メインコンテンツへジャンプする

JPNICはインターネットの円滑な運営を支えるための組織です
文字サイズ:
プリント用ページ

DNSリフレクション攻撃/DNS増幅攻撃/DNS水責め攻撃とは

DNSリフレクション攻撃(DNS reflection attack)とは、 攻撃対象者をサービス不能にするDoS (Denial of Service)*1攻撃手法のうち、 その名の通りDNSを用いて行われるものです。

攻撃者は、DNSへの問い合わせメッセージ中にある送信元IPアドレスを、 本来の送信元ではなく攻撃対象ホストのIPアドレスに偽装し、 踏み台となる(攻撃対象とは異なる)DNSサーバに問い合わせを送ります。 受け取った踏み台サーバは、回答先として攻撃者ではなく、DNSメッセージ中のIPアドレス、 つまり攻撃対象のホストに対して回答を送信します。 こうすることで、攻撃者は自分のホストからではなく、 踏み台を経由して攻撃対象にDNSメッセージを送ることができます。 この一連の動作を、DNSリフレクション攻撃と呼びます。 また、この動作を利用し、多数の踏み台を用意してDNSメッセージを送ることで、 攻撃対象のホストやネットワークに大きな負荷をかけることができます。

さらに、DNSではプロトコルの性質上、 メッセージのサイズは問い合わせよりも回答の方が大きくなりやすいため、 攻撃者の利用できる帯域よりも大量のトラフィックを、 攻撃対象に対し容易に集中させることができます。 この攻撃はDNSリフレクション攻撃の一種ですが、 DNS増幅攻撃(DNS amplification attack)とも呼ばれています。

DNSリフレクション攻撃の他にも、DNSにランダムなサブドメインを含む問い合わせを行い、 帯域をあまり消費せずに攻撃対象の権威サーバに負荷をかける、 Water Torture(水責め)*2と呼ばれる攻撃も近年観測されています。

DNSリフレクション攻撃の軽減策としては、 BCP 38*3のようなIPアドレスの偽装をしにくくする手段を各ISPが採用する、 また、オープンリゾルバ*4のような踏み台になりやすいDNSサーバを減らすといった方法がありますが、 確実とは言えないのが現状です。

*1 インターネット用語1分解説「DDoSとは」
  https://www.nic.ad.jp/ja/basics/terms/ddos.html

*2 Water Torture: A Slow Drip DNS DDoS Attack
  https://blog.secure64.com/?p=377

*3 BCP 38 - Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing
  https://tools.ietf.org/html/bcp38

*4 オープンリゾルバ(Open Resolver)に対する注意喚起
  https://www.nic.ad.jp/ja/dns/openresolver/

JPNIC News & Views vol.1449(2016年11月15日発行)より

このページを評価してください

このWebページは役に立ちましたか?
ページの改良点等がございましたら自由にご記入ください。

このフォームをご利用した場合、ご連絡先の記入がないと、 回答を差し上げられません。 回答が必要な場合は、お問い合わせ先をご利用ください。