DNS攻撃の原理と防止策

インターネットが徐々に普及するにつれ、ネットワーク セキュリティは事実上インターネットの焦点となりました。これは、インターネットのさらなる発展と普及、さらにはインターネットの存続に関係しています。幸いなことに、当社のインターネット専門家は大多数のインターネット ユーザーを失望させておらず、ネットワーク セキュリティ技術は引き続き登場し、大多数のインターネット ユーザーと企業にさらなる安心感を与えています。以下は、ネットワーク セキュリティの主要な技術の紹介であり、ネットワーク セキュリティの観点から、インターネット ユーザーと企業にネットワーク セキュリティ ソリューションの参考資料を提供することを目的としています。

DNSの仕組み

DNS はクライアントとサーバーに分かれています。クライアントは質問する役割、つまりサーバーにドメイン名を尋ねる役割を担い、サーバーはこのドメイン名の実際の IP アドレスを答えなければなりません。ローカル DNS はまず自身のデータベースをチェックします。自社のデータベースに見つからない場合は、DNSに設定されているDNSに問い合わせます。回答を得た後、回答を保存し、顧客に返信します。

DNS サーバーは、異なる認証ゾーンに従って各ドメインの名前情報を記録します。この情報には、ドメインの下のサブドメイン名とホスト名が含まれます。

各ネーム サーバーにはキャッシュがあります。このキャッシュの主な目的は、ネーム サーバーが照会した名前と対応する IP アドレスをキャッシュに記録することです。これにより、次回別のクライアントがサーバー上で同じ名前を照会するときに、サーバーは別のホストを検索する必要がなく、キャッシュから名前レコード データを直接見つけてクライアントに送り返すことができるため、クライアントの名前照会が高速化されます。例えば：

DNS クライアントがインターネット上のホスト名について指定の DNS サーバーにクエリを実行すると、DNS サーバーはデータベース内でユーザーが指定した名前を検索します。見つからない場合、サーバーはまず自身のキャッシュでレコードをクエリします。名前レコードが見つかった場合、対応する IP アドレスが DNS サーバーからクライアントに直接送信されます。ネーム サーバーがデータ レコード内で名前を見つけられず、キャッシュ内にも名前がない場合、サーバーはまず他のネーム サーバーで必要な名前をクエリします。例えば：

DNS クライアントは、指定された DNS サーバーにインターネット上のホスト名を照会します。DNS サーバーは、データ レコードでユーザーが指定した名前を見つけられない場合、サーバーのキャッシュを参照して、そのような情報があるかどうかを確認します。キャッシュでも見つからない場合は、最も近いネーム サーバーに、名前の IP アドレスを見つけるよう依頼します。別のサーバーで同じアクションのクエリもあります。クエリが見つかった場合は、クエリを最初に要求したサーバーに応答します。別の DNS サーバーからクエリ結果を受け取った後、DNS サーバーは、まず、照会されたホスト名と対応する IP アドレスをキャッシュに記録し、最後にクライアントにクエリ結果を応答します。

一般的な DNS 攻撃には次のようなものがあります。

1) ドメイン名の乗っ取り

ハッキング手法を用いてドメイン名管理パスワードとドメイン名管理メールを制御し、ドメイン名のNSレコードをハッカーが制御するDNSサーバーに向け、DNSサーバー上の対応するドメイン名レコードを追加することで、ネットユーザーがドメイン名にアクセスしたときに、ハッカーが指し示すコンテンツを入力します。

これは明らかに DNS サービス プロバイダーの責任であり、ユーザーは無力です。

2) キャッシュポイズニング

DNS キャッシュ サーバーを制御することで、本来特定の Web サイトを訪問する予定だったユーザーが、知らないうちにハッカーが指定した他の Web サイトに誘導される可能性があります。実装方法は多数あります。たとえば、インターネット ユーザーの ISP にある DNS キャッシュ サーバーは、脆弱性を悪用して攻撃または制御され、ISP 内のドメイン名にアクセスするユーザーの応答結果が変更される可能性があります。または、ハッカーがユーザーの権威ドメイン ネーム サーバーの脆弱性を悪用する可能性があります。たとえば、ユーザーの権威ドメイン ネーム サーバーがキャッシュ サーバーとしても使用できる場合、ハッカーはキャッシュ ポイズニングを実装して、キャッシュに誤ったドメイン名レコードを保存し、キャッシュ サーバーを使用するすべてのユーザーが誤った DNS 解決結果を取得する可能性があります。

