DNS リフレクション (DNS amp) 攻撃
- サイズの大きな DNS 情報をキャッシュさせてた踏み台 DNS サーバに、送信元を偽装した DNS 情報要求パケットを送信することで、踏み台 DNS サーバから攻撃対象へサイズの大きな DNS 情報応答パケットを送信させる DDoS の一種
- 攻撃者は発信元アドレスを最終的なターゲットとなるホストの IP アドレスに詐称した上で、攻撃に加担させる DNS サーバあてにクエリを送る
- 応答メッセージのサイズができるだけ大きくなるようにする
- クエリを受けとった DNS サーバは、偽装された発信元アドレス(最終的なターゲットホスト) に対して応答を返す
- DMZ 等に設置された DNS キャッシュサーバが、インターネット上の任意のホストからのクエリを無条件に受け付けるオープンリゾルバになっていると、悪用される危険性が高まる
- 攻撃者は発信元アドレスを最終的なターゲットとなるホストの IP アドレスに詐称した上で、攻撃に加担させる DNS サーバあてにクエリを送る
- 対策
- DNS キャッシュサーバとコンテンツサーバに分離し、再帰的な問い合わせを行わせないように DNS キャッシュサーバをインターネット側からアクセスさせないようにする