自社サーバーが攻撃を受けてパンクしてしまうと、最悪の場合、業務停止などの事態におちいりかねません。そのようなサイバー攻撃は数多くありますが、その一つに「DNSリフレクション」があります。
ここではDNSリフレクションの概要やその対策について説明します。
また、企業でサーバー攻撃や不正アクセスなどが発生した際に、適切な対応を促す「インシデント管理台帳」を無料で配布しています。
DNSリフレクション攻撃とは
DNSリフレクション攻撃とは「DDoS攻撃」の一種で、UDP通信とDNSサーバーの特性を悪用し、標的のコンピューター(サーバー等)をダウンさせるものです。
名称の由来はDNSサーバーは照会を受けると即座に(反射的に[リフレクション])応答しますが、その特徴を逆手に取って攻撃に悪用していることから名づけられました。
被害者は突然DNSサーバーから大量にパケットを送りつけられ、システムダウンに見舞われます。攻撃者は偽装したIPアドレスを使用するため犯人の特定も困難です。
DDoS攻撃とは
ここで、DDoS攻撃について軽く説明します。
DDoS攻撃は無数のボットネット(マルウエアに感染した通信機器)が一斉に攻撃してくるDoS攻撃(サービス不能攻撃)です。攻撃者とは無関係な多数の通信端末を踏み台にして攻撃することから、DDoS攻撃は「分散型サービス不能攻撃」とも称されます。
世界中のIoT機器を多数巻き込み、通常では考えにくい膨大なデータを送信できることから、どんなに大規模なサーバーでも処理不能におちいってしまいます。
DNSリフレクション攻撃の仕組み
DNSリフレクション攻撃は、IPアドレスを偽装してDNSサーバーに照会を多数行い、大量の応答結果を被害者の元に送りつけるものです。ここではその仕組みをさらに詳しく説明します。
DNSリフレクション攻撃に関係する主な要素は以下の3つです。
- UDP
- IP偽装をしやすい通信プロトコル
- ボットネット
- マルウェアに感染した通信機器
- DNSサーバー
- DNS照会に即応答する専用サーバー
DNSリフレクション攻撃は攻撃者が無数のボットネット(IoT端末やホームルーター等)に指令を出し、UDP通信を使ってDNSサーバーにDNSの照会リクエストを一斉に行います。
DNSサーバーは偽装IPアドレス(被害者)宛てに照会結果をすぐに送信するため、短時間に予期しない膨大なパケットが送り込まれてシステムがダウンします。
しかもDNSサーバーの応答データが大きくなるような偽装リクエストをすることも多々あります。このようにデータを増幅させて高負荷を与える攻撃は「アンプ攻撃」ともいわれます。
DNSリフレクション攻撃のタイプ
DNSリフレクション攻撃には2つのタイプがあり、踏み台に使われるDNSサーバーの種類により区分されます。
オープンリゾルバを介したDNSリフレクション攻撃
典型的なDNSリフレクション攻撃として古くから知られているのが「オープンリゾルバ」を介した攻撃です。オープンリゾルバとは適切なアクセス制御がなされておらず、インターネットに開放されているDNS機器(DNSキャッシュサーバー等)のことです。
インターネットに接続する機器は何であれ、アクセス制御のセキュリティ設定を行うべきですが、たとえばLANのDNS機器のアクセスをLAN内に限定せず、インターネットに開放してしまうと、誰でもDNSのリクエストを送れてしまいます。すなわち、DNSリフレクション攻撃の踏み台に利用される恐れがあります。
攻撃者はIPを偽装し、このようなオープンリゾルバを多数利用して大量にDNS照会を行い、その応答結果を攻撃対象に送らせます。しかも、あらかじめデータ量の大きい応答履歴をオープンリゾルバにキャッシュとして溜めさせ、高頻度の照会リクエストによる応答の送信で一気にシステムダウンに追い込みます。
権威DNSサーバーを介したDNSリフレクション攻撃
オープンリゾルバとは全く意を異にしますが、広く開放されているDNSサーバーとして「権威DNSサーバー」があり、これを悪用したDNSリフレクション攻撃も存在します。
DNS照会では、いくつものDNSサーバーを経由し、最終的にはドメイン情報を管理する「権威DNSサーバー」に行き着いて回答がフィードバックされます。