最近発見された重大な DNS の欠陥は、このように機能します。これが「重大な」欠陥と呼ばれる理由は、プロトコル自体の設計と実装の問題が原因であると言われているためです。ほぼすべての DNS ソフトウェアにこのような問題があります。

3) DDOS攻撃

1 つの攻撃は DNS サーバー ソフトウェア自体をターゲットにしており、通常は BIND ソフトウェア プログラムの脆弱性を悪用して DNS サーバーをクラッシュさせたり、サービスを拒否させたりします。もう 1 つの攻撃は DNS サーバーをターゲットにしていませんが、DNS サーバーを中間の「攻撃増幅器」として使用してインターネット上の他のホストを攻撃し、攻撃を受けたホストのサービスを拒否させます。

4) DNSスプーフィング

DNS スプーフィングは、攻撃者がドメイン ネーム サーバーを偽装する欺瞞行為です。

原理: ドメイン ネーム サーバーを偽装し、クエリ IP アドレスを攻撃者の IP アドレスに設定すると、ユーザーがインターネットを閲覧するときに、アクセスしたい Web サイトのホームページではなく、攻撃者のホームページしか表示されなくなります。これが DNS スプーフィングの基本原理です。 DNS スプーフィングは、実際に相手の Web サイトを「ハッキング」するわけではなく、単なるなりすましと詐欺行為です。

インターネット上の DNS サーバーのほとんどは、bind を使用してセットアップされています。使用される bind バージョンは、主に bind 4.9.5+P1 以前と bind 8.2.2-P5 以前です。これらの bind には共通の機能があり、BIND はクエリされたすべての結果をキャッシュします。この問題により、次の問題が発生しています。

DNSスプーフィング

DNS キャッシュの有効期限が切れる前に DNS キャッシュにレコードがある場合、クライアントがクエリを実行すると、DNS サーバーはキャッシュ内のレコードを直接返します。

DNS攻撃を防ぐためのいくつかの予防策

インターネット上の DNS 増幅攻撃が劇的に増加しています。この攻撃は、データ パケットの多数のバリエーションを使用して、ターゲットに向けて大量の偽のトラフィックを生成することができます。この偽のトラフィックの量はどれくらいでしょうか? 1 秒あたり数ギガバイトで、誰もインターネットにアクセスできないほどです。

昔ながらの「スマーフ攻撃」と同様に、DNS 増幅攻撃は、被害者の帯域幅全体を使い果たすことを目的として、無実の第三者に向けた偽装パケットを使用してトラフィックを増幅します。しかし、「スマーフ攻撃」は、通信を増幅するためにネットワークブロードキャストアドレスにパケットを送信する攻撃です。 DNS 増幅攻撃にはブロードキャスト アドレスは含まれません。代わりに、この攻撃は、インターネット上の一連の無害なサードパーティ DNS サーバーに、小さく偽装されたクエリを送信します。これらの DNS サーバーは、表面上はクエリを実行したサーバーに大量の応答を返し、トラフィックを増幅して、最終的に攻撃対象を圧倒します。 DNS はステートレス UDP パケットに基づいているため、この種の欺瞞はよく起こります。

この攻撃は、約 60 バイトの DNS クエリと最大 512 バイトの応答を作成することによって、トラフィックを 8.5 倍に増幅します。これは攻撃者にとっては良いことですが、攻撃者が望んでいた浸水レベルにはまだ達していません。最近、攻撃者はいくつかの新しい手法を採用し、現在の DNS 増幅攻撃を数倍に強化しています。

現在の多くの DNS サーバーは EDNS をサポートしています。 EDNS は、RFC 2671 で導入された DNS の拡張メカニズムのセットです。一部のオプションでは、DNS 応答が 512 バイトより大きくても、要求者がその大きさの DNS クエリを処理できると示している場合は UDP を引き続き使用できます。攻撃者はこの方法を使用して大量のトラフィックを生成しました。攻撃者は、60 バイトのクエリを送信して約 4,000 バイトのレコードを取得することで、トラフィックを 66 倍に増幅することができました。この種の攻撃の中には、1 秒あたり数 GB のトラフィックを生成するものもあり、一部のターゲットに対する攻撃では 1 秒あたり 10 GB を超えるトラフィックが生成されています。

