(O+P)ut

OutPut Log by SE in SIer



(O+P)ut

OutPut Log by SE in SIer

DNS amp attack とはなんぞや

スポンサーリンク

DNSを利用した攻撃

DNSリフレクター攻撃、または、DNSアンプ攻撃とも言います。

攻撃者が用意するのは、私有のDNSサーバ乗っ取ったクライアント端末です。

私有のDNSサーバに、無意味な文字列を並べた容量の大きなレコードを作成し、キャッシュ機能を持った私有じゃない公開DNSサーバにこれを送付します。

そうすると、そのDNSサーバはキャッシュします。

あとは、キャッシュを保持しているDNSサーバに大容量レコードの送信を要求するパケットを一斉に送信します。

ポイントは、送信元アドレスを偽って攻撃したいシステムのアドレスを設定する点にあります。
それによって、DNSサーバからの応答が攻撃対象に送信されてしまいます。DNSサーバに「謎の巨大なレコード」を登録させる点が肝です。

「偽りの大容量レコードを要求するパケット」を送信する端末は、足がつかないのっとったクライアントを使う点もポイントです。調査されても私有のDNSサーバの持ち主と結びつかないようにしておきたいからです。

小さなDNS要求パケットを送るだけで、その何倍ものサイズのパケットを生成させる動きから「アンプ」という用語が入っているんですね。

f:id:mtiit:20181013011043g:plain
http://www.atmarkit.co.jp/ait/articles/0608/26/news016.html より図を抜粋

上の図にあるように、DNSサーバのキャッシュ機能を悪用するものなのでキャッシュサーバへの問い合わせは外部インターネットからできないようにしておけば防げますので、ローカルで使うDNSサーバをお持ちの方はお気をつけください。

以上、ご参考になれば幸いです。