権威DNSサーバーは広く外部からの問い合わせに応答する責務があるため、結果的にDNSリフレクション攻撃の経由地ともなります。しかもインターネットドメインは世界に無数にあり、攻撃者がリソースとする権威DNSサーバーも大量に存在します。
権威DNSサーバーを介した攻撃は、旧来のオープンリゾルバを介した攻撃と同様の手口をとりますが、威力はやや弱まります。応答データが大きくなるような問い合わせを行い、高い負荷を与えるアンプ攻撃も同じく存在します。
DNSリフレクション攻撃の対策
DNSリフレクション攻撃の対策のポイントは2つです。
- 攻撃対象となった場合、もしくは攻撃リスクの削減
- 所有リソースを踏み台もしくは加害者にしない
万一攻撃対象になった場合だけでなく、自社管理のサーバーが加害することがないよう、あらかじめ対処しておきましょう。
防御または攻撃リスクの軽減対策
DNSリフレクション攻撃のリスクを低減したり、万一の攻撃にも対抗できる各種の方法を紹介します。
通信に使っていないポートは閉じる
インターネットの利用にあたり、不必要なポートは閉鎖するのがリスク対策の基本です。攻撃者からすれば外部からアクセス可能なポートの数が多いほど攻撃経路が増えることになります。ポートの利用状況をいま一度確認し、使っていないポートがあれば無効にして攻撃を受けるリスクを下げましょう。
レートリミットを設定する
レートリミットは送信元や送信先を対象とする利用制限措置です。一定の利用基準を超えて、アクセスや通信、データ送信のリクエストをしてくる場合に特定の措置を行います。特に送信元に対するレートリミットはDNSリフレクション攻撃のようなDDoS攻撃を緩和します。
なおレートリミットはこちらが応答を返す送信先に関して無差別に適用されるため、何らかのサービス提供者であるならば、システムダウン回避の最終手段として考えます。レートリミットの適用により、過剰なリクエストを要求してくるIPアドレスの一時ブロックが可能です。
IPレピュテーションを活用してブロック
IPレピュテーションを活用し、DNSリフレクション攻撃の踏み台になっている恐れがある脆弱なサーバーをあらかじめブロックします。IPレピュテーションとはIPアドレスの信頼性を評価・共有したもので、それにもとづいて通信制限を実施し、さまざまなリスクを回避・低減します。
所有リソースの管理対策
最後に、サーバーなど所有するリソースをDNSリフレクション攻撃に加担させないための対処法を紹介します。
オープンリゾルバの使用禁止
攻撃者に悪用されるオープンリゾルバを排除するため、インターネットに接続するネットワーク機器には必ずアクセス制御の設定を行います。そうすれば偽装IPアドレス宛てに応答を返すこともなくなり、DNSリフレクション攻撃の発生を防げます。
家庭用のWi-FiルータでもDNSサーバ機能を搭載しているモデルを使っているならば、オープンリゾルバの挙動を起こさせないよう留意します。
権威DNSサーバーとキャッシュDNSサーバーの運用を分ける
権威DNSサーバーとキャッシュDNSサーバーを兼務させず、運用を分けることでリスクを下げます。
キャッシュDNSサーバーは基本的にネットワーク内のDNS照会に対応するもので、権威DNSサーバーと兼務させインターネットに開放してしまってはオープンリゾルバと同様の状態になってしまいます。インターネットからの自由なDNS照会をさせないのが、DNSリフレクション攻撃の踏み台対策となります。
DNSリクエストの送信元を検証
DNSリフレクション攻撃は、被害者のIPアドレスの詐称が可能とならなければ成立しません。つまり、不正な送信元IPアドレスによるDNSリクエストに応答しなければよいのです。それには送信元が不正なIPアドレスを使用していないか、ネットワーク機器が検証を行う設定をして、根本的な防止ができるようにします。
まとめ
DNSリフレクション攻撃はDDoS攻撃の一種で、ネットワーク機器の設定・管理によって対策が可能です。万一の攻撃対策はもちろん、自社のリソースが踏み台とならないために管理を怠らぬようにしましょう。