この攻撃を実行するには、攻撃者はまず、インターネット上の誰かに代わってラウンドロビン クエリを実行するサードパーティの DNS サーバーをいくつか見つける必要があります (ほとんどの DNS サーバーはこの設定になっています)。ラウンドロビン クエリのサポートにより、攻撃者は DNS サーバーにクエリを送信でき、DNS サーバーはクエリを (ラウンドロビン方式で) 攻撃者が選択した DNS サーバーに送信できます。次に、攻撃者はこれらのサーバーにクエリを送信し、攻撃者が自身の DNS サーバー上で制御する DNS レコードを取得します。これらのサーバーはラウンドロビン方式でクエリを実行するように設定されているため、サードパーティのサーバーはこれらのリクエストを攻撃者に送り返します。攻撃者は、この DNS 増幅攻撃を実行するために、DNS サーバーに 4,000 バイトのテキストを保存しました。

攻撃者は、サードパーティの DNS サーバーのキャッシュに大量のレコードを追加したので、これらのサーバーに DNS クエリを送信し (大量の応答を有効にする EDNS オプションを使用)、これらの DNS サーバーに、クエリが攻撃者が攻撃しようとしている IP アドレスから送信されたと思わせます。これらのサードパーティ DNS サーバーは、この 4,000 バイトのテキスト レコードで応答し、被害者に大量の UDP パケットを送りつけます。攻撃者は、数百万の小さな偽装クエリ メッセージをサードパーティの DNS サーバーに送信し、被害者に大量の DNS 応答パケットを送りつけます。

このような大規模な攻撃からどのように防御しますか? まず、小規模なフラッド攻撃に耐えられるだけの十分な帯域幅があることを確認します。悪意のあるスクリプトが帯域幅を消費する可能性があるため、本格的なインターネット接続には単一の T1 回線では不十分です。接続がミッションクリティカルでない場合は、T1 回線で十分です。そうでない場合は、小規模なフラッド攻撃に耐えるために、より多くの帯域幅が必要になります。しかし、1秒あたり数GBのDNS増幅攻撃に耐えられる人はほとんどいません。

したがって、いつでも ISP に連絡できる緊急電話番号を用意しておく必要があります。そうすれば、そのような攻撃が発生した場合、すぐに ISP に連絡して、上流でフィルタリングするように依頼できます。この攻撃を識別するには、DNS 応答を含む大量のトラフィック (送信元 UDP ポート 53)、特に DNS レコードが多数あるポートを探す必要があります。一部の ISP は、さまざまな種類の初期段階の大量トラフィックを検出するために、ネットワーク全体にセンサーを展開しています。そうすれば、ユーザーよりも先に ISP が攻撃を検出して回避できる可能性が高くなります。 ISP にこの機能があるかどうかを確認してください。

最後に、悪意のある攻撃者が DNS サーバーをプロキシとして使用してこのタイプの DNS 増幅攻撃を実行するのを防ぐために、外部からアクセス可能な DNS サーバーがインターネット上のアドレスではなく、独自のネットワークに対してのみラウンドロビン クエリを実行するようにする必要があります。ほとんどの主要な DNS サーバーには、ラウンドロビン クエリを制限する機能があり、特定のネットワーク (自分のネットワークなど) からのクエリのみを受け入れるようになっています。ループクエリを使用して大きな有害な DNS レコードをロードすることを防ぐことで、DNS サーバーが問題の一部となるのを防ぐことができます。

結論: サイバー攻撃はますます蔓延しており、ネットワークセキュリティに大きな脅威をもたらしています。ハッカーによる悪意ある攻撃から身を守る方法はあります。攻撃方法を理解し、ネットワークに関する豊富な知識があれば、ハッカーの狂気じみた攻撃に抵抗することができます。インターネット初心者でも心配する必要はありません。市場には多くのネットワーク セキュリティ ソリューションやさまざまなファイアウォールが投入されています。近い将来、インターネットは間違いなく安全な情報伝送媒体になると思います。特に強調すべきは、ネットワーク セキュリティ教育を常にセキュリティ システム全体の最上位に置き、すべてのネットワーク ユーザーのセキュリティ意識と基本的な予防技術を向上させる努力をすべきであるということです。これは、ネットワーク全体のセキュリティを向上させる上で非常に重要です。

出典: 提出物、著者: Shark Accelerator。

原題: DNS 攻撃の原理と防止

キーワード: