DNS攻撃とは何ですか?どのようにそれらを防ぎますか?

ドメインネームシステム(DNS)攻撃はよくあることであり、毎年、何百ものWebサイトがこれらのタイプの攻撃の犠牲になっています。

このカテゴリのエクスプロイトからネットワークを保護するには、さまざまな種類のDNS攻撃と、最善の緩和方法を理解することが重要です。

DNSとは何ですか?

ドメインネームシステム(DNS)は、インターネットデバイスがオンラインリソースを見つけるために使用する構造化されたネーミングシステムです。とはいえ、インターネット上の各Webサイトには一意のインターネットプロトコル(IP)アドレスがありますが、英数字であるため、人間が各WebサイトをIPアドレスで思い出すのは困難です。

DNSインフラストラクチャに関しては、システムを構成する2つの主要なコンポーネントがあり、それらはIP情報をホストする権限のあるサーバーと、IP情報の検索に関与する再帰サーバーです。

DNS攻撃は、どちらに対しても利用できます。

DNS攻撃の種類

攻撃者は通常、さまざまな手法を使用してDNS機能を妨害します。以下は、いくつかの最も一般的な方法の概要です。

1.DNSフラッド

DNSフラッドは、分散型サービス拒否(DDoS)攻撃ベクトルを使用して、ドメインネームシステムサーバーを標的とし、特定のドメインへのアクセスを妨害するために使用されます。

攻撃者はDNSフラッドを使用して、DNS再帰サーバーに不正な要求の壁を氾濫させ、正当なクエリを適切に処理できないようにします。

これらは通常、多数の場所、デバイス、およびIPからトラフィックを引き込み、通常のトラフィックと「生成された」トラフィックを区別することを困難にします。

何千ものIoTやハッキングされたコンピューターを制御するボットネットは通常、このスキームに利用され、それらの送信元IPアドレスはスクリプトを使用して偽装されます。

続きを読む:ボットネットとは何ですか?

緩和策

ドメインフラッド攻撃を防ぐ方法は多数あり、IP検証プロトコルのインストールが含まれます。これには、機械学習の異常検出およびブロックシステムが最適です。

問題が特に深刻で、そのような傍受手段が不足している場合、再帰DNSサーバーを非アクティブ化すると、リレーが増えるのを防ぐことで問題が軽減されます。

問題を解決するもう1つの方法は、許可されたクライアントからの要求のみに要求を制限することです。権限のあるサーバーで低応答レート制限(RRL)構成を使用することもできます。

2.DNSキャッシュポイズニング

DNSキャッシュポイズニングには、悪意のあるエンティティによるDNSサーバーの操作が含まれ、正当なサーバーからトラフィックをリダイレクトします。これは基本的にサーバー間の策略です。

たとえば、攻撃者は、TwitterIPを指すようにInstagramDNSサーバーの情報を変更する可能性があります。ほとんどの場合、リダイレクトにより、訪問者は、フィッシング、XSS、およびその他の脆弱性攻撃が実行されるハッカーによって制御されているサイトに誘導されます。

場合によっては、インターネットサービスプロバイダーをターゲットにすることで攻撃を拡大できます。特に、プロバイダーのいくつかが特定のサーバーに依存してDNSデータを取得している場合はそうです。プライマリサーバーが危険にさらされると、感染は体系的になり、ネットワークに接続されている顧客のルーターに影響を与える可能性があります。

緩和策

これらのタイプの攻撃を防ぐには、外部ネットワークサーバーへの依存度が低くなるようにDNSサーバーを構成する必要があります。これにより、攻撃者のDNSサーバーがターゲットサーバーと通信するのを防ぎます。

サーバーに最新のBINDバージョンをインストールすることも役立ちます。これは、アップグレードされたリリースには暗号で保護されたトランザクションテクノロジーがあり、攻撃を減らすポートランダム化機能があるためです。

最後に、DNS応答を制限して、クエリされたドメインに関する特定の情報のみを提供し、「ANY」要求を単に無視することで、攻撃を防ぐことができます。すべての要求に応答すると、DNSリゾルバーは要求されたドメインに関する詳細情報を利用するように強制されます。これには、MXレコード、Aレコードなどが含まれます。追加情報は、より多くのシステムリソースを消費し、攻撃のサイズを増幅します。

