNSメッセージを送ることができる。
BCP 38のようなIPアドレスの偽装をしにくくする手段を各ISPが採用する、 また、オープンリゾルバのような踏み台になりやすいDNSサーバを減らすといった方法で攻撃を軽減できる。
- DNS増幅攻撃(DNS amplification attack)
DNSではプロトコルの性質である、 メッセージのサイズは問い合わせよりも回答の方が大きくなりやすいことを利用して、 攻撃者の利用できる帯域よりも大量のトラフィックを、 攻撃対象に対し容易に集中させる攻撃である。DNSリフレクション攻撃の一種である。
- Water Torture(水責め)
DNSにランダムなサブドメインを含む問い合わせを行い、 帯域をあまり消費せずに攻撃対象の権威サーバに負荷をかける攻撃である。
- DNSの各レコードについて
参考URLを参照すると詳しく書いてある。
- 参考URL
