令和元年 午後2 問2

ゆかさん  
(No.1)
文中に、「外部DNSサーバを、コンテンツサーバとして機能するDNSサーバ1と、フルリゾルバサーバとして機能するDNSサーバ2に分離すれば、踏み台にされる可能性は低くなる」
とあります。

構成の分離と、FWの設定変更によって、フルリゾルバサーバが踏み台にされる可能性はなくなると思います。
しかし、コンテンツサーバが踏み台にされる可能性はあると思うのですが、合っていますか?

踏み台にされる状況としては、
インターネットから送信元を偽造したクエリをコンテンツサーバに投げ、
FPサーバやメール転送サーバを攻撃する、
ということを考えています。
2023.02.15 18:28
hisashiさん 
NW ゴールドマイスター
(No.2)
>構成の分離と、FWの設定変更によって、フルリゾルバサーバが踏み台にされる可能性はなくなると思います。
>しかし、コンテンツサーバが踏み台にされる可能性はあると思うのですが、合っていますか?

合っております。
今回のように対処した理由は、フルリゾルバの方が狙われやすいという事情があったからだと思います。

フルリゾルバ(オープンリゾルバ)は、攻撃者の意図でレスポンスの増幅率の高い情報をコピーできるため、DNSリフレクタ攻撃の対象にされやすいという背景がありました。
コンテンツサーバは、送信元制御が難しいものの、レスポンスの増幅率は、管理者の裁量に依存するためフルリゾルバ(オープンリゾルバ)に比べ狙われるケースは少数です。
ただし、DNSSECやSPFの普及により、レスポンスの増幅率が増大するのでコンテンツサーバが狙われるケースは今後増加する思います。
2023.02.19 09:23
ゆかさん  
(No.3)
ご回答ありがとうございます。

>合っております。
>今回のように対処した理由は、フルリゾルバの方が狙われやすいという事情があったからだと思います。
やはりそうなのですね。

一つ追加で質問させてください。
フルリゾルバ(オープンリゾルバ)は、攻撃者の意図でレスポンスの増幅率の高い情報をコピーできるとありますが、
なぜでしょうか。
問い合わせよりも応答のほうが大きくなるのは理解できるのですが、
どのようにして増幅率の高い情報を選択するのでしょうか。
2023.02.22 08:06
hisashiさん 
NW ゴールドマイスター
(No.4)
>フルリゾルバ(オープンリゾルバ)は、攻撃者の意図でレスポンスの増幅率の高い情報をコピーできるとありますが、
なぜでしょうか。

オープンリゾルバは、端末からの再帰問い合わせで権威サーバから得られたレコードをキャッシュにコピーします。攻撃者が、大きいサイズのレスポンスを返す権威サーバを指定すれば、手軽にサイズの大きいレスポンスを返すDNSサーバ(キャッシュサーバ)が出来上がるからです。


権威サーバの場合、DNSクエリの応答は、レコードの種類ごとに決まっているため、権威サーバに対し攻撃者の意図で増幅させることはできません。例えば、dig(OPT)でtxtレコードを要求した場合、100バイト以内に収まるサーバもあれば、512バイトを超えるレスポンスを返すサーバもあります。前者は、レコードの記述が少ないため攻撃者の意図で大きいサイズのレスポンスを得ることはできません。


>どのようにして増幅率の高い情報を選択するのでしょうか。 

予め調べて対象の権威DNSサーバとレコード情報を得ているか、攻撃者がDNSサーバを用意していると思います。比較的記述の多いレコード(文字数が長い、複数行記述など)を指定すればレスポンスサイズは大きくなります。
2023.02.23 23:43
ゆかさん 
(No.5)
hisashiさん

お返事遅くなりました。
ご回答ありがとうございます。

>権威サーバの場合、DNSクエリの応答は、レコードの種類ごとに決まっている
これを知りませんでした。
納得いたしました。

ありがとうございます!
2023.03.14 07:40

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの書込みはできません。

その他のスレッド


Pagetop