3.分散型リフレクションサービス拒否(DRDoS)攻撃

分散型リフレクティブサービス拒否(DRDoS)攻撃は、大量のユーザーデータグラムプロトコル(UDP)要求を送信することにより、DNSインフラストラクチャを圧倒しようとします。

侵害されたエンドポイントは通常、これを行うために使用されます。 UDPパケットは、IP上で機能してDNSリゾルバーに要求を行います。 UDP通信プロトコルには配信確認要件がなく、要求を複製することもできるため、この戦略が好まれます。これにより、DNS輻輳を簡単に作成できます。

この場合、ターゲットDNSリゾルバーは偽の要求に応答しようとしますが、大量のエラー応答を発行することを余儀なくされ、最終的には圧倒されます。

緩和策

分散リフレクションサービス拒否(DRDoS)攻撃は、DDoS攻撃の一種であり、それらを防ぐには、スプーフィングを防ぐために入力ネットワークフィルタリングを適用する必要があります。クエリはDNSリゾルバーを経由するため、特定のIPアドレスからの要求のみを解決するようにクエリを構成すると、問題を軽減するのに役立ちます。

これは通常、オープン再帰を無効にすることを伴い、それによってDNS攻撃の抜け穴を減らします。オープン再帰により、サーバーは任意のIPアドレスからのDNS要求を受け入れるようになり、これによりインフラストラクチャが攻撃者に開かれます。

応答レート制限(RRL)を設定すると、DRDoSの発生率も防止されます。これは、レート制限の上限を設定することで実現できます。このメカニズムは、権限のあるサーバーが過剰な量のクエリを処理するのを防ぎます。

4.NXDOMAIN攻撃

NXDOMAIN DNS攻撃では、ターゲットサーバーに無効なレコード要求が殺到します。この場合、DNSプロキシサーバー(リゾルバー)が通常ターゲットになります。彼らの仕事は、ドメイン情報を検索するためにDNS権限のあるサーバーにクエリを実行することです。

無効な要求はDNSプロキシと権限のあるサーバーに関与し、NXDOMAINエラー応答をトリガーし、ネットワーク遅延の問題を引き起こします。リクエストの洪水は、最終的にDNSシステムのパフォーマンスの問題を引き起こします。

緩和策

NXDOMAIN DNS攻撃は、サーバーが有効な要求に関するより多くのキャッシュ情報を長期間保持できるようにすることで防ぐことができます。この構成により、攻撃中であっても、追加のキャッシュを実行しなくても、正当な要求を確実に通過させることができます。そのため、要求された情報を簡単に引き出すことができます。

スキームで使用されている疑いのあるドメインとサーバーもブロックされる可能性があり、それによってリソースが解放されます。

5.ファントムドメイン攻撃

攻撃者は、ファントムドメイン攻撃を実行する際に、DNSクエリを受信すると応答しないように、または応答が非常に遅くなるように、ドメインの集合を構成することから始めます。この場合、再帰サーバーが対象になります。

それらは、ファントムドメインをクエリする大量の反復リクエストの対象になります。応答の一時停止が長いと、未解決の要求のバックログが発生し、ネットワークが混雑し、貴重なサーバーリソースが消費されます。最終的に、このスキームは、正当なDNS要求が処理されるのを防ぎ、ユーザーがターゲットドメインにアクセスするのを防ぎます。

緩和策

ファントムドメイン攻撃を軽減するには、各サーバーでの連続する再帰要求の数を制限すると役立ちます。ゾーンごとにさらに制限することができます。

応答しないサーバーに対して行われた要求に対してDNSサーバーのホールドダウンを有効にすると、システムが圧倒されるのを防ぐこともできます。この機能は、応答しないサーバーが特定のしきい値に達すると、サーバーに対して連続して試行される回数を制限します。

再帰サーバーの数を増やすこともできます。

DNSの危険から安全を保つ

毎年、DNS攻撃者は、重要なオンラインインフラストラクチャを破壊するための一連の不思議なトリックを思い付き、その被害は甚大なものになる可能性があります。

オンラインドメインに大きく依存している個人や企業にとって、ベストプラクティスのガイドラインに従い、最新のDNS阻止テクノロジーをインストールすることは、それらを防ぐのに大いに役立ちます。